Hoi, Op verzoek van m'n collega Mark, die (nog?) geen post rechten heeft op deze lijst stuur ik jullie even een mailtje van hem door over Virbl: Concullegae, Sinds een week of drie is er nieuw leven in Virbl geblazen. In de afgelopen twee jaar heeft Virbl een beetje in een stoffig hoekje gelegen, maar dat is niet meer. Virbl doet weer volledig mee, dat is ook te zien aan het aantal hosts dat er inmiddels op staat; 6368 stuks. En dat het werkt kun je ook nog wel zien op [1]. Notificatie naar de AS-beheerders vanuit Virbl zal in de komende weken weer gaan werken, zodat iedereen kan aangeven of en wanneer hij wil weten dat hosts in zijn netwerk gelist zijn. Gelist staan op Virbl is niet leuk, kunnen we opmaken uit mailtjes die we op virbl at bit.nl krijgen. Voor de Nederlandse ISP is daar een prima workaround voor, de NLWhitelist [2]. Die wordt door Virbl als 'exclude' gebruikt. We zijn nog bezig met het ontwikkelen van een systeem om automatisch valide mailservers te herkennen op basis van mailtjes die bij ons afgeleverd worden en die wij probleemloos kunnen afleveren bij klanten, maar dat is nog WIP. Als je nog niet op de NLWhitelist staat, kijk dan even op [2] voor de voorwaarden en mail dnsbl at bit.nl daarover. Vanmorgen kreeg ik opmerkingen van onze support-afdelings-chief dat ze vrij veel gebeld worden over Virbl, ondanks de meldingen op de site en in de autoreply dat je hierover niet kunt/mag bellen. Het is niet geheel onverwachts dat mensen het toch proberen, maar hij wist me ook te melden in een aantal gevallen mensen door hun ISP naar ons verwezen werden. Ik wil iedereen verzoeken om dat niet te doen, maar te verwijzen naar de website [3]. We zullen nooit telefonisch reageren op opmerkingen/vragen/verzoeken over Virbl. Als je wilt doorverwijzen, verwijs dan alsjeblieft naar diegene die Virbl gebruikt. Nog even wat anders. Virbl ondersteunt IPv6. Dat wil zeggen, Virbl kan het aan en in de txt- en bind-versie van de exports kom je eventueel geliste hosts (dat zijn d'r nog niet zoveel ;)) tegen. Nu kun je met IPv6 twee dingen doen: 1: Op een aparte list zetten. Bijvoorbeeld ipv6.virbl.dnsbl.bit.nl 2: Gewoon mixen met virbl.dnsbl.bit.nl Mijn voorkeur gaat uit naar optie twee, en zeker gezien het feit dat we in Virbl geen wildcard-dingen doen is dat ook niet echt een issue. Maar als de gebruikers het niet willen schiet mijn mening ook niet echt op. Dus, wat is wijsheid? ;) Andere opmerkingen/verbeterpunten over Virbl, ascc, of de NLWhitelist zijn uiteraard van harte welkom op dnsbl at bit.nl! [1]: http://virbl.bit.nl/why.php [2]: http://noc.bit.nl/dnsbl/nlwhitelist/ [3]: http://virbl.bit.nl/ -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF:1
On Wed, Sep 10, 2008 at 04:21:29PM +0200, Teun Vink wrote:
Op verzoek van m'n collega Mark, die (nog?) geen post rechten heeft op deze lijst stuur ik jullie even een mailtje van hem door over Virbl:
<knip lap tekst> Bedankt voor (het doorsturen van) deze uitleg. Maar het roept bij mij wel een paar vragen op: - Wat is er precies veranderd waardoor er ineens weer entries in de database bijkomen? Is er iets veranderd aan de de techniek of wellicht de voorwaarden om gelist te worden? - Indien er inderdaad iets is gewijzigd, is het dan wel verstandig om die lijst onder dezelfde naam te herintoduceren? - Is verspreiding van virussen per e-mail nog wel een concreet probleem? Ik kan de oude virbl stats niet meer vinden, maar ik kan mij herinneren dat de "hitcount" het afgelopen jaar rond de 0% lag. Wat betreft die telefoontjes; ik denk dat dit verzoek aan nlnog@ weinig zal helpen. Het zullen de helpdeskmedewerkers bij ISP's zijn die doorverwijzen, en ik neem aan dat zij deze lijst niet lezen. Als laatste: vanochtend kwam ik op een andere mailinglist juist een geval tegen van iemand die was gelist. Op de virbl website stond een melding dat het project op dit moment wordt herzien, maar zonder datum. Voor hetzelfde geld is het dan zo'n "dode" melding die nooit meer verdwijnt :) Groet, Maarten
On Wed, 2008-09-10 at 16:36 +0200, Maarten te Paske wrote:
- Wat is er precies veranderd waardoor er ineens weer entries in de database bijkomen? Is er iets veranderd aan de de techniek of wellicht de voorwaarden om gelist te worden?
De voorwaarden zijn gelijk gebleven. De code is herschreven, en er zijn nu vrijwel geen errors bij het parsen. In de loop van de jaren waren er ook wat 'feeders' die andere producten waren gaan draaien waardoor we het niet goed oppakten. In een stoffig hoekje dus. Niet zo netjes, we willen het graag weer goedmaken.
- Indien er inderdaad iets is gewijzigd, is het dan wel verstandig om die lijst onder dezelfde naam te herintoduceren?
Niet dus.
- Is verspreiding van virussen per e-mail nog wel een concreet probleem? Ik kan de oude virbl stats niet meer vinden, maar ik kan mij herinneren dat de "hitcount" het afgelopen jaar rond de 0% lag.
Zie: http://virbl.bit.nl/why.php . Het aantal viri dat weer via email gaat loopt ontzettend op.
Wat betreft die telefoontjes; ik denk dat dit verzoek aan nlnog@ weinig zal helpen. Het zullen de helpdeskmedewerkers bij ISP's zijn die doorverwijzen, en ik neem aan dat zij deze lijst niet lezen.
Ik hoop dat de mede nl-noggers zich geroepen voelen om dit mailtje de rest van de organisatie in te sturen. Het is voor helpdeskers ook wel zinnige info om te hebben.
Als laatste: vanochtend kwam ik op een andere mailinglist juist een geval tegen van iemand die was gelist. Op de virbl website stond een melding dat het project op dit moment wordt herzien, maar zonder datum. Voor hetzelfde geld is het dan zo'n "dode" melding die nooit meer verdwijnt :)
Ik ben hard aan het typen. :) -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
++ 10/09/08 16:55 +0200 - Mark Schouten:
- Is verspreiding van virussen per e-mail nog wel een concreet probleem? Ik kan de oude virbl stats niet meer vinden, maar ik kan mij herinneren dat de "hitcount" het afgelopen jaar rond de 0% lag.
Zie: http://virbl.bit.nl/why.php . Het aantal viri dat weer via email gaat loopt ontzettend op.
[...] Aan welke grafiek zie ik dat precies? Ik kan dat niet afleiden uit de twee grafieken op die pagina, noch die op de statistieken pagina. Of zie ik iets over het hoofd? -- Rejo Zenger . <rejo at zenger.nl> . 0x75FC50F3 . <https://rejo.zenger.nl> GPG encrypted e-mail prefered.
On Wed, 2008-09-10 at 17:04 +0200, Rejo Zenger wrote:
++ 10/09/08 16:55 +0200 - Mark Schouten:
- Is verspreiding van virussen per e-mail nog wel een concreet probleem? Ik kan de oude virbl stats niet meer vinden, maar ik kan mij herinneren dat de "hitcount" het afgelopen jaar rond de 0% lag.
Zie: http://virbl.bit.nl/why.php . Het aantal viri dat weer via email gaat loopt ontzettend op.
[...]
Aan welke grafiek zie ik dat precies? Ik kan dat niet afleiden uit de twee grafieken op die pagina, noch die op de statistieken pagina. Of zie ik iets over het hoofd?
Ik zal bij de volgende virus-run nog een andere grafiek erbij zetten, namelijk hoeveel nieuwe mailtjes we in Virbl krijgen. Dan zie je dat op het moment van uitbreken (op de grafieken op die pagina rond 14.00 uur): 1: Het aantal queries op de nameservers omhoog gaat 2: Het aantal 'Ja, deze host staat op virbl' antwoorden omhoog gaat 3: Het aantal geweigerde verbindingen op mx1.bit.nl omhoog gaat In de periode van deze drie punten zie je ook ontzettend veel nieuwe mailtjes in Virbl terecht komen, die dus een virus bevatten. Ik heb een hele tijd geen/weinig viri via email gezien. De afgelopen weken zie ik er dagelijks weer een paar. (Maar misschien ligt het wel gewoon aan mij en is het nooit minder geweest. :)) -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
On Wed, 2008-09-10 at 16:21 +0200, Teun Vink wrote:
Hoi,
Op verzoek van m'n collega Mark, die (nog?) geen post rechten heeft op deze lijst stuur ik jullie even een mailtje van hem door over Virbl:
Inmiddels mag ik et! :) -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
On Wed, 2008-09-10 at 16:21 +0200, Teun Vink wrote:
Notificatie naar de AS-beheerders vanuit Virbl zal in de komende weken weer gaan werken, zodat iedereen kan aangeven of en wanneer hij wil weten dat hosts in zijn netwerk gelist zijn.
Notificatie kan ik nog niet aanbieden, wel een BETA-login systeem waar ik graag commentaar op krijg. Hier kun je zien welke hosts in je AS gelist zijn, en de evidence-headers van de betreffende hosts. Dus, graag commentaar. Je kunt inloggen op http://virbl.bit.nl/login/
Nog even wat anders. Virbl ondersteunt IPv6. Dat wil zeggen, Virbl kan het aan en in de txt- en bind-versie van de exports kom je eventueel geliste hosts (dat zijn d'r nog niet zoveel ;)) tegen. Nu kun je met IPv6 twee dingen doen: 1: Op een aparte list zetten. Bijvoorbeeld ipv6.virbl.dnsbl.bit.nl 2: Gewoon mixen met virbl.dnsbl.bit.nl
Mijn voorkeur gaat uit naar optie twee, en zeker gezien het feit dat we in Virbl geen wildcard-dingen doen is dat ook niet echt een issue. Maar als de gebruikers het niet willen schiet mijn mening ook niet echt op. Dus, wat is wijsheid? ;)
Hier nog meningen over? :) -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
Mark, Op 12/09/2008 om 11:04:45 +0200, schreef Mark Schouten:
On Wed, 2008-09-10 at 16:21 +0200, Teun Vink wrote:
Notificatie naar de AS-beheerders vanuit Virbl zal in de komende weken weer gaan werken, zodat iedereen kan aangeven of en wanneer hij wil weten dat hosts in zijn netwerk gelist zijn.
Notificatie kan ik nog niet aanbieden, wel een BETA-login systeem waar ik graag commentaar op krijg. Hier kun je zien welke hosts in je AS gelist zijn, en de evidence-headers van de betreffende hosts.
Dus, graag commentaar. Je kunt inloggen op http://virbl.bit.nl/login/
Die evidence-headers zou ik ook graag zien op http://virbl.bit.nl/lookup/index.php?ip=w.x.y.z Zodat een ndr door eindgebruikers naar een admin doorgestuurd kan worden, en het voor de admin duidelijk is waar dit allemaal om gaat. Of bestaan daar bezwaren tegen?
Nog even wat anders. Virbl ondersteunt IPv6. Dat wil zeggen, Virbl kan het aan en in de txt- en bind-versie van de exports kom je eventueel geliste hosts (dat zijn d'r nog niet zoveel ;)) tegen. Nu kun je met IPv6 twee dingen doen: 1: Op een aparte list zetten. Bijvoorbeeld ipv6.virbl.dnsbl.bit.nl 2: Gewoon mixen met virbl.dnsbl.bit.nl
Mijn voorkeur gaat uit naar optie twee, en zeker gezien het feit dat we in Virbl geen wildcard-dingen doen is dat ook niet echt een issue. Maar als de gebruikers het niet willen schiet mijn mening ook niet echt op. Dus, wat is wijsheid? ;)
Hier nog meningen over? :)
Optie 2. Nog iets, ik had het al eerder aan jou gestuurd maar on-list is dit wellicht transparanter: de dnsrbld export bevat nu een $NS regel. Die regel verhinderd dat we dit ongewijzigd in onze eigen dnsrbld kunnen opnemen. De authoratieve NS is dan immers niet meer rbldnsd[12].dnsbl.bit.nl. -- Leo Baltus, internetbeheerder /\ NPO ICT Internet Services /NPO/\ Sumatralaan 45, 1217 GP Hilversum, Filmcentrum, west \ /\/ beheer at omroep.nl, 035-6773555 \/
On Fri, 2008-09-12 at 11:34 +0200, Leo Baltus wrote:
Die evidence-headers zou ik ook graag zien op http://virbl.bit.nl/lookup/index.php?ip=w.x.y.z Zodat een ndr door eindgebruikers naar een admin doorgestuurd kan worden, en het voor de admin duidelijk is waar dit allemaal om gaat. Of bestaan daar bezwaren tegen?
Het idee is dat we die headers als 'vertrouwelijk' hebben bestempeld. Dus dat die niet publiek zijn.
Hier nog meningen over? :)
Optie 2.
Dank.
Nog iets, ik had het al eerder aan jou gestuurd maar on-list is dit wellicht transparanter: de dnsrbld export bevat nu een $NS regel. Die regel verhinderd dat we dit ongewijzigd in onze eigen dnsrbld kunnen opnemen. De authoratieve NS is dan immers niet meer rbldnsd[12].dnsbl.bit.nl.
Hmm. Ik heb daar eigenlijk met andere lists geen issues mee. Zo hebben we op rbldnsd1.dnsbl.bit.nl ook een dnswl-mirror, die prima werkt. Ondanks: $NS 12h b.ns.dnswl.org c.ns.dnswl.org d.ns.dnswl.org e.ns.dnswl.org f.ns.dnswl.org g.ns.dnswl.org h.ns.dnswl.org i.ns.dnswl.org j.ns.dnswl.org k.ns.dnswl.org -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
Op 12/09/2008 om 13:16:04 +0200, schreef Mark Schouten:
On Fri, 2008-09-12 at 11:34 +0200, Leo Baltus wrote:
Nog iets, ik had het al eerder aan jou gestuurd maar on-list is dit wellicht transparanter: de dnsrbld export bevat nu een $NS regel. Die regel verhinderd dat we dit ongewijzigd in onze eigen dnsrbld kunnen opnemen. De authoratieve NS is dan immers niet meer rbldnsd[12].dnsbl.bit.nl.
Hmm. Ik heb daar eigenlijk met andere lists geen issues mee. Zo hebben we op rbldnsd1.dnsbl.bit.nl ook een dnswl-mirror, die prima werkt. Ondanks: $NS 12h b.ns.dnswl.org c.ns.dnswl.org d.ns.dnswl.org e.ns.dnswl.org f.ns.dnswl.org g.ns.dnswl.org h.ns.dnswl.org i.ns.dnswl.org j.ns.dnswl.org k.ns.dnswl.org
Klopt hoor, maar mijn punt is dat ze er niet in horen, immers je distribueert ze voor andere nameservers dan die van jullie. Verder: De template tekst: :127.0.0.2:Virus infected host zou ook kunnen zijn : :127.0.0.2:See: http://virbl.bit.nl/lookup/index.php?$ Zodoende kun je alle tekst achter de ipnr's achterwege laten. -- Leo Baltus, internetbeheerder /\ NPO ICT Internet Services /NPO/\ Sumatralaan 45, 1217 GP Hilversum, Filmcentrum, west \ /\/ beheer at omroep.nl, 035-6773555 \/
On Fri, 2008-09-12 at 16:42 +0200, Leo Baltus wrote:
Klopt hoor, maar mijn punt is dat ze er niet in horen, immers je distribueert ze voor andere nameservers dan die van jullie.
Verder:
De template tekst: :127.0.0.2:Virus infected host zou ook kunnen zijn : :127.0.0.2:See: http://virbl.bit.nl/lookup/index.php?$
Zodoende kun je alle tekst achter de ipnr's achterwege laten.
Fixed! Btw, de login-spullie staat live. -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 17FF
Op 13/09/2008 om 15:05:58 +0200, schreef Mark Schouten:
On Fri, 2008-09-12 at 16:42 +0200, Leo Baltus wrote:
Klopt hoor, maar mijn punt is dat ze er niet in horen, immers je distribueert ze voor andere nameservers dan die van jullie.
Verder:
De template tekst: :127.0.0.2:Virus infected host zou ook kunnen zijn : :127.0.0.2:See: http://virbl.bit.nl/lookup/index.php?$
Zodoende kun je alle tekst achter de ipnr's achterwege laten.
Fixed!
Wow, goed werk. In mijn afwezigheid (was een weekje weg) hebben we aanleiding gezien om het in gebruik te nemen. Werkt als een speer. Vandaag tot nu toe al 19000 rejects op virbl. -- Leo Baltus, internetbeheerder /\ NPO ICT Internet Services /NPO/\ Sumatralaan 45, 1217 GP Hilversum, Filmcentrum, west \ /\/ beheer at omroep.nl, 035-6773555 \/
On Mon, 2008-09-22 at 10:13 +0200, Leo Baltus wrote:
Op 13/09/2008 om 15:05:58 +0200, schreef Mark Schouten:
On Fri, 2008-09-12 at 16:42 +0200, Leo Baltus wrote:
Klopt hoor, maar mijn punt is dat ze er niet in horen, immers je distribueert ze voor andere nameservers dan die van jullie.
Verder:
De template tekst: :127.0.0.2:Virus infected host zou ook kunnen zijn : :127.0.0.2:See: http://virbl.bit.nl/lookup/index.php?$
Zodoende kun je alle tekst achter de ipnr's achterwege laten.
Fixed!
Wow, goed werk. In mijn afwezigheid (was een weekje weg) hebben we aanleiding gezien om het in gebruik te nemen.
Werkt als een speer. Vandaag tot nu toe al 19000 rejects op virbl.
Hip! -- Mark Schouten, Unix/NOC-engineer BIT BV | info at bit.nl | +31 318 648688 MS8714-RIPE | B1FD 8E60 A184 F89A 450D A128 049B 1B19 9AD6 177FF
participants (7)
-
Leo.Baltus@omroep.nl -
maarten@tepaske.net -
marks@bit.nl -
nlnog@subs.krikkit.nl -
paul@xtdnet.nl -
raymond@prolocation.net -
teun@teun.tv