---

Ja hvad gør jeg når min webserver konstant bliver angrebet udefra, iflg.
loggen en det "cmd.exe" og "root.exe" de går efter
hvad kan jeg gøre for at finde ud af hvem disse personer er, jeg har deres
ip adresser, og jeg har spurgt TDC hvad jeg skal gøre
eller de kan gøre, ingenting siger de inde på support.
serveren har været under konstant angreb hele eftermiddagen, og forøvrigt
flere dage forinden.

Er der en måde at spore deres ip adresser på, og hvis der er hvilke metoder
er der.

Ps. Ud fra Ip adresserne er det TDC kunder som laver disse angreb.

--
Venlig Hilsen
Jan Larsen
jala@post2.tele.dk

---

"Monsi" <jala@post2.tele.dk> writes:

>Ja hvad gør jeg når min webserver konstant bliver angrebet udefra, iflg.
>loggen en det "cmd.exe" og "root.exe" de går efter
>hvad kan jeg gøre for at finde ud af hvem disse personer er, jeg har deres

Det er ikke personer - snarere servere inficeret med Nimda.

Hvis din webserver er en IIS og patchet ordentligt, eller hvis du
kører en anden type webserver, er der næppe noget at være bekymret
over.

Mvh.
   Klaus.

---

"Klaus Ellegaard" <klaus@ellegaard.dk> skrev i en meddelelse
news:9pnvp3$2dt8$1@katie.ellegaard.dk...
> "Monsi" <jala@post2.tele.dk> writes:
>
> >Ja hvad gør jeg når min webserver konstant bliver angrebet udefra, iflg.
> >loggen en det "cmd.exe" og "root.exe" de går efter
> >hvad kan jeg gøre for at finde ud af hvem disse personer er, jeg har
deres
>
> Det er ikke personer - snarere servere inficeret med Nimda.
>
> Hvis din webserver er en IIS og patchet ordentligt, eller hvis du
> kører en anden type webserver, er der næppe noget at være bekymret
> over.

OK, tak for svaret, det som også undre mig er at lige pludselig bliver jeg
"angrebet" fra 10-15 forskellige ip adresser, det kunne måske godt tyde på
det du siger.

Men man burde kunne gøre et eller andet, for det bruger trods alt båndbredde
unødigt, og jeg er garanteret ikke den eneste som er under attack.

Hvis det er en eller flere servere som er inficeret kunne det jo være at dem
som ejer dem er interreseret i at få det af vide.

Venlig Hilsen
Jan Larsen

---

On Sun, 7 Oct 2001 00:35:51 +0200, "Monsi"
<jala@post2.tele.dk> wrote:

>OK, tak for svaret, det som også undre mig er at lige pludselig bliver jeg
>"angrebet" fra 10-15 forskellige ip adresser, det kunne måske godt tyde på
>det du siger.

Du kunne evt. læse lidt her:

https://www.cert.dk/anmeld/anmeld.htm

Måske kunne det give nogen idér.




--
Med venlig hilsen Ole Andersen i Aalborg
<URL:http://andersen.person.dk>

---

On Sun, 7 Oct 2001 00:35:51 +0200, Monsi <jala@post2.tele.dk> wrote:
>
>"Klaus Ellegaard" <klaus@ellegaard.dk> skrev i en meddelelse
>news:9pnvp3$2dt8$1@katie.ellegaard.dk...
>> "Monsi" <jala@post2.tele.dk> writes:
>>
>> >Ja hvad gør jeg når min webserver konstant bliver angrebet udefra, iflg.
>> >loggen en det "cmd.exe" og "root.exe" de går efter
>> >hvad kan jeg gøre for at finde ud af hvem disse personer er, jeg har
>deres
>>
>> Det er ikke personer - snarere servere inficeret med Nimda.
>
>Men man burde kunne gøre et eller andet, for det bruger trods alt båndbredde
>unødigt, og jeg er garanteret ikke den eneste som er under attack.

LaBrea er din ven.

http://www.threenorth.com/LaBrea/


/Morten

---

"Morten Guldager" <spamtrap@mogul.dk> wrote in message
news:slrn9rvrqp.5j8.spamtrap@guldager.uni.to...
> On Sun, 7 Oct 2001 00:35:51 +0200, Monsi <jala@post2.tele.dk> wrote:
> >Men man burde kunne gøre et eller andet, for det bruger trods alt
båndbredde
> >unødigt, og jeg er garanteret ikke den eneste som er under attack.
>
> LaBrea er din ven.
>
> http://www.threenorth.com/LaBrea/

kun hvis man har flere ip'er

---

"Tournesol \(Jan Novak\)" <spam@moravia.dk> writes:

> > LaBrea er din ven.
>
> kun hvis man har flere ip'er

.... som er ubrugte. En ting de færreste privatkunder har ret mange
af.

--
Jacob - www.bunk.cc
The secret of happiness is total disregard of everybody.

---

"Monsi" <jala@post2.tele.dk> writes:

> Ja hvad gør jeg når min webserver konstant bliver angrebet udefra

Velkommen til internettet. Husk at spænde sikkerhedsselen.

> iflg. loggen en det "cmd.exe" og "root.exe" de går efter

Det lyder som Nimda.

> hvad kan jeg gøre for at finde ud af hvem disse personer er,

Ikke ret meget. Deres maskiner angriber sikkert uden de selv er klar
over det.

> jeg har deres ip adresser, og jeg har spurgt TDC hvad jeg skal gøre
> eller de kan gøre, ingenting siger de inde på support.

Jeg tror du skal lytte til supporten og evt. give dig til at lukke for
de pågældende IP-adresser i din firewall, hvis du ikke gider at se på
det i din webserver-log.

> Er der en måde at spore deres ip adresser på, og hvis der er hvilke metoder
> er der.

Du kan selvfølgelig give dig til at se hvem IP-adresserne er tildelt
til, men det vil næppe hjælpe ret meget.

Se fx <http://www.net-faq.dk/cgi-bin/faqmain.pl?get=ip-whois>.

> Ps. Ud fra Ip adresserne er det TDC kunder som laver disse angreb.

Nimda er specielt glad for at angribe maskiner der har IP-adresser i
nærheden af dens egen. Derfor vil du som TDC-kunde primært se angreb
fra andre TDC-kunder.

Jeg lavede et script til at blackhole hosts med iptables på en af mine
venners compute der også gemmer sig bag en TDC-ADSL. På den måde
slipper hans webserver i det mindste for at snakke med dem.

--
Jacob - www.bunk.cc
He's just a politician trying to save both his faces...

---

"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:m3bsjkqtyj.fsf@paven.bunk.cc...
> "Monsi" <jala@post2.tele.dk> writes:
>
> > Ja hvad gør jeg når min webserver konstant bliver angrebet udefra
>
> Velkommen til internettet. Husk at spænde sikkerhedsselen.
>
> > iflg. loggen en det "cmd.exe" og "root.exe" de går efter
>
> Det lyder som Nimda.
>
> > hvad kan jeg gøre for at finde ud af hvem disse personer er,
>
> Ikke ret meget. Deres maskiner angriber sikkert uden de selv er klar
> over det.
>
> > jeg har deres ip adresser, og jeg har spurgt TDC hvad jeg skal gøre
> > eller de kan gøre, ingenting siger de inde på support.
>
> Jeg tror du skal lytte til supporten og evt. give dig til at lukke for
> de pågældende IP-adresser i din firewall, hvis du ikke gider at se på
> det i din webserver-log.
>
> > Er der en måde at spore deres ip adresser på, og hvis der er hvilke
metoder
> > er der.
>
> Du kan selvfølgelig give dig til at se hvem IP-adresserne er tildelt
> til, men det vil næppe hjælpe ret meget.
>
> Se fx <http://www.net-faq.dk/cgi-bin/faqmain.pl?get=ip-whois>.
>
> > Ps. Ud fra Ip adresserne er det TDC kunder som laver disse angreb.
>
> Nimda er specielt glad for at angribe maskiner der har IP-adresser i
> nærheden af dens egen. Derfor vil du som TDC-kunde primært se angreb
> fra andre TDC-kunder.
>
> Jeg lavede et script til at blackhole hosts med iptables på en af mine
> venners compute der også gemmer sig bag en TDC-ADSL. På den måde
> slipper hans webserver i det mindste for at snakke med dem.

Jeg lukker også for dem i min firewall, og det er ikke noget problem andet
end at serveren hele tiden skal bruge tid på at svare på det L.... !

---

"Monsi" <jala@post2.tele.dk> writes:

> Jeg lukker også for dem i min firewall, og det er ikke noget problem andet
> end at serveren hele tiden skal bruge tid på at svare på det L.... !

Hvis firewallen æder dem, så er det vel ikke noget problem? Så koster
det højst en smule båndbredde.

Webserveren ser jo så aldrig trafikken og skal ikke bruge båndbredde
på at sende en 404-side tilbage.

--
Jacob - www.bunk.cc
The average nutritional value of promises is roughly zero.

---

"Monsi" <jala@post2.tele.dk> skrev i en meddelelse
news:3bbf81e3$0$51393$edfadb0f@dspool01.news.tele.dk...
> Ja hvad gør jeg når min webserver konstant bliver angrebet udefra, iflg.
> loggen en det "cmd.exe" og "root.exe" de går efter
> hvad kan jeg gøre for at finde ud af hvem disse personer er, jeg har deres
> ip adresser, og jeg har spurgt TDC hvad jeg skal gøre
> eller de kan gøre, ingenting siger de inde på support.

Du kan sende en mail til abuse-afdelingen hos angribernes udbyder, med en
beskrivelse af hvad der er sket.

Udbyderen bør så kontakter de pågældende brugere.

Mvh haa.

---

> "Monsi" <jala@post2.tele.dk> skrev i en meddelelse
> news:3bbf81e3$0$51393$edfadb0f@dspool01.news.tele.dk...
> > Ja hvad gør jeg når min webserver konstant bliver angrebet udefra, iflg.
> > loggen en det "cmd.exe" og "root.exe" de går efter
> > hvad kan jeg gøre for at finde ud af hvem disse personer er, jeg har
deres
> > ip adresser, og jeg har spurgt TDC hvad jeg skal gøre
> > eller de kan gøre, ingenting siger de inde på support.
>
> Du kan sende en mail til abuse-afdelingen hos angribernes udbyder, med en
> beskrivelse af hvad der er sket.
>
> Udbyderen bør så kontakter de pågældende brugere.

Abuse-afdelingen hvad er det .

---

> > "Monsi" <jala@post2.tele.dk> skrev i en meddelelse
> > news:3bbf81e3$0$51393$edfadb0f@dspool01.news.tele.dk...
> > > Ja hvad gør jeg når min webserver konstant bliver angrebet udefra,
iflg.
> > > loggen en det "cmd.exe" og "root.exe" de går efter
> > > hvad kan jeg gøre for at finde ud af hvem disse personer er, jeg har
> deres
> > > ip adresser, og jeg har spurgt TDC hvad jeg skal gøre
> > > eller de kan gøre, ingenting siger de inde på support.
> >
> > Du kan sende en mail til abuse-afdelingen hos angribernes udbyder, med
en
> > beskrivelse af hvad der er sket.
> >
> > Udbyderen bør så kontakter de pågældende brugere.
>
> Abuse-afdelingen hvad er det .

Jeg har lige haft kontakt til en som jeg kender som også har en webserver
kørende, han er blevet angrebet af de samme ip adresser, så mon ikke der er
mange ude i Danmark som har samme problem, Måske uden at vide det.

Jeg vil foreslå at TDC holder lidt øje med denne trafik, hvis det er muligt

Jan Larsen

---

On Sun, 7 Oct 2001 11:52:39 +0200, "Monsi" <jala@post2.tele.dk> wrote:

>> > Du kan sende en mail til abuse-afdelingen hos angribernes udbyder, med
>en
>> > beskrivelse af hvad der er sket.
>> >
>> > Udbyderen bør så kontakter de pågældende brugere.
>>
>> Abuse-afdelingen hvad er det .
>
>Jeg har lige haft kontakt til en som jeg kender som også har en webserver
>kørende, han er blevet angrebet af de samme ip adresser, så mon ikke der er
>mange ude i Danmark som har samme problem, Måske uden at vide det.

jeg tror sandelig du har ret

>Jeg vil foreslå at TDC holder lidt øje med denne trafik, hvis det er muligt

alt er muligt... men hvem skal betale?

--
med venlig hilsen
Thomas Jensen
Sig. til lejligheden:
http://www.pil.dk/produkter/adsl/

---

"Thomas Jensen - pil.dk" <tj@dev.null> skrev i en meddelelse
news:53b0st4l1osn3j9l7mdcggqk9907l5lins@4ax.com...
>
> alt er muligt... men hvem skal betale?

Hvis TDC's abuse-afdeling får henvendelser om dette ( og hvis det er deres
net angrebet kommer fra ), så skal TDC reagere.
Det er jo det man har en abuse-afdeling til.

Mvh HAA.

---

On 07 okt 2001 Henrik Aarfeldt enriched usenet with:

> Hvis TDC's abuse-afdeling får henvendelser om dette ( og hvis det er
> deres net angrebet kommer fra ), så skal TDC reagere.
> Det er jo det man har en abuse-afdeling til.

Naturligvis, men der er et godt stykke vej fra at behandle indkomne klager
til at overvåge IP-trafik for Nimda-requests

--
Lars Kyndi Laursen, som ikke repræsenterer noget som helst

Usenet ville være et fredeligere sted uden danske radio-amatører

---

Lars Kyndi Laursen <spam_me_senseless@mail.dk> writes:

>Naturligvis, men der er et godt stykke vej fra at behandle indkomne klager
>til at overvåge IP-trafik for Nimda-requests

Yep.

Overvågning er en farlig vej at gå. For hvis man først har selve
overvågningen på plads, er det jo utroligt nemt "liiiige" at give
den en ekstra regel eller to.

Og så er Big Brother lige pludselig væk fra TV-skærmen og tilbage
i sit vante jeg.

Mvh.
   Klaus.

---

On 07 Oct 2001 11:40:54 GMT, Lars Kyndi Laursen
<spam_me_senseless@mail.dk> wrote:

>On 07 okt 2001 Henrik Aarfeldt enriched usenet with:
>
>> Hvis TDC's abuse-afdeling får henvendelser om dette ( og hvis det er
>> deres net angrebet kommer fra ), så skal TDC reagere.
>> Det er jo det man har en abuse-afdeling til.
>
>Naturligvis, men der er et godt stykke vej fra at behandle indkomne klager
>til at overvåge IP-trafik for Nimda-requests

og så simpel er diskussionen i mine øjne ikke.

Hvor er brugernes eget ansvar?

Hvor er ansvaret fra producenterne af software som gang på gang
komprimiteres?

Hvor stort et ramaskrig vil lyde hvis isp'erne simpelt blot nægter at
route trafik fra inficerede servere?

Eller er forventningen at isp'erne afsætter højt kvalificeret
arbejdskraft til at ringe rundt til familien Danmark for at forklare
dem at de har et problem og derefter uddanne dem til at gøre deres
ting godt nok[tm]?

Jeg tror vi må have en journalist/politiker på banen som kan sige
noget højt kvalificeret om den diskussion.

--
med venlig hilsen
Thomas Jensen
Sig. til lejligheden:
http://www.pil.dk/produkter/adsl/

---

"Thomas Jensen - pil.dk" <tj@dev.null> skrev i en meddelelse
news:f7p0st8oin259sb4ntj7f182t8hfr0hfog@4ax.com...
>
> Hvor stort et ramaskrig vil lyde hvis isp'erne simpelt blot nægter at
> route trafik fra inficerede servere?

Det er jo det der sker i hverdagen....hvis brugeren ikke får styr på sine
servere efter henvendelse fra IPS's abuse-afdeling, så lukkes der.

> Eller er forventningen at isp'erne afsætter højt kvalificeret
> arbejdskraft til at ringe rundt til familien Danmark for at forklare
> dem at de har et problem og derefter uddanne dem til at gøre deres
> ting godt nok[tm]?

Ja....brugeren kontaktes, og bedes om at få styr på sit udstyr.

Mvh HAA.

---

On Sun, 7 Oct 2001 17:59:20 +0200, "Henrik Aarfeldt"
<rivmin@rivmin.dk> wrote:

>
>"Thomas Jensen - pil.dk" <tj@dev.null> skrev i en meddelelse
>news:f7p0st8oin259sb4ntj7f182t8hfr0hfog@4ax.com...
>>
>> Hvor stort et ramaskrig vil lyde hvis isp'erne simpelt blot nægter at
>> route trafik fra inficerede servere?
>
>Det er jo det der sker i hverdagen....hvis brugeren ikke får styr på sine
>servere efter henvendelse fra IPS's abuse-afdeling, så lukkes der.

det er nok kun et fåtal af de inficerede som overhovedet når forbi en
abuse-afdeling... og igen et fåtal af disse som bliver lukket.

>> Eller er forventningen at isp'erne afsætter højt kvalificeret
>> arbejdskraft til at ringe rundt til familien Danmark for at forklare
>> dem at de har et problem og derefter uddanne dem til at gøre deres
>> ting godt nok[tm]?
>
>Ja....brugeren kontaktes, og bedes om at få styr på sit udstyr.

og ofte er det som at snakke m. en dør... hvem skal håndtere den
uddannelsesmæssige opgave? ... også isp'erne?

--
med venlig hilsen
Thomas Jensen
Sig. til lejligheden:
http://www.pil.dk/produkter/adsl/

---

"Thomas Jensen - pil.dk" <tj@dev.null> wrote in message
news:f561stkj17o90o8s657nfbq5hsdv0kh2cb@4ax.com...
> >Ja....brugeren kontaktes, og bedes om at få styr på sit udstyr.
>
> og ofte er det som at snakke m. en dør... hvem skal håndtere den
> uddannelsesmæssige opgave? ... også isp'erne?

Under CodeRed-ormen blev inficerede maskiner automatisk smidt i et
blackhole. Vi ringede dem op, og sagde de skulle fikse deres maskiner, inden
de kom på igen. De folk jeg snakkede med, var rent faktisk ikke sure. Mange
var glade for vi gjorde dem opmærksom på problemet. da vi i mange tilfælde
vidste det før ejerne.


--
Morten Boysen

---

On Sun, 7 Oct 2001 22:06:09 +0200, "Morten Boysen"
<morten.boysen@aub.dk> wrote:

>"Thomas Jensen - pil.dk" <tj@dev.null> wrote in message
>news:f561stkj17o90o8s657nfbq5hsdv0kh2cb@4ax.com...
>> >Ja....brugeren kontaktes, og bedes om at få styr på sit udstyr.
>>
>> og ofte er det som at snakke m. en dør... hvem skal håndtere den
>> uddannelsesmæssige opgave? ... også isp'erne?
>
>Under CodeRed-ormen blev inficerede maskiner automatisk smidt i et
>blackhole. Vi ringede dem op, og sagde de skulle fikse deres maskiner, inden
>de kom på igen. De folk jeg snakkede med, var rent faktisk ikke sure. Mange
>var glade for vi gjorde dem opmærksom på problemet. da vi i mange tilfælde
>vidste det før ejerne.

nu ved jeg ikke lige hvem "vi" er i ovenstående sammenhæng(?)...

men jeg taler iøvrigt om det rent princippielle i denne sammenhæng.
Det er da fint at man forsøger at gøre en indsats. Men behovet for
indsats er så stort og vil i fremtiden ikke blive mindre at man ikke
blot udelukkende kan spille bolden over til isp'erne.

Hvis man viterligt vil fastholde at det _er_ isp'ernes opgave, må man
også acceptere mere "hårdhændende metoder" (blackholes).

Personligt kan jeg i al fald ikke få de faldende priser på
internetforbindelser til at stemme overnes m. at isp'erne tillægges
flere og flere "public service" opgaver.

--
med venlig hilsen
Thomas Jensen
Sig. til lejligheden:
http://www.pil.dk/produkter/adsl/

---

"Thomas Jensen - pil.dk" <tj@dev.null> wrote in message
news:eme1stk6ja0tr2qh60jd5dctr66218ceni@4ax.com...
> >Under CodeRed-ormen blev inficerede maskiner automatisk smidt i et
> >blackhole. Vi ringede dem op, og sagde de skulle fikse deres maskiner,
inden
> >de kom på igen. De folk jeg snakkede med, var rent faktisk ikke sure.
Mange
> >var glade for vi gjorde dem opmærksom på problemet. da vi i mange
tilfælde
> >vidste det før ejerne.
>
> nu ved jeg ikke lige hvem "vi" er i ovenstående sammenhæng(?)...

Det var en forglemmelse. Læs det som Cybercity.

> Hvis man viterligt vil fastholde at det _er_ isp'ernes opgave, må man
> også acceptere mere "hårdhændende metoder" (blackholes).

Nu blev det også primært gjort for at beskytte ADSL-kunderne med Cisco677
routere. Disse kunder blev ramt hårdt af ormen, og det var noget der kunne
mærkes i support.

> Personligt kan jeg i al fald ikke få de faldende priser på
> internetforbindelser til at stemme overnes m. at isp'erne tillægges

I dette specifikke tilfælde sparede det nok penge, da det meget vel kan have
forhindret hundrede af opkald fra ADSL kunder med routere, der var lagt ned
af ormen. Ellers vil jeg give dig ret. Der er helt klare grænser for hvad
der er ISP'ernes opgave. Det kan selvfølgelig være en marketingsmæssig
fordel, at sige til kunder: "Vi passer på jer". Der er så nogle kloge folk
der må regne på, om de ekstra udgifter tjenes ind igen.


--
Morten Boysen

---

On Mon, 8 Oct 2001 01:47:02 +0200, "Morten Boysen"
<morten.boysen@aub.dk> wrote:

>Det kan selvfølgelig være en marketingsmæssig
>fordel, at sige til kunder: "Vi passer på jer". Der er så nogle kloge folk
>der må regne på, om de ekstra udgifter tjenes ind igen.

.... og kan give en backfire-effekt, hvis kunden tror, at udbyderen
passer på én.

--
- Peter Brodersen

---

On Mon, 08 Oct 2001 13:21:37 +0200, Peter Brodersen
<professionel@nerd.dk> wrote:

>On Mon, 8 Oct 2001 01:47:02 +0200, "Morten Boysen"
><morten.boysen@aub.dk> wrote:
>
>>Det kan selvfølgelig være en marketingsmæssig
>>fordel, at sige til kunder: "Vi passer på jer". Der er så nogle kloge folk
>>der må regne på, om de ekstra udgifter tjenes ind igen.
>
>... og kan give en backfire-effekt, hvis kunden tror, at udbyderen
>passer på én.

<aol>
lige præcis...
</aol>

nu m. flatrate, pizza, pron... og søgsmål.

request for virkelighedssans

--
vh
Thomas Jensen
http://pil.dk/nyhedsbreve/2001august.php

---

On Sun, 07 Oct 2001 16:28:13 +0200, Thomas Jensen - pil.dk wrote:
>
>Jeg tror vi må have en journalist/politiker på banen som kan sige
>noget højt kvalificeret om den diskussion.

Øj for et citat, det gemmer jeg lige, ok?


/Morten

---

On Sun, 07 Oct 2001 19:07:38 GMT, spamtrap@mogul.dk (Morten Guldager)
wrote:

>On Sun, 07 Oct 2001 16:28:13 +0200, Thomas Jensen - pil.dk wrote:
>>
>>Jeg tror vi må have en journalist/politiker på banen som kan sige
>>noget højt kvalificeret om den diskussion.
>
>Øj for et citat, det gemmer jeg lige, ok?

sålænge du for eftertiden vil bringe det i en passende kontext helt
fjong m. mig.


--
med venlig hilsen
Thomas Jensen
Sig. til lejligheden:
http://www.pil.dk/produkter/adsl/

---

"Thomas Jensen - pil.dk" <tj@dev.null> skrev i en meddelelse
news:f7p0st8oin259sb4ntj7f182t8hfr0hfog@4ax.com...
> Jeg tror vi må have en journalist/politiker på banen som kan sige
> noget højt kvalificeret om den diskussion.
>
Altid til tjeneste!

First things first: Det er helt rimeligt at forvente, at en ISP håndterer
abuse i ét eller andet omfang.

Det fremgår af RFC 3013:

"Whether or not an ISP has a CSIRT, they should have a well-advertised
way to receive and handle reported incidents from their customers.
In addition, they should clearly document their capability to respond
to reported incidents, and should indicate if there is any CSIRT
whose constituency would include the customer and to whom incidents
could be reported."

Hele RFC'en kan læses her:
www.faqs.org/rfcs/rfc3013.html

TDC oprettede i 1999 CSIRT.DK, som dog primært håndterer erhvervskunder, men
som også rådgiver resten af virksomheden i sikkerhedsspørgsmål.
Ved opslag i WhoIs-databaser kan man tydeligt se, hvem der er
"abuse"-kontakt for den pågældende IP-adresse, hvis det er en kunde i TDC's
netværk. Det vil enten være csirt@csirt.dk eller abuse@post.tele.dk

Det formelle er altså på plads, men tilbage til virkeligheden... Det
fungerer alt sammen smukt og nydeligt under normale omstændigheder, men Code
Red Worm og senest Nimda-ormen har desværre vist, at der er så mange
ikke-patchede maskiner på nettet, at man somme tider kan blive nødt til at
prioritere sin indsats - hvilket de fleste ISP'er vel har måttet sande. Det
betyder naturligvis ikke, at man ikke foretager sig noget, men der kan gå
lidt længere tid end sædvanligt - og helt ærligt: Der er endnu ingen, som
har mistet liv, penge eller fortrolige data, fordi deres ZoneAlarm har fået
40 entries i loggen.

Det er ærlig talt synd for den kunde, som har et sikkerhedsproblem uden at
vide det. Og det er ærgerligt for den, som bliver generet af andres
maskiner, som hamrer løs i et forsøg på at sprede Code Red, Nimda, SirCam,
miltbrand og hvad ved jeg, men desværre er der efterhånden så mange
sikkkerhedsbrister, at ingen kan have råd til at have et udrykningshold
stående klar til at hjælpe i hver enkelt sag.

Men lad os da bare lege "blame game"...

"Netudbydere løber fra virus-ansvar" hed overskriften i Jyllands-Posten
forleden. Historien var en énkilde-historie, hvori antivirus-producenten
Trend Micro beklagede sig over, at ISP'erne ikke leverer "virusfrit"
Internet på samme måde som vandværkerne leverer rent vand. Og Trend Micro
havde da tilfældigvis en løsning, som de gerne ville sælge til ISP'erne...

Jamen, fint nok. Er vi så også villige til at betale lige så meget for en
megabyte virusfri data, som vi betaler for en liter rent vand?
Eller en anden analogi: Vil vi også forlange, at postvæsenet forhindrer, at
en upopulær politiker får tilsendt en lort i en prøvekuvert? (den slags
forsendelser er blevet leveret et par gange, har jeg læst)
Eller en tredje: Vil vi forlange, at TDC TeleDanmark skal forhindre
telefonfis?

Og så er der også lige juraen: Hvis en ISP skal være den, der opdager virus
og andre sikkerhedsbrister, så skal ISP'en foretage en omfattende
overvågning af kundernes systemer og data. En ISP-scanning for virus i
e-mails skal være obligatorisk, hvis den for alvor skal have effekt à la
"rent vand fra vandværket".
Det ville være ensbetydende med, at ISP'en skulle have lov til at
indholdsscanne kundernes e-mail. Og en sådan scanning vil kræve kundernes
accept, for ellers ville det være et ulovligt indgreb i
meddelelseshemmeligheden (i strid med Grundloven). Altså skulle man rent
formelt opsige alle kundeaftaler og tilbyde en gentegning af abonnementer
med nye kundevilkår. Muligt? Ja. Sandsynligt? Nej.

Skulle man opdage sårbarheder i kundernes systemer, ville det kræve endnu
tættere overvågning, idet det ville kræve adgang til den enkelte pc, som
skulle scannes for manglende servicepacks, hotfixes, shared folders,
manglende password på gæste-logins osv. osv. Muligt? Tjoh... Sandsynligt?
Nej.

Og så tør jeg slet ikke tænke på de sagsanlæg, der ville opstå, hvis en
kunde alligevel fik en virus eller blev hacket, for med en så massiv
omklamring fra ISP'ens side ville kunden miste ethvert argument for selv at
interessere sig for sikkerheden.

Altså: Udgangspunktet må være, at ISP'erne gør som nu: Holder styr på, hvem
der er tildelt en given IP-adresse på et givet tidspunkt. Og nix weiter
(uanset hvad paranoide mennesker med fantasier om danske versioner af
Echelon og Carnivore ellers påstår). ISP'en kan ikke påtage sig rollen som
den, der opdager hændelser, men kan og bør selvfølgelig være den, der
reagerer på hændelser.

Hvordan skal ISP'en så reagere på hændelser?

Der er flere muligheder allerede:
- information
- teknisk support
- sanktioner med henvisning til kundevilkårene

Alle tre muligheder er i brug, omend sanktionerne er sjældne. Det er faktisk
sjældent, at Internetbrugere generer hinanden med vilje, selv om
journalister somme tider kan få det til at se sådan ud.

Den tekniske support har hidtil været tilstrækkelig, idet Internettet hidtil
har været forbeholdt de teknisk interesserede, som var motiverede for at
lære mere, og antallet af hændelser ("incidents") har været beskedent i
forhold til personaleressourcerne. Sådan er det ikke længere.
En mulighed kunne være i videre omfang at udføre "triage", således at de
mest banale incidents bliver håndteret af "trained monkees", som kan hjælpe
med ét problem - og ikke andet. Og dyrt er det jo stadig.

Som borger og demokrat er jeg stolt af, at Danmark har en vision om at blive
en førende IT-nation, hvor stadig flere får adgang til Internettet. Det
giver imidlertid en række udfordringer at skulle oplyse disse nye
Internetbrugere, der som oftest har et meget ringe kendskab til IT generelt.

Derfor må vejen frem være information. Og der er allerede sket meget, og der
sker hele tiden mere. Men det er hårdt arbejde, og mange kunne hjælpe til.

IT-leverandørerne kunne udvise et større ansvar. Jeg har talt med kunder,
som blev ramt af Code Red Worm to dage efter, at de havde fået leveret en
"færdig" løsning fra leverandøren. Med andre ord: Han havde leveret en
standardinstallation helt uden servicepacks og patches. Og den stakkels
kunde var rådvild, for de havde jo både købt antivirus og firewall og alt
muligt... I det mindste kunne IT-leverandørerne hjælpe kunden med at blive
opmærksom på problemet.

Kunderne kunne selv gøre mere. Danskere er berygtede for at smide manualen
væk sammen med emballagen og så ringe bagefter for at skælde ud over, at de
ikke kan hitte ud af det. Den slags ændrer man ikke lige "overnight"...

Og producenterne. Ak, ja. Microsoft har ofte stået for skud. Jeg synes nu,
at de klarer det relativt godt, men det er stadig forbeholdt teknikere at
hitte ud af dét der med sikkerheden. Min mor lærer aldrig at installere en
hotfix. Men det bliver da lidt bedre hele tiden. Det går bare så langsomt...

Det var et langt indspark, men jeg finder af indlysende grunde diskussionen
overordentligt spændende, så jeg håber, at mange vil bidrage.

Med venlig hilsen

Thomas B. Maxe
(som er stolt af at være journalist hos CSIRT.DK, men som i denne sammenhæng
repræsenterer sig selv og hverken CSIRT.DK, TDC Internet eller nogen andre)

---

On Mon, 8 Oct 2001 21:16:25 +0200, "Thomas B. Maxe"
<toxicthomas@nospam.hotmail.com> wrote:

>"Thomas Jensen - pil.dk" <tj@dev.null> skrev i en meddelelse
>news:f7p0st8oin259sb4ntj7f182t8hfr0hfog@4ax.com...
>> Jeg tror vi må have en journalist/politiker på banen som kan sige
>> noget højt kvalificeret om den diskussion.
>>
>Altid til tjeneste!

av for den... ovenstående udsagn var egentlig skrevet lettere ironisk


respekt for at du som repræsentant for dit fag tør blande dig her i
løvens hule

>TDC oprettede i 1999 CSIRT.DK, som dog primært håndterer erhvervskunder, men
>som også rådgiver resten af virksomheden i sikkerhedsspørgsmål.
>Ved opslag i WhoIs-databaser kan man tydeligt se, hvem der er
>"abuse"-kontakt for den pågældende IP-adresse, hvis det er en kunde i TDC's
>netværk. Det vil enten være csirt@csirt.dk eller abuse@post.tele.dk

<anbefaling>
personligt ville jeg nok fraråde at skrive emailadresser på helt
normal form her på usenet... jeg formoder I/de modtager rigeligt m.
emails på de konti i forvejen
</anbefaling>

>Men lad os da bare lege "blame game"...
>
>"Netudbydere løber fra virus-ansvar" hed overskriften i Jyllands-Posten
>forleden. Historien var en énkilde-historie, hvori antivirus-producenten
>Trend Micro beklagede sig over, at ISP'erne ikke leverer "virusfrit"
>Internet på samme måde som vandværkerne leverer rent vand. Og Trend Micro
>havde da tilfældigvis en løsning, som de gerne ville sælge til ISP'erne...

og hvem sagde virus112 eller neupart & m...

det er ofte skræmmende at betragte hvor nemt det øjensynligt er at få
en pressemeddelelse i radioavisen... jeg troede der var et fag som hed
kildekritik på den skole de fleste journalister kommer fra.

På den anden side forstår jeg godt journalisterne... de har som altid
en stram deadline hængende over hovedet, hvorfor man som oftest kan
fristes til at ty til den "nemme løsning" og ty til nogle "eksperter"
som kan svare "på alt". Fra tid til anden kunne man godt savne et
officielt organ uden kommercielle særinteresser, som journalister på
dybt vand kunne henvende sig til.

>Jamen, fint nok. Er vi så også villige til at betale lige så meget for en
>megabyte virusfri data, som vi betaler for en liter rent vand?
>Eller en anden analogi: Vil vi også forlange, at postvæsenet forhindrer, at
>en upopulær politiker får tilsendt en lort i en prøvekuvert? (den slags
>forsendelser er blevet leveret et par gange, har jeg læst)
>Eller en tredje: Vil vi forlange, at TDC TeleDanmark skal forhindre
>telefonfis?

jeg føler mig her fristet til en af de rigtigt, rigtigt populære
bilanalogier; "havde det været en bilproducent som havde sendt så
fejlbehæftede biler på markedet var det blevet sagsøgt ud af banen for
længs".

>Og så er der også lige juraen: Hvis en ISP skal være den, der opdager virus
>og andre sikkerhedsbrister, så skal ISP'en foretage en omfattende
>overvågning af kundernes systemer og data. En ISP-scanning for virus i
>e-mails skal være obligatorisk, hvis den for alvor skal have effekt à la
>"rent vand fra vandværket".
>Det ville være ensbetydende med, at ISP'en skulle have lov til at
>indholdsscanne kundernes e-mail. Og en sådan scanning vil kræve kundernes
>accept, for ellers ville det være et ulovligt indgreb i
>meddelelseshemmeligheden (i strid med Grundloven). Altså skulle man rent
>formelt opsige alle kundeaftaler og tilbyde en gentegning af abonnementer
>med nye kundevilkår. Muligt? Ja. Sandsynligt? Nej.

og dog... man kunne godt forestille sig en differentiering af sit
(isp'ens) mailprodukt. Eg. brugeren kan som value added services vælge
(eller undlade) at få sin mail virascannet, rbl-filtreret,
procmail-filtreret etc.

M. andre ord - der er masser af arbejde til product managere endnu. At
banke en box op m. en stak pop3-konti gør det ikke alene. Der er
masser af muligheder for forfinelser.

>Skulle man opdage sårbarheder i kundernes systemer, ville det kræve endnu
>tættere overvågning, idet det ville kræve adgang til den enkelte pc, som
>skulle scannes for manglende servicepacks, hotfixes, shared folders,
>manglende password på gæste-logins osv. osv. Muligt? Tjoh... Sandsynligt?
>Nej.

enig

>Og så tør jeg slet ikke tænke på de sagsanlæg, der ville opstå, hvis en
>kunde alligevel fik en virus eller blev hacket, for med en så massiv
>omklamring fra ISP'ens side ville kunden miste ethvert argument for selv at
>interessere sig for sikkerheden.

lige præcis... der skal være nogle meget klare kundevilkår som
placerer ansvaret helt entydigt.

>Alle tre muligheder er i brug, omend sanktionerne er sjældne. Det er faktisk
>sjældent, at Internetbrugere generer hinanden med vilje, selv om
>journalister somme tider kan få det til at se sådan ud.

yrk

>Den tekniske support har hidtil været tilstrækkelig, idet Internettet hidtil
>har været forbeholdt de teknisk interesserede, som var motiverede for at
>lære mere, og antallet af hændelser ("incidents") har været beskedent i
>forhold til personaleressourcerne.

Grundlæggende kunne man provokerende spørge om det er hensigtsmæssigt
at installation af net-services er blevet så nemt som det er? ... det
er fint at mange i dag kan gøre ting, men det er knap så fint at knap
så mange ved hvilke ting de egentlig laver.

>IT-leverandørerne kunne udvise et større ansvar. Jeg har talt med kunder,
>som blev ramt af Code Red Worm to dage efter, at de havde fået leveret en
>"færdig" løsning fra leverandøren. Med andre ord: Han havde leveret en
>standardinstallation helt uden servicepacks og patches. Og den stakkels
>kunde var rådvild, for de havde jo både købt antivirus og firewall og alt
>muligt... I det mindste kunne IT-leverandørerne hjælpe kunden med at blive
>opmærksom på problemet.

seneste rapport fra netcraft har nogle meget sjove betragtninger over
emnet (http://www.netcraft.com/Survey/index.html) - The lack of
switching in the aftermath of Code Red may say as much about
psychology as technology

>Det var et langt indspark, men jeg finder af indlysende grunde diskussionen
>overordentligt spændende, så jeg håber, at mange vil bidrage.

tak for et langt og interessant indlæg


--
med venlig hilsen
Thomas Jensen
Sig. til lejligheden:
http://www.pil.dk/produkter/adsl/

---

Hej
Installere ZoneAlarm http://www.zonealarm.com, der kan du se ip adresserne,
i more info får du adgang til en webside hvor du så kan kopier ip adressen
ind, hvorefter du så få oplysninger om hvem der ejer denne ip adresse.
mvh
Anders larsen
"Monsi" <jala@post2.tele.dk> skrev i en meddelelse
news:3bbf81e3$0$51393$edfadb0f@dspool01.news.tele.dk...
> Ja hvad gør jeg når min webserver konstant bliver angrebet udefra, iflg.
> loggen en det "cmd.exe" og "root.exe" de går efter
> hvad kan jeg gøre for at finde ud af hvem disse personer er, jeg har deres
> ip adresser, og jeg har spurgt TDC hvad jeg skal gøre
> eller de kan gøre, ingenting siger de inde på support.
> serveren har været under konstant angreb hele eftermiddagen, og forøvrigt
> flere dage forinden.
>
> Er der en måde at spore deres ip adresser på, og hvis der er hvilke
metoder
> er der.
>
> Ps. Ud fra Ip adresserne er det TDC kunder som laver disse angreb.
>
> --
> Venlig Hilsen
> Jan Larsen
> jala@post2.tele.dk
>
>
>

---

"anders larsen" <aol@oncable.dk> writes:

> Installere ZoneAlarm http://www.zonealarm.com, der kan du se ip adresserne,
> i more info får du adgang til en webside hvor du så kan kopier ip adressen
> ind, hvorefter du så få oplysninger om hvem der ejer denne ip adresse.

Det hjælper ikke ret meget at installere ZoneAlarm (eller en anden
firewall der blokerer for port 80), hvis man kører en webserver. I
øvrigt kan man også se IP-adresserne på dem der angriber i sin
webserverlog. Jeg tror ikke at ZoneAlarm på nogen måde kan hjælpe
Jan.

Vil du i øvrigt ikke være rar at svare under det du citerer og klippe
det væk du ikke svarer på? På den måde bliver dine indlæg lettere at
læse og skrive svar til.

--
Jacob - www.bunk.cc
After a number of decimal places, nobody gives a damn.

---

"Jacob Bunk Nielsen" <spam@bunk.cc> skrev i en meddelelse
news:m3hetbjwh5.fsf@paven.bunk.cc...
> "anders larsen" <aol@oncable.dk> writes:
>
> > Installere ZoneAlarm http://www.zonealarm.com, der kan du se ip
adresserne,
> > i more info får du adgang til en webside hvor du så kan kopier ip
adressen
> > ind, hvorefter du så få oplysninger om hvem der ejer denne ip adresse.
>
> Det hjælper ikke ret meget at installere ZoneAlarm (eller en anden
> firewall der blokerer for port 80), hvis man kører en webserver. I
> øvrigt kan man også se IP-adresserne på dem der angriber i sin
> webserverlog. Jeg tror ikke at ZoneAlarm på nogen måde kan hjælpe

Jeg har installeret Zonealarm og udelukket ca 15 ip adresser, men hvad
hjælper det når der hele tiden kommer nye ip adresser til, jeg har talt med
TDC Bredbånds support på telefonen og de vil ingenting gøre, jeg sagde hvad
med den båndbredde disse angreb bruger betyder det ikke noget, til det siger
man at det er så forsvindende lidt at det ikke betyder noget.

Support foreslog mig at slukke min router for at få tildelt en ny ip
adresse, det tror jeg gør, og derefter venter på de nye angreb
som jeg forventer vil komme, for som jeg forstår det er det et
portscannerprogram som undersøger hele området inden for
en bestemt ip adresse og her handler det om 62.243.xxx.xxx og 62.153.xxx.xxx
og 62.151.xxx.xxx
det er disse ip adresser jeg har registreret.

så det er vel kun et spørgsmåe hvornår den rammer mig igen på den nye ip
adresse

Jeg kan lige oplyse at jeg har været under angreb 146 gange i tidsrummet her
idag d. 7.11 fra kl 13.41 - 19.06


Var der bare et sted hvor man kunne få oplyst Kunden som en bestemt ip
adresse tilhører, så kunne man jo selv ringe og venligt forelægge det for
rette vedkommende.

Ps. jeg har prøvet at finde email adressen til TDC abuse afdeling men uden
held.


Venlig Hilsen
Jan Larsen

..

---

"Monsi" <jala@post2.tele.dk> skrev i en meddelelse
news:3bc0a3c2$0$255$edfadb0f@dspool01.news.tele.dk...
> Ps. jeg har prøvet at finde email adressen til TDC abuse afdeling men uden
> held.

abuse@post.tele.dk

--
Martin Højriis Kristensen
Life is a cookie - Læs venligst: www.makr.dk?quote
"Men jeg har heller ikke så meget forstand" - Charbax i d.e.i.u.x
Jeg repræsenterer med dette indlæg mig selv og ikke TDC Internet

---

Monsi wrote:

>Ps. jeg har prøvet at finde email adressen til TDC abuse afdeling men uden
>held.

csirt@csirt.dk

--
"...personality goes a long way."

---

"Monsi" <jala@post2.tele.dk> writes:

> Jeg har installeret Zonealarm og udelukket ca 15 ip adresser, men hvad
> hjælper det når der hele tiden kommer nye ip adresser til,

Nu er jeg ikke den store haj til Windows, men under Linux skulle det
var relativt ligetil at lave fx et PHP-script der hedder root.exe
(eller noget andet der bliver spurgt på), og så blackhole den host der
spørger.

> jeg har talt med TDC Bredbånds support på telefonen og de vil
> ingenting gøre, jeg sagde hvad med den båndbredde disse angreb
> bruger betyder det ikke noget, til det siger man at det er så
> forsvindende lidt at det ikke betyder noget.

De har naturligvis ret i at det nok ikke er kæmpe mængder af
båndbredde der bruges. Hvis man kører en seriøs webserver, så har man
også båndbredde til at sende et par tusinde 404 fordelt over et døgn


> Support foreslog mig at slukke min router for at få tildelt en ny ip
> adresse,

Det var dog en blød forklaring!
Du "risikerer" bare at få en anden adresse der er lige så mange forsøg
mod.

> Var der bare et sted hvor man kunne få oplyst Kunden som en bestemt ip
> adresse tilhører, så kunne man jo selv ringe og venligt forelægge det for
> rette vedkommende.

Det er da rart at høre at du ville håndtere sagen venligt, men det er
der sikkert andre der ikke vil (fordi de ikke har forstået at det ikke
er noget folk gør med vilje), så det er nok bedst at det kun er
udbyderne der har adgang til den slags information.

> Ps. jeg har prøvet at finde email adressen til TDC abuse afdeling men uden
> held.

$ whois tele.dk@whois.abuse.net
[whois.abuse.net]
abuse@post.tele.dk

--
Jacob - www.bunk.cc
When your memory goes, forget it!

---

"Monsi" <jala@post2.tele.dk> wrote:

>Support foreslog mig at slukke min router for at få tildelt en ny ip
>adresse

Du får hverken flere eller færre angreb på en ny adresse på samme
subnet.


--
Allan Olesen, Lunderskov
"SNART is a registered trademark of TransNet."

---

Tak alle sammen for de gode råd og hjælpen, jeg har lige skrevet til TDC
abuse afdeling så må vi se hvad der sker i sagen
og om de evt kan og vil hjælpe.


Venlig Hilsen
Jan Larsen