PC under attack

[flamenca]

Wel, nu nie meer, anders zou ik hier niet zitten... Maar deze ochtend wel... Sygate gaf mij op dat er een 'Denial of Service', 'Code Red' op mijn pc werd gelost... dit kwam van een skynetclient (traceroute gebruikt) en dit 25 keer op 54 min online...
Heeft het enige zin om dat te rapporteren bij [email protected]?
Wat zijn trouwens de mogelijke gevolgen van zo'n attack?

Alle info welkom!

thnx

flamenca

[Sub Zero]

Wel, er probeert iemand een bepaalde service of je internet plat te leggen door deze service te bestoken met aanvragen. Jij moet hier niets voor vrezen, je firewall heeft dat mooi opgelost. Je zal er geen last van ondervinden. Je kan deze logs doorspelen naar [email protected], zij zullen dan wel verdere actie ondernemen. Als ze al iets doen.

Je moet je geen zorgen maken, je firewall doet zijn werk goed.

Cheers

[airzimmy]

is [email protected] niet afgeschaft en vervangen door een webinterface ?

[Blue-Sky]

Wel, er probeert iemand een bepaalde service of je internet plat te leggen door deze service te bestoken met aanvragen. Jij moet hier niets voor vrezen, je firewall heeft dat mooi opgelost. Je zal er geen last van ondervinden. Je kan deze logs doorspelen naar [email protected], zij zullen dan wel verdere actie ondernemen. Als ze al iets doen.

Je moet je geen zorgen maken, je firewall doet zijn werk goed.

Cheers

Zoals Sub Zero al schreef, geen zorgen maken, toch melden op Abuse van Skynet en zeker als die attack van een Skynet klant komt, ik heb er mijn stokpaardje van gemaakt elke inbreuk te melden.
Zo leren deze snoodaards dat misschien wel af, ik geloof wel dat de dienst abuse dit opvolgt en dat bij herhaling die gebruiker wel problemen kan krijgen.
Erratum:Abuse is nu inderdaad via Web-interface

[NuKeM]

Enkele nuttige links:

What is a denial of service attack?

Denial of service attack

heel simplistisch voorbeeld van hoe een denial of service attack kan werken

Maak je dus geen zorgen.
Naar [email protected] mailen zal niets uithalen vrees ik en er is idd een webform zoals airzimmy zegt. Je kan altijd mailen of de webform gebruiken, maar of het iets zal uithalen valt te betwijfelen (de hele wereld heeft zo'n beetje de indruk dat er op de abuse afdeling van skynet geen kat zit (of ze zijn gewoon onderbemand)).

Trouwens, zolang je firewall logs goed vol staan moet je je geen zorgen maken, van zodra ze leeg zijn wel

[flamenca]

Bedankt voor de info allemaal!

Greetz

flamenca

[CueBoy]

...ik heb er mijn stokpaardje van gemaakt elke inbreuk te melden...

Ik hoop alleen dat je dat niet letterlijk meent...

[Blue-Sky]

uit een e-mail antwoord aan mijn adres op een fraude melding
Geachte mevrouw
Geachte heer

Met dit bericht willen we u laten weten dat uw klacht door onze afdelingen werd behandeld.

Welk gevolg wordt er nu gegeven aan uw dossier?

Als de persoon die misbruik heeft gemaakt van zijn / haar account een klant is van Belgacom Skynet wordt hij / zij verzocht om de verkoopsvoorwaarden van Belgacom Skynet te ondertekenen en te dateren, alsook om een gedateerde en ondertekende verklaring het misbruik te zullen stopzetten.
Volgt op onze brief geen reactie, dan wordt de account van de persoon in kwestie afgesloten tot wij de noodzakelijke documenten hebben ontvangen. Wanneer de persoon daarna opnieuw inbreuken pleegt op onze verkoopsvoorwaarden verzekeren wij u dat er zwaardere sancties worden genomen.

Mocht uw klacht een persoon betreffen die geen Belgacom Skynet-klant is, dan garanderen wij u dat uw e-mailbericht wordt doorgezonden naar de betrokken service provider.

Als u vragen of problemen hebt waarbij wij u kunnen helpen, kunt u ons altijd contacteren.

Met vriendelijke groeten,

Internet Fraud Team
GGP/Investigations
BELGACOM

Ik neem dus aan dat dit ook gebeurd, ik vind dat illegale praktijken moeten aangepakt worden, of het nu kinderen zijn die spelen of niet.
De regels welke Belgacom opgesteld heeft moeten maar gerespecteerd worden, mijn gedacht
Ah CueBoy, zolang ik het niet beu wordt hé

[Sub Zero]

Blue-Sky,

dit is zo een standaard antwoord dat iedereen krijgt. Moest je onzin naar dat adres sturen, dan zul je dit ook krijgen. Dat is gewoon de autoresponder. Of er wel degelijk iets gebeurd, dat valt te betwijfelen. Ik heb toch nog niet veel gehoord dat iemand op de vingers getikt wordt door de abuse van Skynet zenne. Of het iets uithaalt is zeer de vraag.

Cheers

[NuKeM]

Sub, ik heb uw ip
Zal ik even gaan klagen?
En als ge uw verkoopsvoorwaarden opnieuw moet tekenen dan leven ze daar idd nog
De ultieme test :dd

[Sub Zero]

Doe maar, make my day! Dan zijn die mannen direct getest. Ik wil zelfs nog nen aanval op uwe PC doen, dan hebde de logs van uwen firewall.

Cheers

BTW : ik heb uw IP ook

[NuKeM]

BTW : ik heb uw IP ook

Damn, dat had ik nu echt niet verwacht
Maar wacht eens, Blue-sky zijn IP en alle andere hierboven hebben we ook en zij het onze niet :naughty:

(ps: tis maar een grapke hé, voor als de mensen hierboven zich zorgen zouden maken )

[flamenca]

Heb dat ding maar ingevuld... Niet dat het zoveel gaat opleveren, maar ja..

Eens ingevuld krijg je het volgende:

Fraude melding


Uw bericht werd verzonden.
U kan er van op aan dat u binnen de kortst mogelijke termijn een antwoord ontvangt van onze diensten.

Met vriendelijke groeten,

Belgacom

Allé, nu afwachten zeker... moet trouwens nog eens terug want ge kunt maar 1 ip per keer ingeven...

flamenca

[CueBoy]

Maar wacht eens, Blue-sky zijn IP en alle andere hierboven hebben we ook en zij het onze niet :naughty:

(ps: tis maar een grapke hé, voor als de mensen hierboven zich zorgen zouden maken )

Ben je daar zeker van ? Ik denk niet dat je mijn (hoe zullen we het noemen) "echte" IP hebt... ik stel mij die vraag maar gewoon hé. BTW. ik doe niks speciaals om mijn IP te verhullen hoor, ik surf gewoon via de proxy en dan denk ik dat websites (dus ook de userbase) dat IP adres voorgeschoteld krijgen.


Wat al de anderen betreft : ik hoop echt dat jullie een beetje oppassen me wie jullie allemaal "aangeven"... Het kan misschien wel plezant zijn Hercul Poirot te spelen achter je scherm, maar als je letterlijk elke melding in je firewall log gaat uitzoeken en melden, dan ben je -wat mij betreft- niet goed bezig.

[NuKeM]

Ben je daar zeker van ? Ik denk niet dat je mijn (hoe zullen we het noemen) "echte" IP hebt... ik stel mij die vraag maar gewoon hé. BTW. ik doe niks speciaals om mijn IP te verhullen hoor, ik surf gewoon via de proxy en dan denk ik dat websites (dus ook de userbase) dat IP adres voorgeschoteld krijgen.

Ik heb even gekeken omdat je het vroeg en we hebben hier wel degelijk je echte ip (lookup geeft een adsl.skynet.be adres, zodus...), je proxy is dus niet anonymous (maar dat was blijkbaar ook niet je bedoeling).

[meon]

Als ik telkens abuse moest gaan contacteren als ik verdachte entries vind in m'n firewall-log ...
Ik heb de logging van de firewall ongeveer op het hoogste staan (syn/ack-attacks bvb worden ook gelogd) en ik denk dat ik zo'n 300 entries heb per dag. Ik zou eens moeten nagaan wat het beestje eigenlijk allemaal tegenhoudt ...

Maar zolang het niet problematisch wordt heb ik niet de neiging van abuse te contacteren ... Want als ik voor elke habbekratz die mensen zou moeten mailen ... zouden ze idd verzuipen in het werk

Wat ik nuttiger vind om aan de abuse door te spelen is adressen van open-relay-mailservers die gebruikt worden voor spam. Een ISP die een sysadmin contacteert maakt nu eenmaal wat meer indruk dan 1 enkele gebruiker.

[Weetgraag]

Omdat dit toch over IP's en dergelijke gaat,
dit krijg ik van Norton als ik mij bij Messenger 6 aanmeld.
Kan iemand mij dit verklaren.
Greetz
Weetgraag

[meon]

Lijkt me vrij simpel: MSN 6 opent aardig wat poorten, gebruikt uPNP, ... en vormt dus een aardig veiligheidsrisico.
Norton kent MSN 6 nog niet (het is immers nog maar een halve maand officieel uit) en ziet het programma dus als een hoog risico.
MSN 5 en zo zijn dat ook, maar die zijn "trusted" (lees: die regel kent Norton zelf).

[Blue-Sky]

Blue-Sky,
dit is zo een standaard antwoord dat iedereen krijgt. Moest je onzin naar dat adres sturen, dan zul je dit ook krijgen. Dat is gewoon de autoresponder. Of er wel degelijk iets gebeurd, dat valt te betwijfelen. Ik heb toch nog niet veel gehoord dat iemand op de vingers getikt wordt door de abuse van Skynet zenne. Of het iets uithaalt is zeer de vraag.
Cheers

Hallo aan alle,
Ik heb het vuur aan de lont gestoken in deze topic 'k zal dan maar stoppen zeker.... en niet verder de naïeve uithangen, het is inderdaad wel zo dat men beter een melding maakt als er echt schade ontstaan is.
Zoals meon schreef, een massa aan meldingen brengt geen oplossing, wel leuk dat er op deze topic nogal ferm gereageerd wordt

[Weetgraag]

Lijkt me vrij simpel: MSN 6 opent aardig wat poorten, gebruikt uPNP, ... en vormt dus een aardig veiligheidsrisico.
Norton kent MSN 6 nog niet (het is immers nog maar een halve maand officieel uit) en ziet het programma dus als een hoog risico.
MSN 5 en zo zijn dat ook, maar die zijn "trusted" (lees: die regel kent Norton zelf).

Thanks Meon,
Dit moest ik in feite zelf geweten hebben.

Greetz
Weetgraag

[CueBoy]

Ben je daar zeker van ? Ik denk niet dat je mijn (hoe zullen we het noemen) "echte" IP hebt... ik stel mij die vraag maar gewoon hé. BTW. ik doe niks speciaals om mijn IP te verhullen hoor, ik surf gewoon via de proxy en dan denk ik dat websites (dus ook de userbase) dat IP adres voorgeschoteld krijgen.

Ik heb even gekeken omdat je het vroeg en we hebben hier wel degelijk je echte ip (lookup geeft een adsl.skynet.be adres, zodus...), je proxy is dus niet anonymous (maar dat was blijkbaar ook niet je bedoeling).

Hier ben ik wel een beetje door verbaasd... niet dat ik zo'n kenner ben ofzo, maar mijn ervaring zegt me wel dat websites enkel het IPadres van de proxyserver te "zien" krijgen... Dit heeft me in het verleden al parten gespeeld bij sites die op basis van een IPadres bepaalde rechten toekenden : ik bedoel maar dat ik op zo'n site bv. niks meer kon downloaden omdat het IPadres van de proxy zijn dagelijkse downloadlimiet al bereikt had (als je begrijpt wat ik bedoel).
Maar soit, als het niet zo is, heb ik weer iets geleerd

En neen, het is niet de bedoeling dat ik anoniem het net afschuim... het zal me boeien (zoals ik al in een eerder security topic schreef )

[meon]

@CueBoy: Dat heeft vooral te maken met de manier waarop die IP-opvraging gebeurt: in PHP kan je bijvoorbeeld op zo'n 7-tal manieren een ip te weten komen, waarbij sommigen tot te proxy gaan en anderen tot je echte ip-adres.
Dit forum (phpBB) gebruikt een ip-lookup dat voorbij de proxy gaat dus

[NuKeM]

Idem voor de speedtest hier, dus als je provider automatisch wordt herkend dan wil dat zeggen dat hij je echte ip kent

[CueBoy]

@CueBoy: Dat heeft vooral te maken met de manier waarop die IP-opvraging gebeurt: in PHP kan je bijvoorbeeld op zo'n 7-tal manieren een ip te weten komen, waarbij sommigen tot de proxy gaan en anderen tot je echte ip-adres.
Dit forum (phpBB) gebruikt een ip-lookup dat voorbij de proxy gaat dus

Bedankt. Alweer iets bijgeleerd

[flamenca]

Na het automatische gegenereerde antwoord die ik al eens had gekregen, zat er vandaag een tweede mail in mijn inbox:

Geachte Mevrouw,
Geachte Heer,

Wij hebben uw klacht goed ontvangen.

Hierna vindt u meer uitleg over uw probleem.

De verschillende aanvallen die u heeft medegedeeld zijn het gevolg van poortscanning
Vermits u beschikt over een firewall is uw computer beveiligd en loopt u geen risico.
Voor het ogenblik, kunnen wij noch op technisch vlak, noch op een ander vlak iets ondernemen teneinde het aantal logs dat u ontvangt, te verminderen.
Uw firewall blijft dan ook de beste bescherming.

Elke computer die aangesloten is op het internet heeft een IP adres. Dit kan een vast of variabel lP adres zijn. Via het IP adres kunnen andere internetgebruikers informatie krijgen over de PC, server, router of firewall waarmee u uw Internetverbinding verkrijgt. Dit gebeurt via zogeheten 'poortscans'.
Een poortscan kan uitgevoerd worden op een IP adres of een hele range van IP adressen. Bij een poortscan wordt gekeken met welke poorten er op de PC, server, router of firewall een connectie gemaakt kan worden. De persoon die deze scan uitvoert kan zodoende een indicatie krijgen van de functionaliteit en beveiliging van uw systeem.

Het is mogelijk dat poortscans zonder kwade bedoelingen worden uitgevoerd, dit kan bijvoorbeeld het geval zijn wanneer er een programma is geonstalleerd, dat gebruik maakt van het SNMP protocol. Dit protocol kan netwerkproblemen opsporen en maakt daarbij gebruik van poortscans. Dergelijke scans worden echter uitsluitend binnen een bedrijf gemaakt.

Een poortscan is in principe niet gevaarlijk, er worden geen acties op het systeem mee uitgevoerd. Indien u echt gehackt bent, nodig Ik u uit om uw klacht te herformuleren op onze portal.

U kan hem vinden door op de volgende link te klikken:

http://selfcare.skynet.be/index.html?l= ... buse:abuse

Opgepast: Gelieve het formulier te gebruiken die voor uw klacht het best geschikt is, dwz dat u het formulier "hacking" moet gebruiken voor hackingklachten, het formulier "Spamming" indien u spamklachten heeft, enz...


Met vriendelijke groet,


Belgacom
GPP.Investigation & Fraud
Internet Fraud Team

Ik denk dat ze daar best eens een spellingscontrole op hunne pc zetten 'geonstalleerd'????? Maar voor de rest, ja, veel ben ik er niet mee... maar ze doen toch iets...

Greetz

flamenca

[Sub Zero]

Inderdaad, ze doen iets, ze zeggen u dat ze niets doen. Ze hebben toch de moeite genomen om u een mail terug te sturen, meestal laten ze gewoon niets van zich horen. Zoals in de mail staat, als je een firewall hebt staan en hij is goed ingesteld, dan ben je redelijk veilig. Ik surf zelfs zonder firewall. Nog nooit gehad en ik ben ook niet onmiddellijk van plan om er eentje te installeren. Het is maar hoe je het bekijkt. Met een deftige virusscanner die constant loopt en up-to-date definities kun je ook al veel voorkomen. 99% van de meldingen die je krijgt zijn poortscans van kinderen die zich vervelen en pogingen tot hacken via een worm (vb subseven). Dit zijn van die prefabtools die gebruikt worden door amateurs. Ik zou mij er niet te veel van aantrekken.

Cheers

[Blue-Sky]

Na het automatische gegenereerde antwoord die ik al eens had gekregen, zat er vandaag een tweede mail in mijn inbox:

Geplaatst: Za Jul 26, 2003 4:59 pm Onderwerp:
Als ik telkens abuse moest gaan contacteren als ik verdachte entries vind in m'n firewall-log ...
Ik heb de logging van de firewall ongeveer op het hoogste staan (syn/ack-attacks bvb worden ook gelogd) en ik denk dat ik zo'n 300 entries heb per dag. Ik zou eens moeten nagaan wat het beestje eigenlijk allemaal tegenhoudt ...

Ja, het automatisch gegenereerd antwoord is al een ferm stuk groter geworden. Vermoedelijk wordt deze dienst overspoeld met meldingen aangaande poortscan, die in principe niet veel kwaad kunnen aanrichten als je over een goede firewall beschikt.
Zolang er geen werkelijke schade is heeft het weinig zin deze klacht verder in te dienen.
Wat is nu het actuele resultaat van die betaalde bewaking server-side

Greetz
Blue-Sky

[Sub Zero]

Een poortscan kan nooit kwaad. Das het zelfde als dat er iemand aan uw deur zou komen bellen en zien da ge niet thuis zijt als ge niet komt open doen. Das alles. Voor de rest... Je moet wat geluk hebben. Maar ik denk niet dat 95% van de internetgebruikers ooit gehackt zal worden. Je mag nog 24/24 online zijn.

Cheers

[NuKeM]

Een poortscan kan nooit kwaad. Das het zelfde als dat er iemand aan uw deur zou komen bellen en zien da ge niet thuis zijt als ge niet komt open doen. Das alles. Voor de rest... Je moet wat geluk hebben. Maar ik denk niet dat 95% van de internetgebruikers ooit gehackt zal worden. Je mag nog 24/24 online zijn.

Cheers

Het is wel iets meer dan aan de deur bellen je gaat ook eens zien of zijn ramen wel dicht zijn, of er geen sleutel onder de mat ligt etc

[meon]

Eigenlijk moet ge het nog eerder vergelijken als zijnde: kijken of ge überhaupt wel een deur hebt.
De volgende stap is dan kijken of deur open staat of niet, of zich als muur gecamoufleerd heeft (open, close, stealth).
En dan kunt ge natuurlijk aanbellen (pingen), de deur inbeuken (DOS-aanval), kijken of er een sleutel uit uw sleutelbos past (u een weg binnen hacken), of ge kunt een raam ingooien om de deur te openen (een exploit). Misschien hebt ge een medewerker binnen die gewoon de deur voor u kan open doen (backdoor).
Moet ik nog doorgaan?

[The Oddity]

Mooie vergelijking /metafoor meon

We gaan hier nog literaire stukken kunnen publishen

Anyway, van die abuse dienst. Je moet ze ook niet te negatief beschouwen. Die mensen worden gewoon overrompeld met port-scans.. waar ze niets kunnen aan doen, vanwege té veel werk.

Ik heb er nog een beetje vertrouwen in dat zware incidenten wel correct en snel afgehandeld worden. Dat zijn toch mijn ervaringen (wel al een jaar geleden maar kom).

Hoeveel mensen zijn er niet die onnodige mails naar abuse sturen? Ik denk dat die daar veel mails te verwerken krijgen.

[Mahimahi]

Ik heb hier ook continue aanvallen van Backdoors, normaal geeft NIS mij volgende info:

Trojaanse poging gedetecteerd vanuit het adres 80.137.48.40 volgens regel "Trojaans paard Backdoor/SubSeven standaard blokkeren".
Verdere toegang geblokkeerd gedurende 30 minuten.

Maar ik krijg ook regelmatig volgende tekst :

Regel Trojaans paard Backdoor/SubSeven standaard blokkeren had overeenkomst met
Extern adres (80.137.48.40,3956).

De woorden "Had een overeenkomst met" verontrusten mij echter.
Betekend dit niet dat de Trojan een toelating had van NIS om ondanks de ingestelde regel "Standaard blokkeren" toch binnen te dringen?

Ik heb mijn systeem al een paar maal volledig gescand met NA en met Ad-aware 6 maar zij vinden geen Trojan.

[The Oddity]

nope, normaal gezien als je zo'n warning krijgt betekent dat het geblocked wordt.

Meestal krijg je eerst die onderste warning en nadien die bovenste, indien er meerdere aanvallen zijn.

Je zal niks vinden op je pc. Het is gewoon de standaard poort(en) die eens afgetast worden waar NIS op reageert... Nis blockt dat.. en daarom krijg je melding. Kzou zeggen niet paniekeren

Tzijn maar n00bs

[Mahimahi]

Danke Oddity