Just nu i M3-nätverket
Jump to content

Telia och Code Red


Webster

Recommended Posts

Alla vi som kör i Telia's nät med personliga brandväggar har kunnat notera hur mycket skräp det rasslar in i Alert loggen. Det är helt facinerande att de inte lyckat kontakta de kunder vars maskiner vräker ut dessa http anrop hela dagen lång. Nyfiken på vilka dessa är?

 

Hämta hem en http anrops loggare typ -> http://www.unixwiz.net/tools/websnarf.html och öppna upp http port 80 inkommande anrop i din brandvägg.

 

Skicka det sedan till din ISP's abuse avdelning med ett förslag på att de får vakna upp och agera.

Link to comment
Share on other sites

Använd en brandvägg för windows, tex ZoneAlarm. Den loggar ip-nummren för alla som anropar dig på port 80. Dessa är troligtvis Code Red. Du kan även ladda ner Apache för windows (en webserver som inte smittas av code red, men tar emot anrop från den). Ser du i Apaches accesslog en massa förfrågningar efter filen "default.ida"+skräptecken (N eller X) så vet du att det är Code Red.

 

Link to comment
Share on other sites

Stefan Eklinder

 

Har man ZoneAlarm är det bara att kopiera loggfilen och skicka med den till sin ISP:s Abuseavdelning. Min är redan 50 kb stor och nu i skrivande stund är det närmre 40 alerts med olika anrop ute ifrån.

 

Jag skrev till min IPS:s support och påpekade att jag tycker att internet går väldigt segt de senaste dagarna. Undrade om det kunde vara CodeRed. Fick svaret att jag skulle klicka bort Proxyservern. Om CodeRed kommenterades inget. De uppmanade mig att skicka fler mail för vidare instruktioner. Satt en timme och väntade på svar, men inget svar kom. Jag har fortfarande inte fått något svar. Personligen tror jag det är CodeRed som spökar.

 

Fick SirCam i min inbox för någon vecka sedan. Innan jag visste om att det var SirCam så skickade jag det till Abuse hos min ISP. Kopierade huvudet på mailet och undrade vad det kunde vara. Även meddelandet. Tror ni jag fått svar? Nä, inget svar. Frågan är väl om de bryr sig om att folk skickar loggar och grejor till dem.

 

/Stefan.E

 

**************************************************

"Om nu datorn är så förbaskat duktig förstår jag inte varför den får skulden för alla misstag"

P.Munroe

 

Link to comment
Share on other sites

Det är ju inte din ISP:s abuse du ska skicka till, de kan inte göra mycket mer än att stänga av internet till dig och det är ju knappast det du vill.

 

Man brukar skicka till den abuseande partens ISP.

 

Vad gäller code red och sircam är det ju knappast fråga om abuse, det bästa du kan göra är förmodligen att tala om för stackarn som har Code Red att han har det. Han vet förmodligen inte om det.

Fast med mer än en CodeRed-request i minuten orkar jag inte göra mer än att konstatera att det förhoppningsvis går över.

 

Link to comment
Share on other sites

Knappast handlar det om abuse - riskerar man att bli utestängd av sin ISP på grund av att man ej upptäckt att man smittats av ett virus?

 

Finns det något sätt för mig att göra dessa sega stackare som dag efter dag skickar skickar HTTP anrop till mig (antar att det är Code Red) uppmärksamma på att de har ett virus?

 

/T

 

 

Link to comment
Share on other sites

Hmm, 77 anrop på port 80 under de senaste 42,5 minuterna, inte underligt loggen ser så "ovanlig" ut. Jag kollade på den igår men tänkte inte på att det är virus anrop...

Hmm, 213.66.207.206:3868 , 213.66.117.214:3032 , 213.66.139.97:3644 mfl anrop, ser ut att komma från telia, eller?

 

Jag ids inte installera Sam Spade för att kolla varifrån det är...

 

Link to comment
Share on other sites

Du kan ju utnyttja bakdörren i CRII för att skapa en fil som heter DU_HAR_CODE_RED.txt eller liknande i roten på c:\, eller ännu bättre på skrivbordet kanske ;)

 

Fast det är ju iofs olagligt så det kanske inte är nån bra idé :)

 

 

 

/def - http://pirates.dyndns.org

__________________________________________________

"The probability of someone watching you is directly proportional to the stupidity of your action"

Link to comment
Share on other sites

Stefan Eklinder

Fredrik9!

 

I huvudet på mailet stod det att det kom från Telias mailserver. Mailadressen från den som jag fick SirCamviruset ifrån slutade på @telia.com och det var till Telias abuseavdelning jag vände mig.

 

Att de stänger av _min_ internetuppkoppling för att någon annan skickar virus till mig verkar ganska långsökt.

 

/Stefan.E

 

 

 

**************************************************

"Om nu datorn är så förbaskat duktig förstår jag inte varför den får skulden för alla misstag"

P.Munroe

Link to comment
Share on other sites

Stefan Eklinder

Monshi!

 

Knappast handlar det om abuse - riskerar man att bli utestängd av sin ISP på grund av att man ej upptäckt att man smittats av ett virus?

 

Tror att det ska mycket till innan du blir utestängd från din ISP. De skickar högst en varning till dig och en uppmaning att läsa netetikettens regler.

 

/Stefan.E

 

 

 

**************************************************

"Om nu datorn är så förbaskat duktig förstår jag inte varför den får skulden för alla misstag"

P.Munroe

 

Link to comment
Share on other sites

Jo det är visst till min ISPs (=Telia) abuse jag skall skicka detta!

 

Majoriteten är ju Telia IP som ropar. Läs på lite om hur Code Red II fungerar, så förstår du varför de flesta anrop till mig i Telia's nät är från BDUs i samma nät som inte fattar att de har IIS igång och har smittats...

 

Tjing!

 

"Run an open system, execute SETUP.EXE to install all available options in Windoze"

 

 

 

Link to comment
Share on other sites

> I huvudet på mailet stod det att det kom från Telias mailserver.

 

Det framgick inte riktigt av ditt inlägg, du skrev att du skulle kontakta din ISP.

 

> Att de stänger av _min_ internetuppkoppling för att någon

 

Absolut, det lär ju inte hända. Men i ovetskap att du när du skrev "min ISP" menade "avsändarens ISP" så var det bara en gissning på vad du rimligtvis skulle kunna uppnå (även om de nog skulle vägra).

 

Hursomhelst, jag betvivlar att det är att betrakta som abuse att få virus. Abuse betyder "missbruk", och även om man kunde förvänta sig att folk skyddar sig mot simpla maskar så är det knappast att missbruka tjänsten om man får ett virus.

 

 

 

 

 

Link to comment
Share on other sites

> Jag ids inte installera Sam Spade för att kolla varifrån det är...

 

Många versioner av nslookup fixar automatiskt att göra motuppslag av IP-adresser om du ger den det som argument.

ex.

c:\>nslookup 213.66.207.206

Name: h206n2fls33o831.telia.com

Address: 213.66.207.206

c:\>

 

CodeRed verkar sprida sig som attans inom comhem, antar att de flesta hemanvändare med en Personal WebServer eller IIS och ingen brandvägg tror att CodeRed är nåt som bara drabbar renodlade servrar.

 

 

Link to comment
Share on other sites

> Majoriteten är ju Telia IP som ropar. Läs på lite om hur Code Red II fungerar, så förstår du varför de flesta anrop till mig i Telia's nät är från

 

Alltså, jag vet mycket väl hur CodeRed fungerar, jag trodde bara du försökte få abuse hos telia att tillrättavisa de som ropade på dig (oavsett om de kom från telia eller inte, personligen har jag ungefär 50% från telias nät).

Det är ju avsändaren abuse du ska kontakta, oavsett om det är Telia eller inte. Det enda telia kan göra för att hindra anropen till dig från servrar utanför telias nät är ju att spärra all ingående trafik på port 80, och det vill nog ingen.

 

Jag tror vi menade samma sak fast missförstod varandra. Inget illa menat från mitt håll.

 

 

Link to comment
Share on other sites

Vad Telia bör göra är naturligtvis att koppla bort internetansluta kunder som har fått viruset, så att de inte fortsätter sprida det vidare.

 

Link to comment
Share on other sites

> Vad Telia bör göra är naturligtvis att koppla bort

 

Absolut, de skulle ju mycket väl (me den web-baserade inloggningen) kunna meddela kunden nästa gång han loggar på vad han måste göra för att få komma in igen.

 

 

 

 

 

Link to comment
Share on other sites

Stefan Eklinder

Fredrik9!

 

I huvudet på mailet stod det att det kom från Telias mailserver.

 

Det framgick inte riktigt av ditt inlägg, du skrev att du skulle kontakta din ISP.

 

Ja, jag vet att det inte framgick av mitt inlägg. Det såg jag när jag besvarade ditt senare. Beklagar!

 

/Stefan.E

 

 

 

**************************************************

"Om nu datorn är så förbaskat duktig förstår jag inte varför den får skulden för alla misstag"

P.Munroe

Link to comment
Share on other sites

Lejonparten av alla Code Red II anrop spinner runt i samma nät, så kör jag i Telia's nät så... ;)

 

Telia vet vem som använder varje IP nummer och skulle lätt kunna reda ut det här. Men som vanligt är de lika långsamma som de var med att ge mig ADSL (över 6 månader).

 

Undrar vad som händer om man paketerar varje Code Red II anrop i ett mail och routar det över till Telia?

 

 

 

 

Link to comment
Share on other sites

Det är inte bara inom Telias nät som det sprids i. Jag har Bredbandsbolaget som ISP och det är likadant där. Loggfilen för 5 dagar förra veckan var c:a 500 kb stor!

 

På Bredbandsbolaget jobbar dom för fullt med att stänga av alla som drabbats av Code Red och inte fattat det. Lite action från deras sida i alla fall!

 

 

mvh

BC

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...