Stran 1 od 2
Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 18:14
Napisal/-a jRRYo!
Bom kr tle postu, mogoce bo kdo kej naredu.
Tale 89.212.100.189 model mi gre ze mal na jetra...
Koda: Izberi vse
89.212.100.189 - - [11/Mar/2008:19:03:31 +0100] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\xc9\...
log se valda nadaljuje 1000+ karakterjev...
Ger se za nek stari IIS overflow attack... črv "Nimda" je baje to izkorisal.. a ne, Navadni Nimda? :p
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 18:44
Napisal/-a dal
Jaz bi na črno listo dodal še IP
84.255.236.14, ki že od lani razpošilja naokoli črva Bagle.GV in mu niti osebje T-2 ne more do živega.
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 18:48
Napisal/-a KoMar
Odklopi naj ga, pa bo mir. Kako misliš "mu nič ne more"?
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 18:49
Napisal/-a T2_Delavec
Obe IP cifri sta bili forwardirani na ustrezne vektorje znotraj firme.
jRRYo! - unega virusa jaz nisem preučeval, sem pa vedno poskrbel, da so bile popečane mašine, kot spada med best practices. Zato nisem nikoli imel nobenih problemov z Windows serverji že od NT 4.0 naprej. Predlagam, da daš na IIS strežnik URLSCAN (to je ISAPI Filter), ki ti tovrstna govna fykne ven, še predno pridejo do IIS.
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 18:50
Napisal/-a andrejs
Kak mu te nič ne morejo, v najslabšem primeru mu pač prekinejo pogodbo in to je to.
Pa vse ostale ISP naj obvestijo zakaj je bil odklopljen, pa naj se najde korenjak potem kateri mu bo še nudil usluge.
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 18:51
Napisal/-a T2_Delavec
Jaz bi mu poslal še letalske napade nad bajto.
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 19:08
Napisal/-a jRRYo!
Navadni Nimda napisal/-a:forwardirani na ustrezne vektorje znotraj firme.
lol, sliši se dobr
Dodajam še tale poizkus: nek frontpage xss attack
Koda: Izberi vse
89.212.100.189 - - [11/Mar/2008:19:03:59 +0100] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 404 306 "-" "-"
Obe zadevi delujeta samo na windows sistemih, tko da.. good luck there
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 19:39
Napisal/-a T2_Delavec
Sem ti reku, da URLSCAN vse popuca še predno hudoben request vstopi v IIS. Dodatno velja, da tale s frontpage extensioni sploh ni attack, ampak je hotel nekdo publishat vsebine na tvoj server. Ne kaže jih jemati resno.
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 19:50
Napisal/-a Cobane
Malo verjetno da hoče samo publish-at, če pa leti iz istega IPja kot tisti attack iz prvega prispevka!
Joj, pa saj to je moj IP!
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 19:54
Napisal/-a Malkec
Daj drop policy brez loga, problem rešen.
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 20:43
Napisal/-a NoName
Jaz pa zelo podpiram tale thread... dejansko predlagam da vsi, ki imate postavljene serverje pa nekaj minut časa, preverite loge (bodisi IIS, Apache ali kaj tretjega) ter po možnosti tudi cimvec napisete tukaj... ali pa posljete mail pristojnim (NN, najbolje ce napises, kam naj posiljajo take loge - verjetno kak
abuse@t-2.net). Pa tudi kar se tice ostalih servisov, spammanja preko elektronske poste, poskusov vdorov ipd ipd...
Re: Spam iz T-2 omrezja
Objavljeno: 12. Mar 2008 ob 22:50
Napisal/-a dal
Par današnjih zvezd:
Mar 12 10:26:33 89-212-85-210.static.t-2.net[
89.212.85.210]: from=<
temirqui@gmail.com>
Mar 12 10:27:26 89-212-85-210.static.t-2.net[89.212.85.210]: from=<
onyxnf@bondhub.com>
Mar 12 10:28:22 89-212-85-210.static.t-2.net[89.212.85.210]: from=<
eekrhr@brainsells.com.au>
Mar 12 12:54:45 84-255-245-49.static.t-2.net[
84.255.245.49]: from=<
_osman@adlerdev.com>
Mar 12 19:14:56 84-255-246-45.static.t-2.net[
84.255.246.45]: from=<
mmc@google.com>
Mar 12 19:15:34 84-255-246-45.static.t-2.net[84.255.246.45]: from=<
r.gahr1@wanadoo.nl>
Mar 12 21:03:46 89-212-253-163.static.t-2.net[
89.212.253.163]: from=<
hostmaster@10-million-hits.com>
Mar 12 21:25:48 89-212-253-163.static.t-2.net[89.212.253.163]: from=<
ireneruthn@powerentertainment.com>
Mar 12 22:04:50 89-212-253-163.static.t-2.net[89.212.253.163]: from=<
42jessy_zombie@yahoo.com>
Mar 12 22:39:05 89-212-253-163.static.t-2.net[89.212.253.163]: from=<
austria@msdirectservices.com>
Re: Spam iz T-2 omrezja
Objavljeno: 13. Mar 2008 ob 15:35
Napisal/-a NoName
super... sicer pa, kar se smtp spama tice, sm itak naredu skriptico, k vsakodnevno preveri stanje nasih ipjev na uceprotect listi pa helpdeskovci obvescajo stranke, naj preverijo, kaj se z racunalnikom dogaja.
Re: Spam iz T-2 omrezja
Objavljeno: 20. Mar 2008 ob 14:57
Napisal/-a jRRYo!
Koda: Izberi vse
89.212.161.246 - - [18/Mar/2008:23:20:25 +0100] "SEARCH /\x90\xc9\xc9\xc9\xc9\x... ... ...
Re: Spam iz T-2 omrezja
Objavljeno: 6. Maj 2008 ob 08:56
Napisal/-a |DSI|
Tale se pri meni že cca 14 dni zapored pojavlja po cca 5x na dan.
Koda: Izberi vse
89.212.74.208 - - [04/May/2008:14:00:03 +0200] "GET / HTTP/1.0" 406 314 "-" "-"
89.212.74.208 - - [04/May/2008:14:00:03 +0200] "SEARCH /\x90\xc9\xc9\xc9\xc9\xc9\xc9\xc9\ ... 414 312 "-" "-"
89.212.74.208 - - [04/May/2008:14:00:34 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 406 343 "-" "-"
Sicer pa ga itak odbije Apache mod_security:
89.212.75.132 je moj IP
Koda: Izberi vse
==4558080b==============================
Request: 89.212.75.132 89.212.74.208 - - [04/May/2008:14:00:34 +0200] "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1" 406 343 "-" "-" - "-"
----------------------------------------
POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1
Host: 89.212.75.132
Transfer-Encoding: chunked
mod_security-message: Access denied with code 406. Pattern match "^$" at HEADER("USER-AGENT") [severity "EMERGENCY"]
mod_security-action: 406
28
[POST payload not available]