|
|
 | Spærring af webspeed forbindelse
Fra : Stefan |
Dato : 17-06-04 10:12 |
|
Hej NG,
Jeg oplevede for et par dage siden, at min webspeed forbindelse pludseligt
var blevet lukket. Jeg ringede efterfølgende til deres support, som meddelte
mig at den var blevet spærret grundet spam. Han kunne ikke oplyse mig om
hvilken type spam der var tale om, og hvornår det angiveligt skulle have
fundet sted.
Jeg ved jeg ikke selv har spammet, så der måtte være tale om spam som følge
af virus eller andet sikkerhedsbrud, så jeg blev lidt chokeret. Jeg scannede
efterfølgende alle mine maskiner igennem for virus, og checkede min firewall
for at se om der var foregået noget mistænkeligt, men jeg fandt ikke noget.
Jeg rettede henvendelse til webspeed support for at få nærmere at vide hvad
og hvornår spammingen var foregået, eventuelt kunne de sende mig en logfil,
de lovede nogen ville vende tilbage, men det skete aldrig. Jeg har nu også
mailet dem, men jeg har stadig ikke fået noget uddybende om det.
Nu da jeg har checket alt igennem igen, er jeg sikker på der ikke har været
noget herfra, så der må være tale om en fejl i deres system. Er der nogen
der har haft lignende erfaringer med dem?
Med venlig hilsen
Stefan Sommer
Ps. ønsker i at maile mig direkte, erstat da det foran @'et med mit fornavn.
| |
 Niels Dybdahl (17-06-2004)
| Kommentar
Fra : Niels Dybdahl |
Dato : 17-06-04 10:14 |
|
> Jeg ved jeg ikke selv har spammet, så der måtte være tale om spam som
følge
> af virus eller andet sikkerhedsbrud, så jeg blev lidt chokeret. Jeg
scannede
> efterfølgende alle mine maskiner igennem for virus, og checkede min
firewall
> for at se om der var foregået noget mistænkeligt, men jeg fandt ikke
noget.
Har du cheket om du har en åben mailserver ?
Niels Dybdahl
| |
Stefan (17-06-2004)
| Kommentar
Fra : Stefan |
Dato : 17-06-04 10:46 |
|
> Har du cheket om du har en åben mailserver ?
Yeps, faktisk kører jeg ingen servere overhovedet, og sidder bag en NAT
firewall. Det eneste der bliver forwardet igennem den er porte til min
IP-telefon, og jeg har endnu ikke hørt om et exploit til dem 
| |
 Ukendt (17-06-2004)
| Kommentar
Fra : Ukendt |
Dato : 17-06-04 10:56 |
|
On Thu, 17 Jun 2004 11:45:48 +0200 skrev "Stefan" <spamme@sommer-net.dk> .
>> Har du cheket om du har en åben mailserver ?
>
>Yeps, faktisk kører jeg ingen servere overhovedet, og sidder bag en NAT
>firewall. Det eneste der bliver forwardet igennem den er porte til min
>IP-telefon, og jeg har endnu ikke hørt om et exploit til dem
Mener at have hørt orm virus/orme der kan fjernaktiveres og benyttes til at
netop at sende 'spam' ud fra en vilkårlig inficeret maskine. Har sin egen
indbyggede mail-server...et vildt skud...men værd at undersøge...
VH Martin
| |
Stefan (17-06-2004)
| Kommentar
Fra : Stefan |
Dato : 17-06-04 11:20 |
|
> Mener at have hørt orm virus/orme der kan fjernaktiveres og benyttes til
at
> netop at sende 'spam' ud fra en vilkårlig inficeret maskine. Har sin egen
> indbyggede mail-server...et vildt skud...men værd at undersøge...
Det er der vist faktisk mange virusser der bygget på, og det var også sådan
en jeg mistænkte først. Derfor scannede jeg mine maskiner igennem med en
opdateret virus-scanner som det allerførste.
| |
Morten Bjergstrøm (17-06-2004)
| Kommentar
Fra : Morten Bjergstrøm |
Dato : 17-06-04 11:08 |
|
"Stefan" <spamme@sommer-net.dk> skrev:
> Jeg rettede henvendelse til webspeed support for at få nærmere at
> vide hvad og hvornår spammingen var foregået, eventuelt kunne de
> sende mig en logfil, de lovede nogen ville vende tilbage, men det
> skete aldrig. Jeg har nu også mailet dem, men jeg har stadig ikke
> fået noget uddybende om det.
Prøv at hiv fat i dem igen. Hvis de ikke kan dokumentere, at din
maskine har sendt spam så kræv at blive kompenseret for den manglende
internetforbindelse.
--
Morten http://miljokemi.dk
Chilidyrkning http://miljokemi.dk/chili
| |
Stefan (17-06-2004)
| Kommentar
Fra : Stefan |
Dato : 17-06-04 11:19 |
|
> Prøv at hiv fat i dem igen. Hvis de ikke kan dokumentere, at din
> maskine har sendt spam så kræv at blive kompenseret for den manglende
> internetforbindelse.
Nu manglede jeg det ikke i mere end et par timer, og han var meget hurtig
til at åbne det op igen.
Det jeg mere er bekymret for er, at han sagde, at man fik 3 af disse
advarsler før ens forbindelse blev lukket permanent. Hvis der er tale om en
fejl i deres automatiske "spam-filter" eller hvad de end måtte køre med, så
kan det ske igen, og så kan jeg ligepludselig sidde med en lukket
forbindelse. Hvis der ikke er en fejl, men jeg rent faktisk spammer, så vil
jeg meget gerne have det at vide - ellers har jeg jo ikke en chance for at
stoppe det.
| |
Bertel Lund Hansen (17-06-2004)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 17-06-04 11:24 |
|
Stefan skrev:
>forbindelse. Hvis der ikke er en fejl, men jeg rent faktisk spammer, så vil
>jeg meget gerne have det at vide - ellers har jeg jo ikke en chance for at
>stoppe det.
Jeg har Stofanet med kabelmodem, og det har jeg anbragt lige ved
siden af computeren så jeg hele tiden kan holde øje med lamperne
- primært send og modtag. Jeg ville derfor kunne opdage
uautoriseret nettrafik ganske hurtigt.
Kan du noget tilsvarende?
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
Morten Bjergstrøm (17-06-2004)
| Kommentar
Fra : Morten Bjergstrøm |
Dato : 17-06-04 11:40 |
|
"Stefan" <spamme@sommer-net.dk> skrev:
>> Prøv at hiv fat i dem igen. Hvis de ikke kan dokumentere, at din
>> maskine har sendt spam så kræv at blive kompenseret for den
>> manglende internetforbindelse.
>
> Nu manglede jeg det ikke i mere end et par timer, og han var meget
> hurtig til at åbne det op igen.
Ok jeg opfattede det som om det var flere dage. Et par timer er nok
lidt voldsomt at kræve kompensation for
> Det jeg mere er bekymret for er, at han sagde, at man fik 3 af
> disse advarsler før ens forbindelse blev lukket permanent. Hvis
> der er tale om en fejl i deres automatiske "spam-filter" eller
> hvad de end måtte køre med, så kan det ske igen, og så kan jeg
> ligepludselig sidde med en lukket forbindelse. Hvis der ikke er en
> fejl, men jeg rent faktisk spammer, så vil jeg meget gerne have
> det at vide - ellers har jeg jo ikke en chance for at stoppe det.
Du må prøve at få fat i dem for begge dele vil jo være noget skidt.
Hvis du har scannet med et opdateret virusprogram tvivler jeg på, at du
er inficeret med en virus/orm så det er nok TDC, der har kigget forkert
i en logfil.
--
Morten http://miljokemi.dk
Chilidyrkning http://miljokemi.dk/chili
| |
Christian Joergensen (17-06-2004)
| Kommentar
Fra : Christian Joergensen |
Dato : 17-06-04 11:13 |
|
On Thu, 17 Jun 2004 11:12:16 +0200, Stefan wrote:
> Jeg oplevede for et par dage siden, at min webspeed forbindelse
> pludseligt var blevet lukket. Jeg ringede efterfølgende til deres
> support, som meddelte mig at den var blevet spærret grundet spam.
Det lyder fornuftigt.
> Jeg ved jeg ikke selv har spammet, så der måtte være tale om spam som
> følge af virus eller andet sikkerhedsbrud, så jeg blev lidt chokeret.
> Jeg scannede efterfølgende alle mine maskiner igennem for virus, og
> checkede min firewall for at se om der var foregået noget
> mistænkeligt, men jeg fandt ikke noget.
Spærrer din firewall udgående trafik på port 25/tcp? Det er på denne
port udsendelse af email foregår. Det er ret ofte man ser maskiner der er
blevet ramt af en virus, fungere som spam-kilder. (Såkaldte zombies)
Det vil sige, de står og sender email ud, uden at den ansvarlige bruger
ved af det.
> Jeg rettede henvendelse til webspeed support for at få nærmere at vide
> hvad og hvornår spammingen var foregået, eventuelt kunne de sende mig
> en logfil, de lovede nogen ville vende tilbage, men det skete aldrig.
> Jeg har nu også mailet dem, men jeg har stadig ikke fået noget
> uddybende om det.
Hvor lang tid er der gået? Hvad står der i dine abonnementsbetingelser
omkring misbrug af forbindelsen?
Selvom du ikke aktivt har sendt spam fra din forbindelse, er det alligevel
dit ansvar at sørge for din maskine ikke bliver brugt til sådan noget.
Hvis den gør, kan TDC jo ikke gøre andet end holde dig ansvarlig.
> Nu da jeg har checket alt igennem igen, er jeg sikker på der ikke har
> været noget herfra, så der må være tale om en fejl i deres system.
Hvad har du kontrolleret? Hvordan kan du være så sikker?
> Er der nogen der har haft lignende erfaringer med dem?
Mine erfaringer med TDC abuse har helt klart været at de har været
enormt sløve. Men det ser ud som om de rent faktisk begynder at gøre
noget ved det nu. Thumbs up!
--
Christian Jørgensen
http://www.razor.dk
| |
Stefan (17-06-2004)
| Kommentar
Fra : Stefan |
Dato : 17-06-04 11:28 |
|
> Spærrer din firewall udgående trafik på port 25/tcp? Det er på denne
> port udsendelse af email foregår. Det er ret ofte man ser maskiner der er
> blevet ramt af en virus, fungere som spam-kilder. (Såkaldte zombies)
Jeg scannede somsagt mine maskiner igennem med antivirus straks efter, der
var ikke noget at finde.
> Selvom du ikke aktivt har sendt spam fra din forbindelse, er det alligevel
> dit ansvar at sørge for din maskine ikke bliver brugt til sådan noget.
> Hvis den gør, kan TDC jo ikke gøre andet end holde dig ansvarlig.
Helt enig - derfor har jeg flere gange nu udbedt dem detaljer om hvad jeg
har gjort for at få min forbindelse spærret, eller har jeg jo ikke en chance
for at stoppe det.
> Hvad har du kontrolleret? Hvordan kan du være så sikker?
Jeg scannede somsagt efter virusser, min firewall viser heller ikke nogen
tegn på spam. Jeg har tidligere arbejdet som IT-administrator, så jeg har en
ide om hvad jeg skal kigge efter.
> Mine erfaringer med TDC abuse har helt klart været at de har været
> enormt sløve. Men det ser ud som om de rent faktisk begynder at gøre
> noget ved det nu. Thumbs up!
Ja, sløve er de ihvertfald når det kommer til dokumentation for deres
spærringer.
| |
Christian Joergensen (17-06-2004)
| Kommentar
Fra : Christian Joergensen |
Dato : 17-06-04 13:50 |
|
On Thu, 17 Jun 2004 12:27:52 +0200, Stefan wrote:
>> Spærrer din firewall udgående trafik på port 25/tcp? Det er på denne
>> port udsendelse af email foregår. Det er ret ofte man ser maskiner der er
>> blevet ramt af en virus, fungere som spam-kilder. (Såkaldte zombies)
> Jeg scannede somsagt mine maskiner igennem med antivirus straks efter, der
> var ikke noget at finde.
Anti-virus-scannere fanger kun de vira de er bygget til at fange. Hvis
ikke scanneren kan identificere virus, kan den heller ikke fange den.
Der kommer hele tiden nye vira til.
--
Christian Jørgensen
http://www.razor.dk
| |
Stefan (17-06-2004)
| Kommentar
Fra : Stefan |
Dato : 17-06-04 15:02 |
|
> Anti-virus-scannere fanger kun de vira de er bygget til at fange. Hvis
> ikke scanneren kan identificere virus, kan den heller ikke fange den.
>
> Der kommer hele tiden nye vira til.
Sandt nok, men nu er det en hændelse der snart er en uge gammel, og så længe
tror jeg alligevel ikke en virus går uopdaget. De fleste anti-virus
producenter har en løsning inden for et døgn.
| |
Bjarke Andersen (17-06-2004)
| Kommentar
Fra : Bjarke Andersen |
Dato : 17-06-04 14:24 |
|
"Stefan" <spamme@sommer-net.dk> crashed Echelon writing
news:40d16072$0$276$edfadb0f@dread12.news.tele.dk:
> Nu da jeg har checket alt igennem igen, er jeg sikker på der ikke har
> været noget herfra, så der må være tale om en fejl i deres system. Er
> der nogen der har haft lignende erfaringer med dem?
Har du checket for spyware adpayware. Mange tjenester hvor man låner sin
tid/computer for penge ved at installere et program er spamsendere.
Hvordan er din fysiske sikkerhed, Wifi eller trådet netværk? Kan det være
muligt at nogen har anvendt dit netværk og din forbindelse til spam eller
med en inficeret maskine?
--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address
| |
Stefan (17-06-2004)
| Kommentar
Fra : Stefan |
Dato : 17-06-04 14:56 |
|
> Har du checket for spyware adpayware. Mange tjenester hvor man låner sin
> tid/computer for penge ved at installere et program er spamsendere.
Jeg har kørt Ad-aware, spybot og spywareblaster. Den fandt en smule, men det
meste var cookies og et enkelt "browser hack".
Jeg har heller ikke noget af det sidste du nævnte installeret.
> Hvordan er din fysiske sikkerhed, Wifi eller trådet netværk?
Intet trådløst. Det er et lukket netværk med 3 computere og en nogenlunde
almindelig NAT router.
> Kan det være
> muligt at nogen har anvendt dit netværk og din forbindelse til spam eller
> med en inficeret maskine?
En kammerat havde sin bærbar på for noget tid siden. Men hvis det har været
ham, har de været noget sløve i optrækket, for det er snart 2 uger siden.
Det er alt sammen spekulationer på nuværende tidspunkt, hvilket er hvorfor
jeg har rykket TDC for at få nogle detaljer, det ville gøre det hele noget
lettere for mig at lokalisere "kilden". Det at de ikke har svaret på mine
henvendelser kunne jo så godt tyde på at de ikke har noget dokumentation, og
det er i virkeligheden derfor jeg oprettede denne tråd, for at høre om andre
har været ude for det?
| |
Kasper Bergh (17-06-2004)
| Kommentar
Fra : Kasper Bergh |
Dato : 17-06-04 17:59 |
|
"Stefan" <spamme@sommer-net.dk> wrote in message
news:40d1a2e5$0$193$edfadb0f@dread12.news.tele.dk...
> > Har du checket for spyware adpayware. Mange tjenester hvor man låner sin
> > tid/computer for penge ved at installere et program er spamsendere.
>
> Jeg har kørt Ad-aware, spybot og spywareblaster. Den fandt en smule, men
det
> meste var cookies og et enkelt "browser hack".
> Jeg har heller ikke noget af det sidste du nævnte installeret.
Vær opmærksom på der findes *mange* spyware/adware programmer som disse
programmer (som ellers kan anbefales) ikke kan finde og/eller fjerne. Ikke
dermed sagt det er problemet, men du kan ikke være 100% sikker - det kan du
for den sags skyld heller ikke være med Antivirus, for mange vrii disabler
AV programmer eller på anden måde sørger for du ikke kan finde dem med de
almindelige AV programmer når de først er inde.
> > Kan det være
> > muligt at nogen har anvendt dit netværk og din forbindelse til spam
eller
> > med en inficeret maskine?
>
> En kammerat havde sin bærbar på for noget tid siden. Men hvis det har
været
> ham, har de været noget sløve i optrækket, for det er snart 2 uger siden.
Det er skam ret sandsynligt. 2 uger er ikke utænkeligt hvis det fx er et
script som samler op og ser på mængden af mails/spam sendt over en måned.
> Det er alt sammen spekulationer på nuværende tidspunkt, hvilket er hvorfor
> jeg har rykket TDC for at få nogle detaljer, det ville gøre det hele noget
> lettere for mig at lokalisere "kilden". Det at de ikke har svaret på mine
> henvendelser kunne jo så godt tyde på at de ikke har noget dokumentation,
og
> det er i virkeligheden derfor jeg oprettede denne tråd, for at høre om
andre
> har været ude for det?
Nok mere sandsynligt at dem der sidder med dokumentationen rent
organisationsmæssigt sidder meget langt fra kundeservice.
mvh
/Kasper
| |
Bjarke Andersen (17-06-2004)
| Kommentar
Fra : Bjarke Andersen |
Dato : 17-06-04 18:26 |
|
"Stefan" <spamme@sommer-net.dk> crashed Echelon writing
news:40d1a2e5$0$193$edfadb0f@dread12.news.tele.dk:
> En kammerat havde sin bærbar på for noget tid siden. Men hvis det har
> været ham, har de været noget sløve i optrækket, for det er snart 2
> uger siden.
Tja, nogen skal jo først rapportere at du sender spam, den skal så lige
behandles af Csirt/Abuse og så bestilles nedlukning, og hvis de nu har
travlt.
--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address
| |
Jesper Dybdal (17-06-2004)
| Kommentar
Fra : Jesper Dybdal |
Dato : 17-06-04 15:42 |
|
"Stefan" <spamme@sommer-net.dk> wrote:
>NNTP-Posting-Host: 80.167.216.135
....
>Jeg oplevede for et par dage siden, at min webspeed forbindelse pludseligt
>var blevet lukket. Jeg ringede efterfølgende til deres support, som meddelte
>mig at den var blevet spærret grundet spam. Han kunne ikke oplyse mig om
>hvilken type spam der var tale om, og hvornår det angiveligt skulle have
>fundet sted.
Hvis du også dengang havde ip-adressen 80.167.216.135, så kan man
konstatere at den pt. er blacklistet i flere RBL'er.
På http://dsbl.org/listing?ip=80.167.216.135 finder du fx oplysning om
at den adresse den 13. maj var en åben http-proxy.
>Yeps, faktisk kører jeg ingen servere overhovedet, og sidder bag en NAT
>firewall. Det eneste der bliver forwardet igennem den er porte til min
>IP-telefon, og jeg har endnu ikke hørt om et exploit til dem
Port 80 svarer pt. på den ip-adresse, hvilket stærkt antyder at du
ikke har ret i at der ikke er farlige porte åbne.
Nu er det jo en dynamiske ip-adresse, så jeg kan ikke vide hvornår du
har og ikke har haft den adresse; men meget tyder at du kører en åben
http-proxy. Alternativt har TDC ikke styr på hvem der havde hvilken
adresse hvornår, men det virker ganske usandsynligt.
Jeg synes det er fint at TDC tilsyneladende nu faktisk gør noget ved
den slags; men det er da helt urimeligt at de ikke fortæller præcis
hvorfor man har fået sin forbindelse lukket.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Christian Joergensen (17-06-2004)
| Kommentar
Fra : Christian Joergensen |
Dato : 17-06-04 15:53 |
| | |
Stefan (17-06-2004)
| Kommentar
Fra : Stefan |
Dato : 17-06-04 17:16 |
|
> Hvis du også dengang havde ip-adressen 80.167.216.135, så kan man
> konstatere at den pt. er blacklistet i flere RBL'er.
>
> På http://dsbl.org/listing?ip=80.167.216.135 finder du fx oplysning om
> at den adresse den 13. maj var en åben http-proxy.
Se, det var sådan noget jeg efterlyste fra TDC's side!
>80 svarer pt. på den ip-adresse, hvilket stærkt antyder at du
> ikke har ret i at der ikke er farlige porte åbne.
Der kører faktisk i øjeblikket en tomcat webserver jeg bruger til noget
software udvikling, men at den skulle være en sikkerhedsrisiko, eller
fungere som en http proxy, har jeg ikke hørt om før.. Det er noget jeg vil
undersøge, den er ihvertfald lukket indtil videre. Tak for tippet!
| |
Christian Joergensen (17-06-2004)
| Kommentar
Fra : Christian Joergensen |
Dato : 17-06-04 17:39 |
|
On Thu, 17 Jun 2004 18:16:14 +0200, Stefan wrote:
> Der kører faktisk i øjeblikket en tomcat webserver jeg bruger til noget
> software udvikling, men at den skulle være en sikkerhedsrisiko, eller
> fungere som en http proxy, har jeg ikke hørt om før.. Det er noget jeg vil
> undersøge, den er ihvertfald lukket indtil videre. Tak for tippet!
Kontrollér din access.log for CONNECT-forespørgsler.
--
Christian Jørgensen
http://www.razor.dk
| |
|
|