Re: virus scanning og From: adresser

From: Lennart Sorth (none@Lennart.Sorth--uni-c.dk.lh.bsd-dk.dk)
Date: Mon 03 May 2004 - 08:31:57 CEST

Next message: Poul-Henning Kamp: "Re: virus scanning og From: adresser"
Previous message: Flemming Jacobsen: "Re: ^_^ meay-meay!"
Next in thread: Poul-Henning Kamp: "Re: virus scanning og From: adresser"
Reply: Poul-Henning Kamp: "Re: virus scanning og From: adresser"
Reply: Erik Norgaard: "Re: virus scanning og From: adresser"
Maybe reply: Niels Callesoe: "Re: virus scanning og From: adresser"
Reply: Erik Norgaard: "Re: virus scanning og From: adresser"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Mon, 03 May 2004 08:31:57 +0200
From: Lennart Sorth <none@Lennart.Sorth--uni-c.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: virus scanning og From: adresser

Erik Norgaard wrote:
> Har du en statistik på det? Hvad er din tolerencegrænse? Hvordan
> har du henvendt dig? Er det stoppet af sig selv?
ingen statistik. endnu.
sammenlignet med dine 7000 om dagen ligger jeg dog noget
lavere (men det er kun pr enkelt-domæne jeg arbejder).

Hvis modtager mere end 40-50 fra samme IP (over kort tid),
plejer jeg at reagere (manuelt) - hvis jeg har tid og
overskud - ellers ryger de bare ud.

Men det er i mine øjne et problem at man ikke kan få ISP'erne
tale. Når man nu i bedste mening vil informere de stakkels
kunder om at de har et problem, der kan løses.

Som eksempel så forleden at en hel stribe danske adsl kunder
havde ponket løs mod min webserver, hvilket i sig selv ikke er
noget umiddelbart problem, - men hver loglinie fyldte 32kb (!)
og jeg skulle hilse og sige at der var mange - af typen:

SEARCH /\x90\x02\xb1\x0.... (32kb overflow data) ....

Jeg formoder det også er en orm/trojan ting, og at maskinern
have inficeret hinanden. - Jeg sendte en sorteret IP liste
til abuse@<ISP> , men har kun fået autoresponder svar, og hvis
det går som det plejer, når det aldrig videre. :-(

Ergo: denne stribe maskinen forbliver inficerede, og vil stå
og angribe alt og alle vilkårligt, indtil ejerne selv løser
problemet, eller reinstallerer.

ISP'ere burde have en (web) anmeldelses formular, som man kunne
udfylde, - så kunne kunderne evt selv ved lejlighed aflæse om
deres maskine opfører sig grimt.
Jeg ved godt at man så muligvis kunne chikanere individer, men
vejet op imod at vi som anmeldere rammer en wall-of-ignorance,
vil det IMO være at foretrække.

> Jeps, der var en diskution af det på bugtraq@securityfocus.com i
> februar, se
oh, - den missede jeg - tak for pointeren.

> Jeg forsøger en gang imellem at skrive pænt og forklare sagen, jeg
> har ikke fået svar.
ditto.

Hilsen

Lennart Sorth

Next message: Poul-Henning Kamp: "Re: virus scanning og From: adresser"
Previous message: Flemming Jacobsen: "Re: ^_^ meay-meay!"
Next in thread: Poul-Henning Kamp: "Re: virus scanning og From: adresser"
Reply: Poul-Henning Kamp: "Re: virus scanning og From: adresser"
Reply: Erik Norgaard: "Re: virus scanning og From: adresser"
Maybe reply: Niels Callesoe: "Re: virus scanning og From: adresser"
Reply: Erik Norgaard: "Re: virus scanning og From: adresser"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:40 CET