Hi, Wij krijgen de laatste tijd van onze klanten klachten over Cyberangels. Dit clubje (kennelijk onderdeel van de Bevelander Group) is in hun korte bestaanstijd volgens de welbekende abusegroepen uitgegroeit tot een netwerk waar alleen maar ellende vandaan komt; spammen, scannen, pogingen om binnen te komen op systemen en vermeend rogue announcen van andermans IP space. Is er iemand op deze lijst die hier meer van weet? Filtert iemand ze al? -- Sabri Berisha "I route, therefore you are" Per user RBL checking: http://www.cluecentral.net/rblcheck/
On Thu, 24 Apr 2003, Sabri Berisha wrote:
Wij krijgen de laatste tijd van onze klanten klachten over Cyberangels. Dit clubje (kennelijk onderdeel van de Bevelander Group) is in hun korte bestaanstijd volgens de welbekende abusegroepen uitgegroeit tot een netwerk waar alleen maar ellende vandaan komt; spammen, scannen, pogingen om binnen te komen op systemen en vermeend rogue announcen van andermans IP space.
Is er iemand op deze lijst die hier meer van weet? Filtert iemand ze al?
Yep, de /20 die ze officieel hebben volgens de ripe staat al lekker in discard mode :) Wat meer info btw, ze staan met de servers op Redbus (helaas in dezelfde ruimte als wij, maar er staat gelukkig een groot hek tussen :)). Ze hebben een kastje of 8, waarvan 6 gevuld met grotendeels desktops. Ze zijn de laatste paar weken erg hard gegroeid, en ze hebben ook een kantoor bij Redbus ingenomen (een redelijk grote ook). Ze staan daar bekend onder MAPS. Er werken ook opvallend veel buitenlanders. Ook heb ik vernomen dat een aantal bedrijven in het buitenland bezig zijn met actie richting Cyberangels. Volgesmij is hier meer over te vinden in NANOG en NANAE. Zag ook een threadje in nl.internet.misbruik. -- /- Met vriendelijke groet/With kind regards, -\ <- Peter Batenburg - ProServe B.V. - www.proserve.nl -> \- tel: +31-184-423815 - fax: +31-184-417160 -/
On Thu, Apr 24, 2003 at 09:28:19AM +0200, Sabri Berisha wrote: Hi,
Is er iemand op deze lijst die hier meer van weet? Filtert iemand ze al?
Ter FYI: ik heb vandaag es zitten monitoren wat er heen en weer gaat aan traffic: tcpdump: listening on eth2 12:57:18.129334 213.136.0.33 > 217.21.112.1: icmp: echo request 12:57:18.132196 217.21.112.1 > 213.136.0.33: icmp: echo reply 14:33:00.323067 213.136.12.52.36147 > 217.21.112.2.53: 13572[|domain] 14:33:00.325041 217.21.112.2.53 > 213.136.12.52.36147: 13572 NXDomain*[|domain] (DF) 14:55:19.949765 217.21.114.70.0 > 213.136.23.169.3128: S 9240:9240(0) win 512 (DF) 14:55:19.969837 217.21.114.70.0 > 213.136.3.140.3128: S 9265:9265(0) win 512 (DF) 14:55:19.969975 217.21.114.70.0 > 213.136.3.130.3128: S 9263:9263(0) win 512 (DF) 14:55:20.009411 217.21.114.70.0 > 213.136.3.216.3128: S 9300:9300(0) win 512 (DF) 14:55:20.009876 213.136.3.130.3128 > 217.21.114.70.0: R 0:0(0) ack 9264 win 0 14:55:20.029460 217.21.114.70.0 > 213.136.3.4.3128: S 9291:9291(0) win 512 (DF) 14:55:20.029766 217.21.114.70.0 > 213.136.3.61.3128: S 9266:9266(0) win 512 (DF)14:55:20.064095 213.136.3.216.3128 > 217.21.114.70.0: R 0:0(0) ack 9301 win 0 14:55:20.089912 217.21.114.70.0 > 213.136.3.9.3128: S 9307:9307(0) win 512 (DF) 14:55:20.099920 213.136.3.4.3128 > 217.21.114.70.0: R 9291:9291(0) ack 9292 win 512 (DF) 14:55:20.117217 213.136.3.9.3128 > 217.21.114.70.0: S 432233594:432233594(0) ack 9308 win 8760 <mss 1460> (DF) 14:55:20.119815 217.21.114.70.0 > 213.136.3.9.3128: R 9308:9308(0) win 0 14:55:20.124121 213.136.3.140.3128 > 217.21.114.70.0: R 0:0(0) ack 9266 win 0 14:55:21.002361 213.136.3.61.3128 > 217.21.114.70.0: S 740035615:740035615(0) ack 9267 win 8576 <mss 1460> (DF) 14:55:21.004946 217.21.114.70.0 > 213.136.3.61.3128: R 9267:9267(0) win 0 15:11:27.643169 213.136.12.52.40787 > 217.21.112.2.53: 57752[|domain] 15:11:27.645462 217.21.112.2.53 > 213.136.12.52.40787: 57752 NXDomain* 0/1/0 (109) (DF) 15:11:33.038605 213.136.12.52.54082 > 217.21.112.3.53: 58010[|domain] 15:11:33.040617 217.21.112.3.53 > 213.136.12.52.54082: 58010*[|domain] (DF) 15:12:04.731218 217.21.114.70.0 > 213.136.23.169.80: S 25510:25510(0) win 512 (DF) 15:12:04.731528 217.21.114.70.0 > 213.136.3.130.80: S 25494:25494(0) win 512 (DF) 15:12:04.771182 217.21.114.70.0 > 213.136.3.140.80: S 25551:25551(0) win 512 (DF) 15:12:04.792398 217.21.114.70.0 > 213.136.3.228.80: S 25439:25439(0) win 512 (DF) 15:12:04.811510 217.21.114.70.0 > 213.136.3.61.80: S 25495:25495(0) win 512 (DF)15:12:04.811511 217.21.114.70.0 > 213.136.3.4.80: S 25511:25511(0) win 512 (DF) 15:12:04.831662 217.21.114.70.0 > 213.136.3.9.80: S 25465:25465(0) win 512 (DF) 15:12:04.832764 217.21.114.70.0 > 213.136.3.216.80: S 25515:25515(0) win 512 (DF) 15:12:04.835750 213.136.3.228.80 > 217.21.114.70.0: R 0:0(0) ack 25440 win 0 15:12:04.848318 213.136.3.61.80 > 217.21.114.70.0: R 0:0(0) ack 25496 win 0 15:12:04.855898 213.136.3.4.80 > 217.21.114.70.0: R 0:0(0) ack 25512 win 0 15:12:04.944980 213.136.3.140.80 > 217.21.114.70.0: R 0:0(0) ack 25552 win 0 15:12:04.973020 213.136.3.216.80 > 217.21.114.70.0: R 0:0(0) ack 25516 win 0 15:32:11.464848 217.21.114.70.0 > 213.136.23.169.8080: S 41768:41768(0) win 512 (DF) 15:32:11.484729 217.21.114.70.0 > 213.136.3.216.8080: S 41711:41711(0) win 512 (DF) 15:32:11.485378 217.21.114.70.0 > 213.136.3.4.8080: S 41695:41695(0) win 512 (DF) 15:32:11.524320 217.21.114.70.0 > 213.136.3.9.8080: S 41769:41769(0) win 512 (DF) 15:32:11.524323 217.21.114.70.0 > 213.136.3.61.8080: S 41746:41746(0) win 512 (DF) 15:32:11.536248 213.136.3.4.8080 > 217.21.114.70.0: R 41695:41695(0) ack 41696 win 512 (DF) 15:32:11.563426 213.136.3.61.8080 > 217.21.114.70.0: R 0:0(0) ack 41747 win 0 15:32:11.606648 213.136.3.216.8080 > 217.21.114.70.0: R 0:0(0) ack 41712 win 0 213.136.3.0/24 is een inbelrange van ons. Kennelijk zijn ze op zoek naar open proxies. Het source ip resolvet: office-005.client.cyberangels.nl. Ik heb ze ondertussen in de filters. -- Sabri Berisha "I route, therefore you are" Per user RBL checking: http://www.cluecentral.net/rblcheck/
Ik hoorde iets over AS hijacking en valsheid in geschrifte enzo. Ook de contact gegevens in de verschillende whois dingen waren niet juist destijds. Met de scans erbij wat ik personelijk opvat als 'onfatsoenelijk' heb ik besloten ze her en der te filteren. nomad ----- Original Message ----- From: "Sabri Berisha" <sabri@cluecentral.net> To: <nlnog at nlnog.net> Sent: Thursday, April 24, 2003 9:28 AM Subject: [Nlnog] Cyberangels?
Hi,
Wij krijgen de laatste tijd van onze klanten klachten over Cyberangels. Dit clubje (kennelijk onderdeel van de Bevelander Group) is in hun korte bestaanstijd volgens de welbekende abusegroepen uitgegroeit tot een netwerk waar alleen maar ellende vandaan komt; spammen, scannen, pogingen om binnen te komen op systemen en vermeend rogue announcen van andermans IP space.
Is er iemand op deze lijst die hier meer van weet? Filtert iemand ze al?
-- Sabri Berisha "I route, therefore you are"
Per user RBL checking: http://www.cluecentral.net/rblcheck/ _______________________________________________ NLNOG mailing list NLNOG at nlnog.net http://mailman.nlnog.net/mailman/listinfo/nlnog
On donderdag, apr 24, 2003, at 16:08 Europe/Amsterdam, nomad wrote:
Ik hoorde iets over AS hijacking en valsheid in geschrifte enzo. Ook de contact gegevens in de verschillende whois dingen waren niet juist destijds. Met de scans erbij wat ik personelijk opvat als 'onfatsoenelijk' heb ik besloten ze her en der te filteren.
Er was laatst wat op NANOG over... andermans netblocks announcen is natuurlijk een enorme no-go. Ik geloof dat de types achter Telia inderdaad Bevelander waren (natuurlijk simpel te controleren via RIPE's RIS Project), en ook dat Telia na de posting adequaat gereageerd heeft. Dit is niet de eerste club die zich "cyberangels" noemt - ergens in 1995 ofzo was er een clubje religieuze idioten die achter beheerders van IRC-netwerken en dergelijke aangingen. Als deze mensen zich MAPS noemen is dat op z'n minst verwarrend met (voorheen) maps.vix.com / MAPS, LLC; ze zouden beter moeten weten. Regards, -- Niels Bakker Tel: +31 205 141 717 Amsterdam Internet Exchange Mobile: +31 651 902 772 http://www.ams-ix.net/ E-mail: Niels.Bakker at ams-ix.net ----- Forwarded message From: Richard Cox <Richard@mandarin.com> Date: don apr 10, 2003 03:06:35 Europe/Amsterdam To: nanog at merit.edu Subject: Hijacking of address blocks assigned to Trafalgar House Group, London UK Reply-To: richard at mandarin.com Hello! I've been asked to draw the attention of Network administrators to the recent hijacking of various large blocks of ARIN IP-space: particularly six /16 blocks allocated to the London-based Trafalgar House Group. Trafalgar House Group (THG): Trafalgar House Group TRAF (NET-144-176-0-0-1) 144.176.0.0/16 Trafalgar House Group THIN1 (NET-144-177-0-0-1) 144.177.0.0/16 Trafalgar House Group THIN3 (NET-144-179-0-0-1) 144.179.0.0/16 Trafalgar House Group THIN4 (NET-144-180-0-0-1) 144.180.0.0/16 Trafalgar House Group THIN5 (NET-144-181-0-0-1) 144.181.0.0/16 Trafalgar House Group THIN2 (NET-158-181-0-0-1) 158.181.0.0/16 I'm sure I don't need to remind people here why this is bad - a zombie block that can be announced and de-announced at an abuser's whim makes it far more difficult to trace the source of spam or the destination of responses: particularly where fraud and password-phishing has occurred. The company originally known as Trafalgar House is now part of Aker Kvaerner, headquartered in Norway, who have already set in train the processes to recover the ARIN and other handles associated with their Internet assets. Information about the original change of ownership is available, if anyone wants further confirmation or background, at http://www.brookes.ac.uk/other/conmark/IJCM/issue_02/010201.html and http://www.kvaerner.com/group/investor_relations/reports/1996/3q/ Default.asp? I could give a lot more details but do not want to bore those of you who have, inevitably, "heard it all before". I'm not claiming this is new - or any sort of special case. I'm posting this solely as a heads-up to help any admins who may have been asked to accept forged credentials authorising the announcement of the above blocks, and at the same time to ask for help from anyone who may have already been approached in similar terms. But if anyone does want more background they're welcome to mail me via the security account @ my domain. At the time of writing THIN5 is being announced via Level3 in Boston, and THIN2, plus two other hijacked blocks not owned by Aker Kvaerner (137.171.0.0/16 and 170.67.0.0/16) are being announced via Telia in Amsterdam. Sadly we have had difficulty reaching the right people at Telia, so if anyone from Telia is here, we'd be real pleased to hear from you. ARIN is now aware that handles ST58-ARIN and AMS87-ARIN are completely bogus, as is also the statement on the WHOIS for ST58-ARIN, that: "This company Is currently contracted by trafalgar House to provide network management services. Further information will be made avaiblible to request" (sic); If, therefore, any of you are asked to let through BGP announcements of any of the above blocks, or if you have been asked anything like this in the recent past - we ask you not to pass those announcements, but to get in touch with us urgently, taking care to preserve any documents that may have been sent to you to support that request: as these may be needed for prosecution and possible civil litigation against the perpetrators. Any valid authority for the use of these blocks would come directly from either Aker Kvaerner in Norway, or Equant (on their behalf). It certainly would NOT claim to be from Trafalgar House Group at any address because that Group is no longer trading under that identity. However I'm told that there are no plans to deploy those blocks in the immediate future, or until this incident has been cleared up. Thanks! -- Richard Cox Mandarin Technology Ltd, Penarth, UK
participants (4)
-
niels.bakker@ams-ix.net -
nomad@paranoid.nl -
peter@proserve.nl -
sabri@cluecentral.net