---

Hejsa,

Ja, overskriften er måske lidt banal - vi bliver jo alle portscannet i ny og
næ.
Nu er det bare sådan at denne ene ip-adresse har stået og banket på døren
hele dagen igår (søndag, samt en del af lørdagen). Det pisser mig lidt af...

Uheldigvis for vedkommende, så er det en dansker, og hans navn og adresse
står opført i Ripe databasen. Nu er det så at jeg vil spørge: Hvad bør jeg
gøre ved det ?

Jeg har overvejet at sende ham en venlig email om at jeg godt ved hvad han
har gang i, og at det bør stoppe nu, men hvad synes I ? Alternativt kunne
jeg jo skrive til hans udbyder (Cybercity), men det kunne jo være det er en
anden der spoofer hans ip.

Hilsen
Simon

---

On Mon, 26 Aug 2002 10:14:33 +0200, "Simon"
<sgatke_shouldntbehere_@hotmail.com> wrote:

>Hejsa,
>
>Ja, overskriften er måske lidt banal - vi bliver jo alle portscannet i ny og
>næ.
>Nu er det bare sådan at denne ene ip-adresse har stået og banket på døren
>hele dagen igår (søndag, samt en del af lørdagen). Det pisser mig lidt af...
>
>Uheldigvis for vedkommende, så er det en dansker, og hans navn og adresse
>står opført i Ripe databasen. Nu er det så at jeg vil spørge: Hvad bør jeg
>gøre ved det ?
>
>Jeg har overvejet at sende ham en venlig email om at jeg godt ved hvad han
>har gang i, og at det bør stoppe nu, men hvad synes I ? Alternativt kunne
>jeg jo skrive til hans udbyder (Cybercity), men det kunne jo være det er en
>anden der spoofer hans ip.
>
>Hilsen
>Simon

Hej!
Hvilken port bliver der banket på? Jeg ville kontakte min egen ISP og
tage affære ud fra deres anvisninger. Måske også kontakte Cybercity og
måske OGSÅ portscanne tilbage til idioten, da jeg også ville være
pisset af.......!

---

"Peter" <someone@somewhere> skrev i en meddelelse
news:vvljmugdpkqe9cj3kc34plg5ul0b4npkiq@4ax.com...
> On Mon, 26 Aug 2002 10:14:33 +0200, "Simon"
> <sgatke_shouldntbehere_@hotmail.com> wrote:
>
> >Hejsa,
> >
> >Ja, overskriften er måske lidt banal - vi bliver jo alle portscannet i ny
og
> >næ.
> >Nu er det bare sådan at denne ene ip-adresse har stået og banket på døren
> >hele dagen igår (søndag, samt en del af lørdagen). Det pisser mig lidt
af...
> >
> >Uheldigvis for vedkommende, så er det en dansker, og hans navn og adresse
> >står opført i Ripe databasen. Nu er det så at jeg vil spørge: Hvad bør
jeg
> >gøre ved det ?
> >
> >Jeg har overvejet at sende ham en venlig email om at jeg godt ved hvad
han
> >har gang i, og at det bør stoppe nu, men hvad synes I ? Alternativt kunne
> >jeg jo skrive til hans udbyder (Cybercity), men det kunne jo være det er
en
> >anden der spoofer hans ip.
> >
> >Hilsen
> >Simon
>
> Hej!
> Hvilken port bliver der banket på? Jeg ville kontakte min egen ISP og
> tage affære ud fra deres anvisninger. Måske også kontakte Cybercity og
> måske OGSÅ portscanne tilbage til idioten, da jeg også ville være
> pisset af.......!
>


Hej!
Så så slap af. :)
Det skete kun en gang ik ? eller retter en dag.
bare holde øje med om det sker andet ? på den samme IP . eller anden
aktivitet.

Hvis der sker mere så kontakt CC..Hvis det ikke stopper det.
Så kontakt din ISP, som så tager affære med CC.

Grunden kunne være at en stakkels person har fået installer noget bevist
eller ubevist. og som scanner din ip.

/Thomas Nielsen @ www.tdn.dk

---

"Peter" <someone@somewhere> wrote in message
news:vvljmugdpkqe9cj3kc34plg5ul0b4npkiq@4ax.com...
> Hvilken port bliver der banket på? Jeg ville kontakte min egen ISP og
> tage affære ud fra deres anvisninger. Måske også kontakte Cybercity og
> måske OGSÅ portscanne tilbage til idioten, da jeg også ville være
> pisset af.......!

Det ser ud som om han er igang med en stribe fra 13900 og opefter. Men de
springer lidt i det, f.eks. fra 13903 --> 13923 --> 13963
Der er dog én port der jævnligt går igen: 1424

Det ser lidt "sjovt" ud. Det får mig lidt til at tro at det måske ikke er
med forsæt at han gør det, men måske snarere er et eller andet program han
har kørende. Det undrer mig bare lidt, for jeg har hverken edonkey, kazaa
eller andet af den slags kørende - så jeg kan ikke se hvorfor han skulle
søge efter porte hos mig. Er der nogen der ved hvad port 1424 skulle have
med at gøre ?

Han burde så i øvrigt kun kunne finde port 80 åben - heldigvis er
webserveren patchet op med de seneste security opgraderinger

Hilsen
Simon

---

Simon wrote:

> Det ser lidt "sjovt" ud. Det får mig lidt til at tro at det måske ikke er
> med forsæt at han gør det, men måske snarere er et eller andet program han
> har kørende.

Det er meget muligt det ikke er "ham" der gør det, men at hans maskine
er kompromiteret.
Crackere, der lige har hævet sig op over script-kidie stadiet bruger
ofte nogen af de kompromiterede maskiner kun til at postscanne andre
potentielle mål.

Peter

---

"Simon" skrev:
> Det ser ud som om han er igang med en stribe fra 13900 og opefter. Men
de
> springer lidt i det, f.eks. fra 13903 --> 13923 --> 13963
> Der er dog én port der jævnligt går igen: 1424
>
> Det ser lidt "sjovt" ud. Det får mig lidt til at tro at det måske ikke
er
> med forsæt at han gør det, men måske snarere er et eller andet program
han
> har kørende.
> Det undrer mig bare lidt, for jeg har hverken edonkey, kazaa
> eller andet af den slags kørende - så jeg kan ikke se hvorfor han
skulle
> søge efter porte hos mig. Er der nogen der ved hvad port 1424 skulle
have
> med at gøre ?
>

Du har ret i, at det ikke virker, som om det er gjort med vilje af en
ondsindet person.
Port 1424 benyttes bl.a. af chat-programmet CuSeeMe ("See You, See Me")
til streaming af lyd. Det er vist noget ICQ-agtigt noget:
http://www.cuseeme.com
http://staff.cybercity.dk/~ryden/porte

Har du dynamisk IP, så kan du også være blevet den uheldige indehaver af
en adresse, som er lagret hos andre brugere af P2P-software eller
chat-programmer.

> Han burde så i øvrigt kun kunne finde port 80 åben - heldigvis er
> webserveren patchet op med de seneste security opgraderinger
>
Ti point til dig

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)

---

"Thomas B. Maxe" <toxicthomas@nospam.hotmail.com> wrote in message
news:akctj5$5r9$1@sunsite.dk...
> Du har ret i, at det ikke virker, som om det er gjort med vilje af en
> ondsindet person.

Se, det var præcist derfor jeg ikke bare skrev til abuse@cybercity.dk med
det samme

> Har du dynamisk IP, så kan du også være blevet den uheldige indehaver af
> en adresse, som er lagret hos andre brugere af P2P-software eller
> chat-programmer.

Nope, har en Pro@ccess linie med fast IP. Det sjove er at jeg ikke bruger de
der P2P programmer - synes der er for meget bøvl med spyware etc. i dem.

> > Han burde så i øvrigt kun kunne finde port 80 åben - heldigvis er
> > webserveren patchet op med de seneste security opgraderinger
> >
> Ti point til dig

Takker
Jeg har stor medlidenhed med de stakler der er ansvarlige for store
webserver installationer og deres vedligeholdelse. Jeg synes jeg har travlt
nok med at patche min lille installation, så jeg kan sagtens forestille mig
hvor tidskrævende det må være for større steder.

Hilsen
Simon

---

"Simon" skrev:
> > Du har ret i, at det ikke virker, som om det er gjort med vilje af
en
> > ondsindet person.
>
> Se, det var præcist derfor jeg ikke bare skrev til abuse@cybercity.dk
med
> det samme
>
Det kan du nu roligt gøre alligevel. Det vil i så fald være dig, der
hjælper en anden med at få løst et problem.
Vedlæg et udpluk af din logfil og skriv en lille besked om, at du
formoder, at den pågældende kunde har et sikkerhedsproblem.
Det vil blive venligt modtaget hos CyberCity, og de vil sikkert gerne
hjælpe kunden med at få løst problemet.
Du behøver ikke være bange for, at CyberCity vil blive sure på hverken
dig eller den kunde, som måske har noget snask på sin pc.

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)

---

Thomas B. Maxe wrote:
>
> Det vil blive venligt modtaget hos CyberCity, og de vil sikkert gerne
> hjælpe kunden med at få løst problemet.

Hvordan har TDC det med sikkerhedshenvendelser? Jeg har sendt en række
mails om kunder med Nimda og Code Red til såvel csirt som til
abuse@post.tele.dk. Men der kommer ikke svar tilbage, så jeg sidder
indimellem med en følelse af, at man er ligeglade.

--
Mvh. Kim Ludvigsen

---

"Kim Ludvigsen" skrev:
> Hvordan har TDC det med sikkerhedshenvendelser? Jeg har sendt en række
> mails om kunder med Nimda og Code Red til såvel csirt som til
> abuse@post.tele.dk. Men der kommer ikke svar tilbage, så jeg sidder
> indimellem med en følelse af, at man er ligeglade.
>
Det er en forkert opfattelse.

CSIRT.DK's politik for abuse-håndtering:
http://www.csirt.dk/artikel.php?id=39721

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)

---

On Mon, 26 Aug 2002 16:01:02 +0200, "Thomas B. Maxe"
<toxicthomas@nospam.hotmail.com> wrote:

>> Jeg har sendt en række mails om kunder med Nimda og Code Red til
>> såvel csirt som til abuse@post.tele.dk. Men der kommer ikke svar
>> tilbage, så jeg sidder indimellem med en følelse af, at man er
>> ligeglade.

> Det er en forkert opfattelse.

Så skulle man måske ændre holdning til, hvordan den slags bør
håndteres og besvares, for jeg har haft nøjagtig samme følelse.

> http://www.csirt.dk/artikel.php?id=39721

Det kan enhver jo skrive. Hvis man ikke engang gider besvare en
henvendelse, så er det jo svært at vide, om man skal tage den
slags politikker alvorligt.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:
>
> On Mon, 26 Aug 2002 16:01:02 +0200, "Thomas B. Maxe"
> <toxicthomas@nospam.hotmail.com> wrote:
>
>
> Så skulle man måske ændre holdning til, hvordan den slags bør
> håndteres og besvares, for jeg har haft nøjagtig samme følelse.
>
> > http://www.csirt.dk/artikel.php?id=39721
>
> Det kan enhver jo skrive. Hvis man ikke engang gider besvare en
> henvendelse, så er det jo svært at vide, om man skal tage den
> slags politikker alvorligt.

Jeg kan til dels forstå, at man ikke svarer på enhver abusehenvendelse.
Det der fik mig til at betvivle interessen fra TDCs side var, at jeg på
et tidspunkt i en abusehenvendelse spurgte, om man overhovedet var
interesseret i den slags. Intet svar. Jeg har siden siddet med en
følelse af, at henvendelserne havner i /dev/null.

--
Mvh. Kim Ludvigsen

---

On Mon, 26 Aug 2002 22:04:20 +0200, Kim Ludvigsen
<ludvig@mail.dk> wrote:

>>> http://www.csirt.dk/artikel.php?id=39721

>> Det kan enhver jo skrive. Hvis man ikke engang gider besvare en
>> henvendelse, så er det jo svært at vide, om man skal tage den
>> slags politikker alvorligt.

> Jeg kan til dels forstå, at man ikke svarer på enhver abusehenvendelse.

Det kan jeg også et stykke af vejen, men man kunne dog sende et
automatsvar til 'den første mail', hvor man blot svarer, at den
er modtaget og bliver behandlet efter de nævnte regler. Det er
vist også, hvad de fleste gør.

> Det der fik mig til at betvivle interessen fra TDCs side var, at jeg på
> et tidspunkt i en abusehenvendelse spurgte, om man overhovedet var
> interesseret i den slags.

Ja, det er ikke kønt.

-A
--
http://www.hojmark.org/

---

"Asbjorn Hojmark" skrev:
> Det kan jeg også et stykke af vejen, men man kunne dog sende et
> automatsvar til 'den første mail', hvor man blot svarer, at den
> er modtaget og bliver behandlet efter de nævnte regler. Det er
> vist også, hvad de fleste gør.
>
Det siger mig så noget om, at det er meget længe siden, du har kontaktet
CSIRT.DK.
Prøv at sende en e-mail til csirt(at)csirt.dk og se, hvad der sker i din
inbox

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)

---

"Asbjorn Hojmark" skrev:
> > http://www.csirt.dk/artikel.php?id=39721
>
> Det kan enhver jo skrive. Hvis man ikke engang gider besvare en
> henvendelse, så er det jo svært at vide, om man skal tage den
> slags politikker alvorligt.
>
Det vil være forkert at antage, at én ubesvaret henvendelse betyder, at
alle henvendelser forbliver ubesvaret.
At du ikke har fået et svar betyder langtfra, at din henvendelse har
været uvelkommen. Tværtimod.
Det er i høj grad et privacy issue i forhold til den berørte kunde, som
det også er beskrevet nederst på den side, jeg henviste til.
Det kan også være et praktisk spørgsmål, hvis du har henvendt dig på et
tidspunkt, hvor der er kommet mange andre henvendelser.

For god ordens skyld skal jeg "afsløre", at jeg ikke har adgang til
CSIRT.DK's mailbox. Det er der ret få, som har (et spørgsmål om "need to
know"), så jeg kender ikke noget til din konkrete oplevelse.

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)

---

Monday 26 August 2002 12:08, Simon <sgatke_shouldntbehere_@hotmail.com>
wrote:
> Jeg har stor medlidenhed med de stakler der er ansvarlige for store
> webserver installationer og deres vedligeholdelse. Jeg synes jeg har
> travlt nok med at patche min lille installation, så jeg kan sagtens
> forestille mig hvor tidskrævende det må være for større steder.

Jep - apt-get update;apt-get upgrade - er virkelig noget der trækker
tænder ud ;)

--
mvh Jakob Kirkegaard

---

On Mon, 26 Aug 2002 10:30:05 +0300, Peter <someone@somewhere>
wrote:

> måske OGSÅ portscanne tilbage til idioten, da jeg også ville være
> pisset af.......!

Idiot.

-A
--
http://www.hojmark.org/

---

Simon wrote:
> Alternativt kunne jeg jo skrive til hans udbyder (Cybercity), men det
> kunne jo være det er en anden der spoofer hans ip.

Jeg selv kan kun spoofe pakker fra andre maskiner i mit eget subnet, så mon
ikke
det samme gælder andre cc-kunder?

root@harem~ nemesis-udp -x 21 -y 1234 -P /etc/hosts -S 217.157.2.32 -D
217.157.5.114 -d ed1

Ovenstående kommer glimrende frem til maskinen der lytter i den anden ende
ved hjælp af `nc -l -v -u -p 1234`, mens nedenstående ikke har nogen effekt.

root@harem~ nemesis-udp -x 21 -y 1234 -P /etc/hosts -S 212.242.40.3 -D
217.157.5.114 -d ed1

--

---

In article <akd458$qnc$1@news.cybercity.dk>, Arne Schwerdtfegger wrote:

>> Alternativt kunne jeg jo skrive til hans udbyder (Cybercity), men det
>> kunne jo være det er en anden der spoofer hans ip.
>
> Jeg selv kan kun spoofe pakker fra andre maskiner i mit eget subnet,
> så mon ikke det samme gælder andre cc-kunder?

Men det betyder ikke at folk hos andre udbydere ikke kan spoofe adresser
på CCs net.

--
Andreas Plesner Jacobsen | (null cookie; hope that's ok)