Urgent: Administrative issue enclosed, please read. (fwd)
hoi, Iemand een idee door welke tool onderstaande mails worden uitgespuugd ? Sinds vandaag krijg ik ze in exact dezelfde template toegestuurd vanaf allerlei kanten. Een traceroute naar genoemde host resulteert enige seconden later in nog meer van die rommel. De defaults lijken wel errug strak te staan. groet, Frans ---------- Forwarded message ---------- Date: Wed, 23 Jul 2003 11:44:11 -0700 From: root <root@home.insomniaserver.com> To: frans at quanza.net Subject: Urgent: Administrative issue enclosed, please read. To whom it may concern; The remote system 212.129.200.59 was logged attacking our host 69.1.84.176, this is an automated warning based on admin contacts from the arin.net whois database. Please do not ignore this message! 212.129.200.59 was found to have exceeded acceptable inbound packet flow, we have as such banned the remote host from our network. However to remove the stress from our carrier providers network, we require your assistance to further investigate this issue and see that it does not occure again. Enclosed below are log portions detailing the attack on our host, all time stamps are GMT -0700. Event logs: Jul 23 11:43:39 home kernel: ** UDP DROP ** IN=eth0 OUT= MAC=00:20:ed:76:47:8b:00:b0:4a:6a:c9:80:08:00 SRC=212.129.200.59 DST=69.1.84.176 LEN=40 TOS=0x00 PREC=0x00 TTL=1 ID=58077 PROTO=UDP SPT=58034 DPT=33477 LEN=20 Jul 23 11:43:44 home kernel: ** UDP DROP ** IN=eth0 OUT= MAC=00:20:ed:76:47:8b:00:b0:4a:6a:c9:80:08:00 SRC=212.129.200.59 DST=69.1.84.176 LEN=40 TOS=0x00 PREC=0x00 TTL=1 ID=58078 PROTO=UDP SPT=58034 DPT=33478 LEN=20 Jul 23 11:43:49 home kernel: ** UDP DROP ** IN=eth0 OUT= MAC=00:20:ed:76:47:8b:00:b0:4a:6a:c9:80:08:00 SRC=212.129.200.59 DST=69.1.84.176 LEN=40 TOS=0x00 PREC=0x00 TTL=1 ID=58079 PROTO=UDP SPT=58034 DPT=33479 LEN=20 Jul 23 11:43:54 home kernel: ** UDP DROP ** IN=eth0 OUT= MAC=00:20:ed:76:47:8b:00:b0:4a:6a:c9:80:08:00 SRC=212.129.200.59 DST=69.1.84.176 LEN=40 TOS=0x00 PREC=0x00 TTL=2 ID=58080 PROTO=UDP SPT=58034 DPT=33480 LEN=20 Jul 23 11:43:59 home kernel: ** UDP DROP ** IN=eth0 OUT= MAC=00:20:ed:76:47:8b:00:b0:4a:6a:c9:80:08:00 SRC=212.129.200.59 DST=69.1.84.176 LEN=40 TOS=0x00 PREC=0x00 TTL=2 ID=58081 PROTO=UDP SPT=58034 DPT=33481 LEN=20 - Administrative team, ExpertPAD <admin at insomniaserver.com>
On Wed, Jul 23, 2003 at 09:11:29PM +0200, Frans ter Borg wrote: Hi,
Iemand een idee door welke tool onderstaande mails worden uitgespuugd ?
Sinds vandaag krijg ik ze in exact dezelfde template toegestuurd vanaf allerlei kanten. Een traceroute naar genoemde host resulteert enige seconden later in nog meer van die rommel.
De defaults lijken wel errug strak te staan.
Ik heb 'm ook gehad. De klacht betroft hier een "hostile scan" door 193.109.122.5 oftewel de undernet proxy scanner. Ze krijgen een autoreply met mijn adres als reply-to, daar heb ik verder niks meer op gehad. -- Sabri Berisha ~ "I route, therefore you are" Like computers and camping? Join megabit! July 21st - 27th Ede, NL - http://www.megabit.nl user-specific rbl checking? http://www.bit.nl/~sabri/rblcheckd.php
On woensdag, jul 23, 2003, at 21:11 Europe/Amsterdam, Frans ter Borg wrote:
Iemand een idee door welke tool onderstaande mails worden uitgespuugd ?
Geen idee, maar ik heb er ook eentje mogen ontvangen (ook over 69.1.84.176). Uiteraard op het email-adres dat in de "changed:" van RIPE objects staat.
Sinds vandaag krijg ik ze in exact dezelfde template toegestuurd vanaf allerlei kanten. Een traceroute naar genoemde host resulteert enige seconden later in nog meer van die rommel.
M'n handen jeuken om wat udp packets vanaf www.microsoft.com, *.root-servers.net etc. te spoofen. Met vriendelijke groet, -- Niels Bakker Tel: +31 205 141 716 Amsterdam Internet Exchange Mobile: +31 651 902 772 http://www.ams-ix.net/ E-mail: Niels.Bakker at ams-ix.net
On Wed, Jul 23, 2003 at 10:57:55PM +0200, Niels Bakker wrote:
M'n handen jeuken om wat udp packets vanaf www.microsoft.com, *.root-servers.net etc. te spoofen.
Maar dat doen wij, admins met verantwoordelijkheidsgevoel, natuurlijk niet ;) -- Sabri Berisha ~ "I route, therefore you are" Like computers and camping? Join megabit! July 21st - 27th Ede, NL - http://www.megabit.nl user-specific rbl checking? http://www.bit.nl/~sabri/rblcheckd.php
On Wed, Jul 23, 2003 at 10:57:55PM +0200, Niels Bakker wrote:
On woensdag, jul 23, 2003, at 21:11 Europe/Amsterdam, Frans ter Borg wrote:
Iemand een idee door welke tool onderstaande mails worden uitgespuugd ?
Geen idee, maar ik heb er ook eentje mogen ontvangen (ook over 69.1.84.176). Uiteraard op het email-adres dat in de "changed:" van RIPE objects staat.
Echt uitermate vervelend, ik krijg ook nog steeds klachten van cistron klanten binnen. Zomaar een idee, maar zou het geen plan zijn om het format van changed: lines te veranderen in alleen maar punten ipv een '@'. Lijkt me wel een nuttige wijziging en iedereen heeft er waarschijnlijk last van, dus met draagvlak zou het ook niet zo'n probleem moeten zijn. Zullen vast wel mensen zijn die er een probleem in zien, maar het zou geen kwaad kunnen die discussie eens op te starten. MarcoH
On Thu, 24 Jul 2003, MarcoH wrote:
On Wed, Jul 23, 2003 at 10:57:55PM +0200, Niels Bakker wrote:
On woensdag, jul 23, 2003, at 21:11 Europe/Amsterdam, Frans ter Borg wrote:
Iemand een idee door welke tool onderstaande mails worden uitgespuugd ?
Geen idee, maar ik heb er ook eentje mogen ontvangen (ook over 69.1.84.176). Uiteraard op het email-adres dat in de "changed:" van RIPE objects staat.
Echt uitermate vervelend, ik krijg ook nog steeds klachten van cistron klanten binnen.
Zomaar een idee, maar zou het geen plan zijn om het format van changed: lines te veranderen in alleen maar punten ipv een '@'. Lijkt me wel een nuttige wijziging en iedereen heeft er waarschijnlijk last van, dus met draagvlak zou het ook niet zo'n probleem moeten zijn.
daar zullen die tools vast erg snel op worden aangepast. Maar het is inderdaad erg lastig. F.
On Thu, Jul 24, 2003 at 11:03:53AM +0200, Frans ter Borg wrote:
Echt uitermate vervelend, ik krijg ook nog steeds klachten van cistron klanten binnen.
Zomaar een idee, maar zou het geen plan zijn om het format van changed: lines te veranderen in alleen maar punten ipv een '@'. Lijkt me wel een nuttige wijziging en iedereen heeft er waarschijnlijk last van, dus met draagvlak zou het ook niet zo'n probleem moeten zijn.
daar zullen die tools vast erg snel op worden aangepast. Maar het is inderdaad erg lastig.
Alternatief zou het invoeren van een (verplichte) abuse: line zijn...toch eens in de groep gooien op ripe-46, heb ik meteen een goede reden om me in te schrijven :) MarcoH
Hi!
daar zullen die tools vast erg snel op worden aangepast. Maar het is inderdaad erg lastig.
Alternatief zou het invoeren van een (verplichte) abuse: line zijn...toch eens in de groep gooien op ripe-46, heb ik meteen een goede reden om me in te schrijven :)
Zolang die domme tools de changed lines blijven gebruiken schiet dat niet echt op :) Vervelend is het wel... Bye, Raymond.
On Thu, Jul 24, 2003 at 03:11:23PM +0200, Raymond Dijkxhoorn wrote:
daar zullen die tools vast erg snel op worden aangepast. Maar het is inderdaad erg lastig.
Alternatief zou het invoeren van een (verplichte) abuse: line zijn...toch eens in de groep gooien op ripe-46, heb ik meteen een goede reden om me in te schrijven :)
Zolang die domme tools de changed lines blijven gebruiken schiet dat niet echt op :) Vervelend is het wel...
Vandaar dat ik dacht aan het slopen van de @, is niet echt ingewikkeld om alle bestaande objecten aan te passen en de gebruikers worden het na de zoveelste 5xx domain not found, het wel zat. MarcoH
Hi!
Zolang die domme tools de changed lines blijven gebruiken schiet dat niet echt op :) Vervelend is het wel...
Vandaar dat ik dacht aan het slopen van de @, is niet echt ingewikkeld om alle bestaande objecten aan te passen en de gebruikers worden het na de zoveelste 5xx domain not found, het wel zat.
Waarom niet changed: RD263-RIPE Ik zie het nut van een e-mail adres daar zowieso niet zo, op de changed lines. Bye, Raymond.
Overigens heb ik nog wat heen en weer gemaild met de aanstichter van deze thread (die met dat stomme scriptje), hij heeft gemeld dat hij het automatisch sturen van klachten zou staken. -- Niels. --
On Thu, Jul 24, 2003 at 03:54:37PM +0200, Niels Bakker wrote:
Overigens heb ik nog wat heen en weer gemaild met de aanstichter van deze thread (die met dat stomme scriptje), hij heeft gemeld dat hij het automatisch sturen van klachten zou staken.
1 down, few million to go :)
On Thu, Jul 24, 2003 at 03:49:58PM +0200, Raymond Dijkxhoorn wrote:
Hi!
Zolang die domme tools de changed lines blijven gebruiken schiet dat niet echt op :) Vervelend is het wel...
Vandaar dat ik dacht aan het slopen van de @, is niet echt ingewikkeld om alle bestaande objecten aan te passen en de gebruikers worden het na de zoveelste 5xx domain not found, het wel zat.
Waarom niet
changed: RD263-RIPE
Ik zie het nut van een e-mail adres daar zowieso niet zo, op de changed lines.
Tja, moet je wel weer uitkijken dat de gemiddelde whois-client niet de person object gaat resolven. Op zich gaat het strippen van "@'s waarschijnlijk ook wel wat spammers een zeer hoofd bezorgen, moeten ze hun harvester weer om gaan coderen en je weet nooit welke punt vervangen moet worden :) MarcoH
On Thu, Jul 24, 2003 at 03:49:58PM +0200 Raymond Dijkxhoorn(raymond at prolocation.net) wrote:
Hi!
Zolang die domme tools de changed lines blijven gebruiken schiet dat niet echt op :) Vervelend is het wel...
Vandaar dat ik dacht aan het slopen van de @, is niet echt ingewikkeld om alle bestaande objecten aan te passen en de gebruikers worden het na de zoveelste 5xx domain not found, het wel zat.
Waarom niet
changed: RD263-RIPE
Ik zie het nut van een e-mail adres daar zowieso niet zo, op de changed lines.
goed, er is dan misschien een mandatory e-mail adres, maar je kunt daar natuurlijk ook een spamtrap van maken. Dit ook aangezien er tegenwoordig veel meer en meer gespamt wordt op ripe adressen. Immers niet alleen abuse, maar ook die <power-language/> spammers gebruiken changed lines. Als het een voor de rest ongebruikt adres is heeft dit imho zeker wel zin, kijk bijvoorbeeld naar het ripe object van sabri voor de undernet scanner. Werkt perfect en als je je abuse adres voor de *wel* whois lezende mensen in de remark of in het abuse veld zet, zou je toch al een eindje moeten komen. Mijn EUR 0.02... Grtz, Tycho -- Tycho Eggen - IC&S - tycho at ic-s.nl / +31 6 41 824 855 Unix+Network Engineering & Development - gpg: 0x4DCC7A24 "Microsoft wins the Internet Disgrace Award of 2003." - Some one commenting about the MS-SQL Slammer worm on Nanog.
participants (6)
-
frans@quanza.net -
marcoh@marcoh.net -
niels.bakker@ams-ix.net -
raymond@prolocation.net -
sabri@cluecentral.net -
tycho@ic-s.nl