Spam iz T-2 omrezja

jRRYo! · Odgovor Napisal/-a **jRRYo!** » 12. Mar 2008 ob 18:14

Bom kr tle postu, mogoce bo kdo kej naredu.
Tale 89.212.100.189 model mi gre ze mal na jetra...

89.212.100.189 - - [11/Mar/2008:19:03:31 +0100] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\...

log se valda nadaljuje 1000+ karakterjev...
Ger se za nek stari IIS overflow attack... črv "Nimda" je baje to izkorisal.. a ne, Navadni Nimda? :p

dal · Odgovor Napisal/-a **dal** » 12. Mar 2008 ob 18:44

Jaz bi na črno listo dodal še IP 84.255.236.14, ki že od lani razpošilja naokoli črva Bagle.GV in mu niti osebje T-2 ne more do živega.

Odgovor Napisal/-a **KoMar** » 12. Mar 2008 ob 18:48

Odklopi naj ga, pa bo mir. Kako misliš "mu nič ne more"?

T2_Delavec · Odgovor Napisal/-a **T2_Delavec** » 12. Mar 2008 ob 18:49

Obe IP cifri sta bili forwardirani na ustrezne vektorje znotraj firme.

jRRYo! - unega virusa jaz nisem preučeval, sem pa vedno poskrbel, da so bile popečane mašine, kot spada med best practices. Zato nisem nikoli imel nobenih problemov z Windows serverji že od NT 4.0 naprej. Predlagam, da daš na IIS strežnik URLSCAN (to je ISAPI Filter), ki ti tovrstna govna fykne ven, še predno pridejo do IIS. Slika

andrejs · Odgovor Napisal/-a **andrejs** » 12. Mar 2008 ob 18:50

Kak mu te nič ne morejo, v najslabšem primeru mu pač prekinejo pogodbo in to je to.

Pa vse ostale ISP naj obvestijo zakaj je bil odklopljen, pa naj se najde korenjak potem kateri mu bo še nudil usluge.

T2_Delavec · Odgovor Napisal/-a **T2_Delavec** » 12. Mar 2008 ob 18:51

Jaz bi mu poslal še letalske napade nad bajto.

jRRYo! · Odgovor Napisal/-a **jRRYo!** » 12. Mar 2008 ob 19:08

Navadni Nimda napisal/-a:forwardirani na ustrezne vektorje znotraj firme.

lol, sliši se dobr

Dodajam še tale poizkus: nek frontpage xss attack

Koda: Izberi vse

89.212.100.189 - - [11/Mar/2008:19:03:59 +0100] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 306 "-" "-"

Obe zadevi delujeta samo na windows sistemih, tko da.. good luck there

T2_Delavec · Odgovor Napisal/-a **T2_Delavec** » 12. Mar 2008 ob 19:39

Sem ti reku, da URLSCAN vse popuca še predno hudoben request vstopi v IIS. Dodatno velja, da tale s frontpage extensioni sploh ni attack, ampak je hotel nekdo publishat vsebine na tvoj server. Ne kaže jih jemati resno.

Cobane · Odgovor Napisal/-a **Cobane** » 12. Mar 2008 ob 19:50

Malo verjetno da hoče samo publish-at, če pa leti iz istega IPja kot tisti attack iz prvega prispevka!

Joj, pa saj to je moj IP!

Odgovor Napisal/-a **Malkec** » 12. Mar 2008 ob 19:54

Daj drop policy brez loga, problem rešen.

Odgovor Napisal/-a **NoName** » 12. Mar 2008 ob 20:43

Jaz pa zelo podpiram tale thread... dejansko predlagam da vsi, ki imate postavljene serverje pa nekaj minut časa, preverite loge (bodisi IIS, Apache ali kaj tretjega) ter po možnosti tudi cimvec napisete tukaj... ali pa posljete mail pristojnim (NN, najbolje ce napises, kam naj posiljajo take loge - verjetno kak abuse@t-2.net). Pa tudi kar se tice ostalih servisov, spammanja preko elektronske poste, poskusov vdorov ipd ipd...

dal · Odgovor Napisal/-a **dal** » 12. Mar 2008 ob 22:50

Par današnjih zvezd:

Mar 12 10:26:33 89-212-85-210.static.t-2.net[89.212.85.210]: from=<temirqui@gmail.com>
Mar 12 10:27:26 89-212-85-210.static.t-2.net[89.212.85.210]: from=<onyxnf@bondhub.com>
Mar 12 10:28:22 89-212-85-210.static.t-2.net[89.212.85.210]: from=<eekrhr@brainsells.com.au>

Mar 12 12:54:45 84-255-245-49.static.t-2.net[84.255.245.49]: from=<_osman@adlerdev.com>

Mar 12 19:14:56 84-255-246-45.static.t-2.net[84.255.246.45]: from=<mmc@google.com>
Mar 12 19:15:34 84-255-246-45.static.t-2.net[84.255.246.45]: from=<r.gahr1@wanadoo.nl>

Mar 12 21:03:46 89-212-253-163.static.t-2.net[89.212.253.163]: from=<hostmaster@10-million-hits.com>
Mar 12 21:25:48 89-212-253-163.static.t-2.net[89.212.253.163]: from=<ireneruthn@powerentertainment.com>
Mar 12 22:04:50 89-212-253-163.static.t-2.net[89.212.253.163]: from=<42jessy_zombie@yahoo.com>
Mar 12 22:39:05 89-212-253-163.static.t-2.net[89.212.253.163]: from=<austria@msdirectservices.com>

Odgovor Napisal/-a **NoName** » 13. Mar 2008 ob 15:35

super... sicer pa, kar se smtp spama tice, sm itak naredu skriptico, k vsakodnevno preveri stanje nasih ipjev na uceprotect listi pa helpdeskovci obvescajo stranke, naj preverijo, kaj se z racunalnikom dogaja.

jRRYo! · Odgovor Napisal/-a **jRRYo!** » 20. Mar 2008 ob 14:57

Koda: Izberi vse

89.212.161.246 - - [18/Mar/2008:23:20:25 +0100] "SEARCH /\x90\xc9\xc9\xc9\xc9\x... ... ...

|DSI| · Odgovor Napisal/-a **|DSI|** » 6. Maj 2008 ob 08:56

Tale se pri meni že cca 14 dni zapored pojavlja po cca 5x na dan.

Koda: Izberi vse

89.212.74.208 - - [04/May/2008:14:00:03 +0200] "GET / HTTP/1.0" 406 314 "-" "-"
89.212.74.208 - - [04/May/2008:14:00:03 +0200] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\ ... 414 312 "-" "-"
89.212.74.208 - - [04/May/2008:14:00:34 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 406 343 "-" "-"

Sicer pa ga itak odbije Apache mod_security:
89.212.75.132 je moj IP

Koda: Izberi vse

==4558080b==============================
Request: 89.212.75.132 89.212.74.208 - - [04/May/2008:14:00:34 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 406 343 "-" "-" - "-"
----------------------------------------
POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1
Host: 89.212.75.132
Transfer-Encoding: chunked
mod_security-message: Access denied with code 406. Pattern match "^$" at HEADER("USER-AGENT") [severity "EMERGENCY"]
mod_security-action: 406

28
[POST payload not available]

Neuradni T-2 forum

Spam iz T-2 omrezja

Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja

Re: Spam iz T-2 omrezja