[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re[2]: Dziwny dziw :)

Hello Tomasz,

Monday, January 20, 2003, 8:32:21 AM, you wrote:

TTC> Tomasz Jajonek napisał w dniu nie, sty 19, 2003 at 11:25:41 CET co następuje:
TTC> : Hello t0masz,
TTC> : 
TTC> : Sunday, January 19, 2003, 1:32:55 PM, you wrote:
TTC> : 
: >>> on Sat, 18 Jan 2003 01:18:27 +0100 "Tomasz T. Ciaszczyk" <ciacho@ciacho.pl> wrote:
: >>>
: >>> > 61.55.142.76 - - [12/Jan/2003:14:07:15 +0100] "GET
: >>> /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
: >>>  HTTP/1.0" 400 328 "-" "-"
: >>> > 209.105.192.82 - - [12/Jan/2003:14:41:23 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 404 - "-" "-"
: >>> > 194.27.78.23 - - [12/Jan/2003:16:22:31 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 286 "-" "-"
: >>> > 194.27.78.23 - - [12/Jan/2003:16:22:34 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 284 "-" "-"
: >>> > 194.27.78.23 - - [12/Jan/2003:16:22:44 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-"
: >>> > 194.27.78.23 - - [12/Jan/2003:16:22:48 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 294 "-" "-"
: >>> i jeszcze coś: to chyba nie pochodzi z inetu, raczej ktoś spoofuje
TTC> : 
TTC> : Ja mam to samo i nawet doszedlem to tego co to jest :-) Prawdopodobnie
TTC> : masz siec i userow lubiacych Kazaa, eDonkeya z Mulem i ty podobnymi
TTC> : smieciami. U mnie dochodzilo do paru tysiecy polaczen na Apacha na
TTC> [...]
TTC> : mam jeszcze czasami jakies polaczenia ale juz nie taka ilosc. Krotko
TTC> : mowiac sa to smieci z programow Peer to Peer.
TTC> I tutaj slonce sie mylisz..
TTC> Moja siec sklada sie z zupelnie innych klientow... I bron boze zadnych
TTC> windowsow (poza jednym NT) w moim LANie nie ma..
TTC> Programow P2P tez nie ma..

TTC> W tym wypadku poprawna odpowiedz brzmiala: Nimbda (czy jak sie tam on
TTC> zwal) wirus dla IIS'a. Niestety, ale userzy WinShitow nei zawsze mysla
TTC> o tym ze wypada cos zabezpieczyc nawet jak im sie trabi o tym...
TTC> Ciekawi mnie ile jeszcze wiekow bedzie uzywany niezabezpieczony Ajtjuk
TTC> czy chociazby ten szczesny IIS.

 
TTC> : Administrator sieci PROTONET
TTC> Sam jestem adminem sieci, ale potrafie rozroznic ISP dajacego lacze (a
TTC> szczegolnie na osiedlowki), od ISP hostingowego... 

TTC> PS2. W drugiej firmie mam wlasnie uzyszkodnikow uzywajacych P2P i
TTC> jakos tam takich odwolan (o dziwo) nie mam. Kazy i inne muje dzialaja
TTC> (a czemu by nie.. tylko ze z transferem 1kbps).

Wcale nie twierdze, ze twoj problem napewno pochodzi od P2P ale w moim
przypadku to jest 100% przyczyna. Mam pytanie czy w tych polaczeniach
dominuje domena .dip.t-dialin.net ? Tak to wyglada u mnie na netstacie
# netstat -a
tcp        0      0 tomus.protonet.pl:www   cliente-2172162400:1719 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   p509016CA.dip.t-di:1398 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   pD9E3F2D0.dip.t-di:4350 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   pD9E0C731.dip.t-di:2760 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   pD9538DE6.dip.t-di:1307 ESTABLISHED
tcp        0  14280 tomus.protonet.pl:www   12-231-138-8.clie:24731 CLOSE_WAIT
tcp        0      0 tomus.protonet.pl:www   p508BDAE4.dip.t-di:3504 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   p508BDAE4.dip.t-di:4019 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   pD9E1DF6C.dip.t-di:2506 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   lns02v-1-181.w.clu:3536 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   ALyon-110-1-9-218.:3648 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   pD95413C9.dip.t-di:3850 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   p50847151.dip.t-di:2987 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   p508B0E30.dip.t-di:4537 ESTABLISHED
tcp        0      0 tomus.protonet.pl:www   p508BDAE4.dip.t-di:4692 ESTABLISHED

# /var/log/apache/access.log
80.143.164.241 - - [20/Jan/2003:11:25:48 +0100] "\xe38" 200 13068 "-" "-"
217.234.95.86 - - [20/Jan/2003:11:25:52 +0100] "\xe3<" 200 13720 "-" "-"
217.229.166.5 - - [20/Jan/2003:11:25:52 +0100] "\xe3P" 200 13600 "-" "-"
217.230.37.92 - - [20/Jan/2003:11:25:58 +0100] "\xe3P" 200 13068 "-" "-"
80.132.113.81 - - [20/Jan/2003:11:26:00 +0100] "-" 408 - "-" "-"

i jak sprawdzam polaczenia na iptrafie to znajduje polaczenia moich
userow z tymi hostami. Zawsze jest to jakis P2P. Walcze z tym juz pare
miesiecy zglaszalem kilkakrotnie problem do abuse@tpnet.pl jednak bez
efektów. Blokowalem to portsentry i czym tylko to mozliwe jednak
codziennie mialem po 8000-10000 nowych zablokowanych hostow. Poprostu
nie do zablokowania. Problem dotyczy 2 moich serwerow w roznych
sieciach. Administruje jeszcze 3 serwerami i tam nie ma sladu tego
ustrojstwa wiec jak widzisz nie mam zasady. Moze jest to jakis rodzaj
DDoS Attacks nie wiem mam nadzieje ze cos wymyslimy ;-)

-- 
Tomasz Jajonek
Administrator sieci PROTONET
tel: 609-223-050
e-mail: jajonek.t@protonet.pl
Reply to: