On Fri, 16 May 2003, Arjan wrote:
En nee, NOC telefoon uit ripe halen is geen optie voor ons. Misschien maar eens een remark erin plaatsen ofzo? Tips?
Neem van mij aan: Daar kijken ze niet naar. Wij hosten de Undernet proxyscanner, een doos die scant of je geen brakke proxy bent als je naar udernet connect en zo ja je er meteen weer af mietert. Als je ziet wat daardoor af en toe op abuse binnenkomt, je lacht je slap. -- __________________ Met vriendelijke groet, /\ ___/ Alex Bik /- \ _/ Business Internet Trends BV AB2298-RIPE /--- \/ __________________
Hi!
En nee, NOC telefoon uit ripe halen is geen optie voor ons. Misschien maar eens een remark erin plaatsen ofzo? Tips?
Neem van mij aan: Daar kijken ze niet naar. Wij hosten de Undernet proxyscanner, een doos die scant of je geen brakke proxy bent als je naar udernet connect en zo ja je er meteen weer af mietert. Als je ziet wat daardoor af en toe op abuse binnenkomt, je lacht je slap.
Er is een nieuwe brakke versie van een of ander Norton product in omloop, sinds en paar dagen krijg ik een stuk meer van dit soort no-no mails van /dumbbass users. De meeste zijn vermoedelijk een jaar of 10 (of hebben in ieder geval het denkniveau wat daaraan equivalent is) want veel meer als 3 scheldwoorden staat er meestal niet in de mails. Ik heb een standaard bounce message voor die meuk waarna ze in een blocklist gaan op mijn eigen maildoos, verder communiceren met ze is toch nutteloos. Laat ze dat lekker met abuse@ oid oplossen :)) Bye, Raymond.
On Fri, 2003-05-16 at 09:34, Raymond Dijkxhoorn wrote:
Er is een nieuwe brakke versie van een of ander Norton product in omloop, sinds en paar dagen krijg ik een stuk meer van dit soort no-no mails van /dumbbass users. De meeste zijn vermoedelijk een jaar of 10 (of hebben in ieder geval het denkniveau wat daaraan equivalent is) want veel meer als 3 scheldwoorden staat er meestal niet in de mails.
Ah eindelijk, dit is het sein om mijn gal ook eens te spuien.... Wij krijgen meestal klachten van mensen die denken dat ICMP unreachable een _heel_ gevaarlijk pakket is. Het gaat ongeveer zo: Brakke Firewall (BF) ziet vreemd pakket BF denkt zijn luser te helpen door het netwerk in de RIPE database op te zoeken. Helaas heeft BF blijkbaar hardcoded IP adressen, en 1 of meer van deze adressen zijn niet meer geldig. De RIPE router op het AMS-IX lan stuurt braaf een ICMP Host Unreachable terug. BF ziet dit en, oh jee, paniek! We worden gehackt door de RIPE router. Source adres van de ICMP is die van het AMS-IX interface ... waarna ze ons beschuldigen van hack pogingen. Afhankelijk van de toon van hun mail willen we daar nog wel eens met een zekere mate van beleefdheid op reageren. Het mooiste was nog wel een telefoontje wat ik ongeveer een jaar geleden kreeg. De man was erg boos, wist ook zeker dat WIJ hem aan het hacken waren en we moesten er maar onmiddellijk mee ophouden. Dat ging ongeveer zo: luser: Willen jullie onmiddellijk ophouden met mijn computer te hacken!? SB: Meneer, wij hacken niemand. Kunt u bewijzen geven dat wij u hacken? luser: Ik zie het op mijn computer scherm! SB: Wat ziet u op uw scherm? Wat voor meldingen krijgt u? Wat voor adressen ziet u? luser: Wacht even... Ah, A-m-s-i-x, W-e-s-t-e-i-n-d-e 12, .... :-D ... Nou ja, vanaf dat moment ging het gesprek alleen maar bergafwaarts. Hij eindigde met het dreigement dat hij ons dan wel even zou terughacken en "dan zou er helemaal geen AMS-IX meer zijn." Ik legde hem fijntjes uit dat dergelijke activiteiten illegaal zijn en wij dan ook genoodzaakt zouden zijn om justitie in te schakelen. Verder wenste ik hem veel succes voor ik de verbinding verbrak. Misschien is het volgende een idee: ==> Wat doet u in mijn computer? <== Porno verzameling doorsturen aan je moeder. Maar waar ik echt helemaal niets mee kan zijn lusers die spam ontvangen, een traceroute doen en vervolgens het AMS-IX peering lan ergens in het midden van de trace zien verschijnen en ons vervolgens beschuldigen van het upstream leveren aan spammers. Het concept L2 exchange is niet in die stugge koppen te rammen (los van het feit dat een traceroute in dit geval volkomen nutteloos is). En zelfs al zouden we iets kunnen doen: moeten we AMS-IX lid afsluiten omdat een volslagen vreemde beweert dat een klant {van een klant}* van een AMS-IX lid spam stuurt...? Please hold while I put on my special Law Suit :-) Het schijnt dat 193.148.15.0/24 inmiddels al in een aantal blackhole lists voorkomt. Dat geeft niks natuurlijk, totdat we het teruggeven aan RIPE en weer wordt uitgegeven aan een of andere arme donder. :-/ Steven
On 16-05-2003 10:53AM, "Steven Bakker" <steven.bakker at ams-ix.net> wrote:
Misschien is het volgende een idee: ==> Wat doet u in mijn computer? <== Porno verzameling doorsturen aan je moeder.
Dit schijnt ook goed te werken: ==> Mijn computer wordt gehackt, wat gaan jullie daar aan doen? <== Dat is een bijzonder ernstige zaak. Zet onmiddellijk uw computer uit. Raak hem daarna niet meer aan; zodat de AIVD deze kan onderzoeken. ==> Maar maar hoe lang gaat dat duren? <== Kan ik u niet zeggen het is nu uit mijn handen. ==> Maar... Maar... <== Nee geen discussie over mogelijk. De staatsveiligheid is hier in het geding A.
On Fri, May 16, 2003 at 09:22:15AM +0200, Alex Bik wrote:
On Fri, 16 May 2003, Arjan wrote:
En nee, NOC telefoon uit ripe halen is geen optie voor ons. Misschien maar eens een remark erin plaatsen ofzo? Tips?
Neem van mij aan: Daar kijken ze niet naar. Wij hosten de Undernet proxyscanner, een doos die scant of je geen brakke proxy bent als je naar udernet connect en zo ja je er meteen weer af mietert. Als je ziet wat daardoor af en toe op abuse binnenkomt, je lacht je slap.
Sterker nog, vanwege dat geneuzel heb ik het zo gedaan: inetnum: 193.109.122.0 - 193.109.122.255 netname: BIT-IRC-1 descr: BIT proxyscan PI space country: NL admin-c: SB825-RIPE tech-c: SB825-RIPE status: ASSIGNED PI remarks: In case of proxyscan activity, please refer to remarks: http://www.undernet.org/proxyscan.php remarks: email address: proxy-team at undernet.org remarks: please do NOT mail any other @undernet.org about it, as they remarks: are not involved mnt-by: BIT-MNT mnt-by: RIPE-NCC-HM-PI-MNT mnt-lower: RIPE-NCC-HM-PI-MNT mnt-routes: BIT-MNT notify: scancomplaints at bit.nl changed: scancomplaints at bit.nl 20020122 source: RIPE route: 193.109.122.0/24 descr: route object for 193.109.122.0/24 origin: AS12859 notify: scancomplaints at bit.nl mnt-by: BIT-MNT changed: scancomplaints at bit.nl 20020122 source: RIPE person: Sabri Berisha address: Postbus 536 address: 6710 BM EDE address: The Netherlands phone: +31 318 695917 e-mail: scancomplaints at bit.nl nic-hdl: SB825-RIPE mnt-by: BIT-MNT changed: scancomplaints at bit.nl 20020122 source: RIPE Mijn "normale" ripehandle is SAB666-RIPE. Alle mail die naar scancomplaints at bit.nl gaat krijgt een handige autoresponder met voldoende uitleg. Helaas is zelfs dat soms niet voldoende. In dat geval hebben ze een weekje geen IRC. Het meest lollige zijn nog de meldingen van KPN en diverse ministeries. Daar wil ik nog wel es een extra reply heensturen met de melding dat ze toch echt moeten ophouden met "het downloaden van illegale software via ons IRC netwerk" :-) -- Sabri Berisha "I route, therefore you are" Per user RBL checking: http://www.cluecentral.net/rblcheck/
participants (5)
-
alex@bit.nl -
arien.vijn@ams-ix.net -
raymond@prolocation.net -
sabri@cluecentral.net -
steven.bakker@ams-ix.net