Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

Okända webbservrar

Webster

Startad av Webster,
i Webbutveckling

Rekommendera Poster

Webster

Webster

Postad
Postad

Flygbolaget Brittish Airways har jagat efter webbservrar i sitt nätverk vilka har satts upp utan tillstånd. Anledningen är att de vill förhindra att dessa smittas med Code Red & Nimda eller förhindra att de som är smittade sprider "sjukan" eftersom de troligen inte administraras på ett tillfredställande sätt:

 

http://www.computing.vnunet.com/News/1130615

 

Har någon tips på hur man skulle kunna väcka Telia så att de börjar aktivt meddela sina kunder som kör med Nimda smittade webbservrar i deras nätverk? telia vet ju vem som loggar på och använder ett visst IP nummer, det borde vara busenklet att meddela alla deras kunder.

 

Om du kör i Telia's nätverk, delta aktivt genom att skicka utdrag från dina loggfiler till t.ex. Dshield. För mer info:

 

http://www.dshield.org/Nimda.html

 

Under tiden så växer loggfilerna......

 

[inlägget ändrat 2002-04-03 21:05:03 av Webster]

Länk till kommentar
Dela på andra webbplatser
LarsW

LarsW

Postad
Postad

Jag har Telia ADSL, men lever lyckligt bakom en router, så jag ser inte mycket av detta.

 

Telia har vaknat på det här med säkerhet, iaf. Häromdagen kom det ett brev där de skriver om risker på Internet, virus och brandväggar.

 

Kontentan är att att man ska abbonnera på Telia Antivirus resp Telia Brandvägg för, hör och häpna, 30 kronor i månaden per styck

 

Då är det väl inte så konstigt att de ignorerar Nimda, som på sätt och vis marknadsför deras tjänster i ämnet?

 

Är det inte dessutom det kraschande Panda de har att erbjuda?

 

________________________________________

Bug eller feature? -This is by design(MS Knowledge Base)

 

 

-Fy vad elak jag blev. Bäst att gå o lägga sig. Sov gott.

 

Länk till kommentar
Dela på andra webbplatser
[SH]

[SH]

Postad
Postad

Abusanmäl och ta med ett ordentligt uttdrag ur loggfilerna.

 

Själv hade jag problem med en kille som försökte köre en trojan mot min ADSL-anslutna dator men ZoneAlarm fångade upp honom. Han hann med ca 400 försök från mitten av januari till början av mars.

 

Gjorde några anmälningar utan resultat och skrev sedan ytterligare en anmälan där jag hotade med polisanmälan om försök till dataintrång. Några dagar senare fick jag ett tack-mail där de meddelade att angriparen fått en tillsägelse och angreppen upphörde.

 

/Stefan

___________________________________________________________

To me, boxing is like a ballet, except there's no music, no choreography and the dancers hit each other.

 

Länk till kommentar
Dela på andra webbplatser
Kristianstad

Kristianstad

Postad
Postad

På min dator har ZoneAlarm blockerat Trojanförsök från en Teliaanvändare. Jag har skickat Abuse...men Telia har än så länge aldig svarat...

 

Länk till kommentar
Dela på andra webbplatser
[SH]

[SH]

Postad
Postad

Jag skickade alltså 4 abuseanmälningar med totalt ca 200 intrångsförsök... Och i den sista ett hot om polisanmälan (var lite sur på killen som försökte ansluta och på Telia som lät det hela fortgå en dryg mån efter anmälan nr1).

 

Troligen så har Telias abuse-avdelning fullt upp...

 

/Stefan

___________________________________________________________

To me, boxing is like a ballet, except there's no music, no choreography and the dancers hit each other.

 

Länk till kommentar
Dela på andra webbplatser
Anders N

Anders N

Postad
Postad

Uhm..

 

intrångsförsök?

 

Får man fråga vad det var för trafik han skickade?

 

Ciao,

Anders

 

Länk till kommentar
Dela på andra webbplatser
[SH]

[SH]

Postad
Postad

Intrångsförsök var kanske fel ord... Hade ofta återkommande försök att ansluta till Netbus (eller var det SubSeven?) från ett IP-nr.

 

/Stefan

___________________________________________________________

To me, boxing is like a ballet, except there's no music, no choreography and the dancers hit each other.

 

Länk till kommentar
Dela på andra webbplatser
Avicii

Avicii

Postad
Postad
"har ZoneAlarm blockerat Trojanförsök från en Teliaanvändare"

Hur vet man om det är ett Trojanförsök, eller allmän scanning efter nån öppen port?

Nästan varje dag stoppar ZoneAlarm ett visst Telia IP-nummer hos mig. Vissa dagar flera gånger.

 

Voodoo chile (slight return)

 

Länk till kommentar
Dela på andra webbplatser
[SH]

[SH]

Postad
Postad

Använde ZoneLog Analyzer (http://zonelog.co.uk/)... Ett verktyg för att analysera loggfilen från ZA. Programmet är bra på att tala om det förmodade syftet med anropet.

 

/Stefan

___________________________________________________________

To me, boxing is like a ballet, except there's no music, no choreography and the dancers hit each other.

 

Länk till kommentar
Dela på andra webbplatser
Kristianstad

Kristianstad

Postad
Postad
Hur vet man om det är ett Trojanförsök, eller allmän scanning efter nån öppen port?

Jag har ZoneLog Analyzer precis som StefanJohansson. Den har visat Sub7 på port 1234, 1243 ett antal gånger från en och samma användare.

 

Länk till kommentar
Dela på andra webbplatser
Avicii

Avicii

Postad
Postad
"Den har visat Sub7 på port 1234, 1243 ett antal gånger från en och samma användare."

Vad är Sub7?

Enligt: http://www.iana.org/assignments/port-numbers

så är port 1234 är Infoseek search agent. Och port 1243 SerialGateway. Vad det nu innebär?

 

De portar som ZoneAlarm stoppar Internet access till, för mig är oftast unassigned.

 

Voodoo chile (slight return)

 

Länk till kommentar
Dela på andra webbplatser
Fredrik Johansson

Fredrik Johansson

Postad
Postad

subseven är ett "verktyg" liknande netbus och BO, har något mer avancerade möjligheter.

 

Ett vanligt trick är väl att använda samma portar som något annat, fö att minska risken för upptäckt

 

Länk till kommentar
Dela på andra webbplatser
gdsgd

gdsgd

Postad
Postad

När jag var inne och kollade idag på Nyheter idg.se eller PCfa (kommer ej ihåg) fanns det en notis om att det finns en port 80 som inkräktare söker sig till och den skulle vara oskyddad av brandväggar. Kan någon förklara? Please :)

 

 

-----

MVH//emil

 

Länk till kommentar
Dela på andra webbplatser
Avicii

Avicii

Postad
Postad
"det finns en port 80 som inkräktare söker sig till och den skulle vara oskyddad av brandväggar"

Jag kanske inte kan förklara, men klicka på följande länk och scrolla ner till port 80 så ser du vad den står för:

 

http://www.iana.org/assignments/port-numbers

 

Voodoo chile (slight return)

 

Länk till kommentar
Dela på andra webbplatser
pblse

pblse

Postad
Postad

Port 80 används normal av webservrar så om man kör en webserver har man normalt konfiggat brandväggen att släppa igenom port 80.

 

 

Länk till kommentar
Dela på andra webbplatser
gdsgd

gdsgd

Postad
Postad

Jag såg den tidigare här i tråden men sammanhangen har jag inte fått riktigt klart för mig ännu. Jösses vad jag har mycket att lära mig.

 

 

-----

MVH//emil

 

Länk till kommentar
Dela på andra webbplatser
pblse

pblse

Postad
Postad

Nej, din browser gör normalt anrop på port 80 till den server du för tillfället surfar på men det kommer ingen inkommade trafik på port 80 när du surfar utan det sker på en slumpmässig port från port 1024 och uppåt.

 

 

Länk till kommentar
Dela på andra webbplatser
Webster

Webster

Postad
  • Trådskapare
Postad

Om servicen på Abuse är lika usel som deras tech support så kommer inget att hända. Och det är den, har anmält men inget hört från dem.

 

De verkar inte sälja sin antivirus (etc) så vidare bra, och nog för att de har haft märkliga affärsideer, men jag kan inte i mina vildaste fantasier tro att de är så korkade att de vill att Nimda skall marknadsföra deras tjänster.

 

Nej, det krävs att någon JOURNALIST skriver om eländet och belyser att:

 

1) Telia vet vem som vid ett givet tillfälle kör med ett IP nummer

 

2) Telia skulle genom att låsa kontot tvinga kunden att rensa upp sin maskin

 

3) Telia borde agera mer professionellt med att öka säkerheten i sina nät

 

Kanske, när värsta kvartals hystering och samgåendet med Sonera lagt sig så.....

 

Länk till kommentar
Dela på andra webbplatser
Avicii

Avicii

Postad
Postad
"Om servicen på Abuse är lika usel som deras tech support så kommer inget att hända. Och det är den, har anmält men inget hört från dem"

Sedan 4 april har jag anmält alla The firewall has blocked Internet access to your computer från IP-nummer som börjar med 213.xx.xxx.xx till:

http://www.telia.se/bvo/omdirigering/tvaramar.jsp.html?body=http%3a%2f%2f194.237.170.119%2freporteng.php&refoid=Abuse

Alltså Telia IP-nummer. Det har rört sig om 10-20 anmälningar per dag. Idag har jag noterat endast 2 försök från 213.xx.osv. Kanske för tidigt att dra slutsats. Men jag tror att om fler skulle vara lika konsekventa skulle Telia vara tvugna att agera kraftfullare.

 

Tillägg: Har varit uppkopplad sedan 0800 i morse.

 

[inlägget ändrat 2002-04-09 21:08:46 av Maratonmannen]

Länk till kommentar
Dela på andra webbplatser
[SH]

[SH]

Postad
Postad

Att anmäla alla anrop från Telia-kunder till din dator kan ju vara att gå till överdrift...

 

Alla anrop är ju inte elakartade så att säga.

 

/Stefan

___________________________________________________________

To me, boxing is like a ballet, except there's no music, no choreography and the dancers hit each other.

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...