---

Mine logfiler melder om et brat fald i CodeRed og Nimbda aktiviteten
!!

Mon ikke det er Blaster / LoveSan der har lagt mange af de inficerede
servere ned ?!?!

Så kom der da noget godt ud af den sag

<mlr>

---

"Michael Rasmussen" <mic@NO_SPAMdou.dk> skrev i
news:qe5sjv8ejphr3fb019f6c28rinmt30ht4j@4ax.com
>
> Mine logfiler melder om et brat fald i CodeRed og Nimbda aktiviteten
> !!
>
> Mon ikke det er Blaster / LoveSan der har lagt mange af de inficerede
> servere ned ?!?!

Jeg tror nærmere der er nogen der for en gang skyld har fået taget sig
sammen til at opdatere deres windows software.




--
Hilsen
Peter N Petersen
http://peteropfinder.dk

---

"15kw" <nospam15kw@tdcadsl.dk> writes:

> "Michael Rasmussen" <mic@NO_SPAMdou.dk> skrev i
> news:qe5sjv8ejphr3fb019f6c28rinmt30ht4j@4ax.com
>>
>> Mine logfiler melder om et brat fald i CodeRed og Nimbda aktiviteten
>> !!
>>
>> Mon ikke det er Blaster / LoveSan der har lagt mange af de inficerede
>> servere ned ?!?!
>
> Jeg tror nærmere der er nogen der for en gang skyld har fået taget sig
> sammen til at opdatere deres windows software.

Desuden har TDC netop indført et pakkefilter. Fra tele.internet.info:

From: TDC Kundeservice <listmail@post.tele.dk>
Subject: Hele landet d. 16/08-2003 kl. 21:39
Newsgroups: tele.internet.info
Followup-To: tele.internet
Date: 16 Aug 2003 00:31:00 +0200
Organization: TDC Internet

For at imødekomme inficeret trafik har TDC i dag ændret ca. 300.000
kunders adgang til Internettet i form af et filter.

Filteret bevirker at inficeret trafik fra ADSL-kunder, Sektornetkunder
samt modempuljekunder ikke kommer ud på Internettet.

Filtrene kan genere nogle af kunderne, f.eks de kunder der
benytter Microsoft Exchance over Internettet.

Vi beklager de gener dette kan medføre for vore kunder.

Venlig hilsen
TDC Kundeservice



Man kunne da godt ønske sig at de havde skrevet nøjagtigt hvad de
filtrerede.

Hilsen
Kåre

--
Kaare Fiedler Christiansen fiedler@daimi.au.dk

2b|~2b == -1

---

"Kaare Fiedler Christiansen" <fiedler@daimi.au.dk> wrote in message
news:xkp3cg1epzf.fsf@horse01.daimi.au.dk...

> Desuden har TDC netop indført et pakkefilter. Fra tele.internet.info:
>
> From: TDC Kundeservice <listmail@post.tele.dk>
> Subject: Hele landet d. 16/08-2003 kl. 21:39
> Newsgroups: tele.internet.info
> Followup-To: tele.internet
> Date: 16 Aug 2003 00:31:00 +0200
> Organization: TDC Internet

> Filtrene kan genere nogle af kunderne, f.eks de kunder der
> benytter Microsoft Exchance over Internettet.

Hvem i alverden kører Exchange direkte over Internettet? Det er da at bede
om problemer.

/Morten

---

"Morten Isaksen" <misak@aub.dk> wrote in message
news:3f3e3f97$0$9499$4d4eb98e@read-nat.news.dk.uu.net

> > Filtrene kan genere nogle af kunderne, f.eks de kunder der
> > benytter Microsoft Exchance over Internettet.
>
> Hvem i alverden kører Exchange direkte over Internettet? Det er da at bede
> om problemer.

det gør skræmmende mange

---

"Kaare Fiedler Christiansen" <fiedler@daimi.au.dk> skrev i
news:xkp3cg1epzf.fsf@horse01.daimi.au.dk
> "15kw" <nospam15kw@tdcadsl.dk> writes:
>
>
> Desuden har TDC netop indført et pakkefilter. Fra tele.internet.info:
>
> From: TDC Kundeservice <listmail@post.tele.dk>
> Subject: Hele landet d. 16/08-2003 kl. 21:39
> Newsgroups: tele.internet.info
> Followup-To: tele.internet
> Date: 16 Aug 2003 00:31:00 +0200
> Organization: TDC Internet
>
> For at imødekomme inficeret trafik har TDC i dag ændret ca. 300.000
> kunders adgang til Internettet i form af et filter.
>
> Filteret bevirker at inficeret trafik fra ADSL-kunder, Sektornetkunder
> samt modempuljekunder ikke kommer ud på Internettet.
>
> Filtrene kan genere nogle af kunderne, f.eks de kunder der
> benytter Microsoft Exchance over Internettet.
>
> Vi beklager de gener dette kan medføre for vore kunder.
>
> Venlig hilsen
> TDC Kundeservice

Det skulle de have gjort for længe siden "bedre sent end aldrig".


> Man kunne da godt ønske sig at de havde skrevet nøjagtigt hvad de
> filtrerede.

Ja, det ville da være rart.



--
Hilsen
Peter N Petersen
http://peteropfinder.dk

---

In article <3f3ea953$0$5139$edfadb0f@dread11.news.tele.dk>, 15kw wrote:
> Det skulle de have gjort for længe siden "bedre sent end aldrig".

Hvorfor skal en ISP filtere sin forbindelse?



Min sidste udbyder, filterede ssh, snmp og netbios fra.
Sjovt nok var de ligeglade med afsender adresser fra rfc1918.
Dette var grunden til jeg skiftede udbyder.
Men nu begynder min nye udbyder på det samme. Dog antager jeg
TDC kun gør dette midlertidigt.


Jeg fortager nogle gange scanninger af mine og kunders
systemer, hvordan skal jeg kunne dette når ISP'en filtere pakker
fra?

---

"Christian E. Lysel" wrote:
>
> In article <3f3ea953$0$5139$edfadb0f@dread11.news.tele.dk>, 15kw wrote:
> > Det skulle de have gjort for længe siden "bedre sent end aldrig".
>
> Hvorfor skal en ISP filtere sin forbindelse?

Det mener jeg som udgangspunkt heller ikke de skal. Det er kundernes
eget ansvar, at sikre deres maskiner. Men i det øjeblik en kunde
undlader at sikre sin maskine, mener jeg til gengæld det er udbyderens
ansvar, at sikre resten af nettet mod den pågældende kunde. I nogle
tilfælde er et filter den eneste måde at sikre imod en orm, der vil
lave et DoS angreb.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

In article <3F3F863C.FCC1AD67@daimi.au.dk>, Kasper Dupont wrote:
> Det mener jeg som udgangspunkt heller ikke de skal. Det er kundernes
> eget ansvar, at sikre deres maskiner. Men i det øjeblik en kunde

Ja.

> undlader at sikre sin maskine, mener jeg til gengæld det er udbyderens
> ansvar, at sikre resten af nettet mod den pågældende kunde. I nogle

Hvilket kunne implementeres ved at pille kunden fra nettet til
denne havde udbedret "fejlen". Herved ville kunden gå op i
sikringen af sine maskiner.

> tilfælde er et filter den eneste måde at sikre imod en orm, der vil

Det du forslår, vil en bruger ikke opdage, og maskinen vil
forsat virker, også selvom brugeren ikke retter problemmet.
Ergo vil problemet blot eksistere når filteret fjernes.

Det er blot løsning af symptomet. Ikke problemet.

> lave et DoS angreb.

Hvis det var en sikring imod DoS angrebet, kunne man jo filtere
microsoft.com fra :)

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

>Hvilket kunne implementeres ved at pille kunden fra nettet til
>denne havde udbedret "fejlen". Herved ville kunden gå op i
>sikringen af sine maskiner.

I praksis vil det være et mareridt, medmindre aftalerne med
kunderne laves om, så kunderne får et meget mere udtalt ansvar
for færden på nettet. Hvilket næppe vil virke over for ikke-
professionelle brugere (forbrugere og virksomheder der ikke i
det daglige beskæftiger sig professionelt med IT).

Det vil også være skidt, hvis ISPen tager fejl og hiver en
kunde af, der ikke burde være hevet af. Her vil ISPen blive
erstatningsansvarlig for de tab, kunden lider.

Sagt på en anden måde: ISPen er nødt til at kontakte kunden
gentagne gange (også skriftligt) og tilbyde den nødvendige
hjælp, før afbrydelse kan finde sted.

Gad vide hvad det vil koste. Og hvor hurtigt det kan ske...

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
>
> "Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:
>
> >Hvilket kunne implementeres ved at pille kunden fra nettet til
> >denne havde udbedret "fejlen". Herved ville kunden gå op i
> >sikringen af sine maskiner.
>
> I praksis vil det være et mareridt, medmindre aftalerne med
> kunderne laves om, så kunderne får et meget mere udtalt ansvar
> for færden på nettet.

Hus min ISP siger abonementsbetingelserne så vidt jeg husker,
at de har lov til at opsige abonementet i sådanne tilfælde.
Men de er næppe interesseret i at opsige halvdelen af deres
kunder.

> Hvilket næppe vil virke over for ikke-
> professionelle brugere (forbrugere og virksomheder der ikke i
> det daglige beskæftiger sig professionelt med IT).

De nuværende betingelser holder næppe mange tilbage. Faktisk
tror jeg ikke ret mange ville opdage den ændring af betingelserne
før de evt. bliver smidt af.

>
> Det vil også være skidt, hvis ISPen tager fejl og hiver en
> kunde af, der ikke burde være hevet af. Her vil ISPen blive
> erstatningsansvarlig for de tab, kunden lider.

De er højst forpligtet til at tilbagebetale en del af prisen for
abonnementet. Indirekte udgifter er kundens eget problem.

>
> Sagt på en anden måde: ISPen er nødt til at kontakte kunden
> gentagne gange (også skriftligt) og tilbyde den nødvendige
> hjælp, før afbrydelse kan finde sted.

Næppe. Men hvis de blot afbryder uden vidre vil kunden nok
hurtigt kontakte ISPen. Hvis kunden jævnligt bruger en browser
vil de have en chance for, at dirigere kunden ind på en side,
der forklarer, hvorfor forbindelsen er afbrudt, og hvad kunden
skal gøre.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> Det vil også være skidt, hvis ISPen tager fejl og hiver en
>> kunde af, der ikke burde være hevet af. Her vil ISPen blive
>> erstatningsansvarlig for de tab, kunden lider.

>De er højst forpligtet til at tilbagebetale en del af prisen for
>abonnementet. Indirekte udgifter er kundens eget problem.

Er der domspraksis for det? Ellers kan man nok ikke udtale sig så
skråsikkert.

>> Sagt på en anden måde: ISPen er nødt til at kontakte kunden
>> gentagne gange (også skriftligt) og tilbyde den nødvendige
>> hjælp, før afbrydelse kan finde sted.

>Næppe. Men hvis de blot afbryder uden vidre vil kunden nok
>hurtigt kontakte ISPen.

Er det ikke utilgiveligt uprofessionelt? Måske endda i en grad
der er ansvarspådragende.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
>
> Er det ikke utilgiveligt uprofessionelt?

Er det ikke ganske normalt i den branche?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

Kasper Dupont <kasperd@daimi.au.dk> writes:

>> Er det ikke utilgiveligt uprofessionelt?

>Er det ikke ganske normalt i den branche?

Mener du dermed, at det er okay at fortsætte på den måde?

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> >> Er det ikke utilgiveligt uprofessionelt?
>
> >Er det ikke ganske normalt i den branche?
>
> Mener du dermed, at det er okay at fortsætte på den måde?

Nej. Jeg ved bare ikke, hvad man kan gøre ved det. I praksis
har Tele Danmark monopol. Sådan var det i hvert fald for to
år siden, da jeg selv skulle have en opkobling. Og jeg har
ikke hørt om, at det skulle være blevet bedre.

Og selv hvis der var en reel konkurrence tvivler jeg på, at
der vil blive konkurrence på kvaliteten, for det forstår de
færreste af kunderne sig på.

Endelig er det stort set umuligt at finde ud af, hvor gode
de enkelte udbydere er. Fælles for dem, jeg har haft kontakt
med er, at deres sælgere ikke ved noget om det produkt, de
sælger.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote:

>Min sidste udbyder, filterede ssh, snmp og netbios fra.

Forestillede de sig virkelig at (alle) deres kunder skulle kunne klare
sig uden ssh og snmp?

>Dette var grunden til jeg skiftede udbyder.

Det kan jeg godt forstå. Hvilken udbyder var det?

>Men nu begynder min nye udbyder på det samme. Dog antager jeg
>TDC kun gør dette midlertidigt.

Jeg kan godt se en vis fornuft i at blokere visse ting midlertidigt på
ISP-niveau når der er et omfattende angreb i gang: det generer visse
kunder, men hjælper måske tusind gange så mange.

Men det bør IMO kun være meget midlertidigt, kun efter en individuel
vurdering af fordele og ulemper, og kun når der virkelig er et
alvorligt og omfattende angreb i gang.

Og hvis min ISP fandt på at blokere ssh, selv nok så midlertidigt,
ville jeg blive næsten lige så sur som hvis de blokerede http.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:
>
> Og hvis min ISP fandt på at blokere ssh, selv nok så midlertidigt,
> ville jeg blive næsten lige så sur som hvis de blokerede http.

Jeg har ikke lavet statistik på det, men jeg tror faktisk, jeg
bruger ssh mere end http.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

In article <drnckvc0fop0bohdfupufm0flngtr2cisn@dtext.news.tele.dk>, Jesper Dybdal wrote:
>>Min sidste udbyder, filterede ssh, snmp og netbios fra.
>
> Forestillede de sig virkelig at (alle) deres kunder skulle kunne klare
> sig uden ssh og snmp?

De er begyndt at priotere pakker, således kan man ikke bruge
en ICMP request, til at måle pakketab, da disse pakker
bliver droppet først. En af mine kollegaer have således målt
et pakketag på 20-30% mellem Arrownet og Telia DK. Vi
har en mere stabil forbindelse mellem Telia DK og
Sprint i Hong Kong.

Dog oplever han også et ligende pakketab for IKE trafik.

Sjovt nok bliver snmp ikke filteret lokalt i deres net, således
kan man se uptime på deres interne router ikke kommer over
et døgn, da den bliver genstartet hver nat.

>>Dette var grunden til jeg skiftede udbyder.
>
> Det kan jeg godt forstå. Hvilken udbyder var det?

Arrownet/Errornet/Arrivanet.

>>Men nu begynder min nye udbyder på det samme. Dog antager jeg
>>TDC kun gør dette midlertidigt.
>
> Jeg kan godt se en vis fornuft i at blokere visse ting midlertidigt på
> ISP-niveau når der er et omfattende angreb i gang: det generer visse
> kunder, men hjælper måske tusind gange så mange.
>
> Men det bør IMO kun være meget midlertidigt, kun efter en individuel
> vurdering af fordele og ulemper, og kun når der virkelig er et
> alvorligt og omfattende angreb i gang.

Jeg ville heller fortrække at de kunder der ikke kunne finde ud af
deres sikkerhed, blev koblet op til et minimalistisk net, hvor al DNS
opløsning peger på en webserver, der informere kunden om situationen og
stiller patches tilrådighed. Ved at vælge OK, kunne man efter 30 min, blive
koblet tilbage til Internet, og hvis IDS systemet stadigvæk kunne
genkende orme angreb fra kunden, blev denne smidt tilbage. Efter hver gang
skal tidsforsinkelsen for OK, stige med en faktor 2 i forhold til sidst.

:)

> Og hvis min ISP fandt på at blokere ssh, selv nok så midlertidigt,
> ville jeg blive næsten lige så sur som hvis de blokerede http.

Deres argument for det ikke var noget problem, var at man jo
blot kunne flyttet ssh over på en anden port!

En gammel kollega, implementere VPN for en stor internation kunde,
og den værste udbyder han har mødt er Arrownet i Danmark,
efter 6 måneder med 3 opkoblinger, konvertede de dem til TDC.
De franske udbydere var nemmere at arbejde med!

---

"Christian E. Lysel" wrote:
>
> Jeg ville heller fortrække at de kunder der ikke kunne finde ud af
> deres sikkerhed, blev koblet op til et minimalistisk net, hvor al DNS
> opløsning peger på en webserver, der informere kunden om situationen og
> stiller patches tilrådighed. Ved at vælge OK, kunne man efter 30 min, blive
> koblet tilbage til Internet, og hvis IDS systemet stadigvæk kunne
> genkende orme angreb fra kunden, blev denne smidt tilbage. Efter hver gang
> skal tidsforsinkelsen for OK, stige med en faktor 2 i forhold til sidst.

Det var noget i den retning jeg havde i tankerne, da jeg skrev
<3F40631B.3EC1BE48@daimi.au.dk>. Det vil kræve en indsats fra
udbyderens side, at implementere det. Men det er bestemt muligt,
TDC gør noget lignende, når man går på nettet med et nyt netkort.

Der kan selvfølgelig være tilfælde, hvor udbyderen er nødt til
at have en forudgående aftale med leveranddøren af softwaren,
før der kan stilles et mirror af updateringssitet til rådighed.
Men det vil være i alles interesse at få lavet, så det burde
være muligt at få en aftale i stand. Alternativt kunne der
tillades adgang til de få IP adresser, som er nødvendige at
tilfå for at hente opdateringerne. Det er selvfølgelig ikke
nogen god idé som med blaster, hvor ormen laver et DoS angreb
mod opdateringssitet. Hvis endelig udbyderen lavede sådan et
mirror bør man naturligvis også have mulighed for at bruge det,
før det er for sent.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

> Man kunne da godt ønske sig at de havde skrevet nøjagtigt hvad de
> filtrerede.


Hej igen
Det ser ikke ud til der filtreres mod CodeRed ormen, jeg kan se 4 pakker fra
den omtalte orm i min webLog fra kl0000 til nu kl0900.

Nimda har jeg ikke set noget til siden 2003-08-14 16:47:06 og der vil
normalt være 10-30 angreb pr dag.



--
Hilsen
Peter N Petersen
http://peteropfinder.dk

---

Den Sun, 17 Aug 2003 09:07:54 +0200 skrev 15kw:
>> Man kunne da godt ønske sig at de havde skrevet nøjagtigt hvad de
>> filtrerede.
>
>Hej igen
>Det ser ikke ud til der filtreres mod CodeRed ormen, jeg kan se 4 pakker fra
>den omtalte orm i min webLog fra kl0000 til nu kl0900.

Code Red kører på port 80 aka http aka world wide web. Hvordan ville du
selv synes om at man lukkede for den?

Mvh
Kent
--
Demokrati er lige som den 29. februar - begge dele forekommer
en gang hver fjerde år.

---

"Kent Friis" <leeloo@phreaker.net> skrev i news:bhnd2g$ib4$1@sunsite.dk
> Den Sun, 17 Aug 2003 09:07:54 +0200 skrev 15kw:
> >> Man kunne da godt ønske sig at de havde skrevet nøjagtigt hvad de
> >> filtrerede.
> >
> >Hej igen
> >Det ser ikke ud til der filtreres mod CodeRed ormen, jeg kan se 4 pakker
fra
> >den omtalte orm i min webLog fra kl0000 til nu kl0900.
>
> Code Red kører på port 80 aka http aka world wide web. Hvordan ville du
> selv synes om at man lukkede for den?

Jeg vil tro at de kan filtrere den væk lige som de muligvis gør med Nimda
"bruger også port 80".


--
Hilsen
Peter N Petersen
http://peteropfinder.dk

---

Den Sun, 17 Aug 2003 10:15:45 +0200 skrev 15kw:
>"Kent Friis" <leeloo@phreaker.net> skrev i news:bhnd2g$ib4$1@sunsite.dk
>> Den Sun, 17 Aug 2003 09:07:54 +0200 skrev 15kw:
>> >> Man kunne da godt ønske sig at de havde skrevet nøjagtigt hvad de
>> >> filtrerede.
>> >
>> >Hej igen
>> >Det ser ikke ud til der filtreres mod CodeRed ormen, jeg kan se 4 pakker
>fra
>> >den omtalte orm i min webLog fra kl0000 til nu kl0900.
>>
>> Code Red kører på port 80 aka http aka world wide web. Hvordan ville du
>> selv synes om at man lukkede for den?
>
>Jeg vil tro at de kan filtrere den væk lige som de muligvis gør med Nimda
>"bruger også port 80".

Det kan de kun hvis de sætter en transparant http-proxy op, og det ville
stadig give problemer for en del af kunderne (udover at kræve en bunke
CPU-kraft - man plejer vist at regne med samme CPU-krav til proxy'en,
som til webserveren, og her skal den være proxy for samtlige danske
webservere).

Mvh
Kent
--
The frozen north will hatch a flightless bird,
who will spread his wings and dominate the earth
And cause an empire by the sea to fall
To the astonishment, and delight of all.

---

"Kent Friis" <leeloo@phreaker.net> skrev i news:bhndtn$kt0$1@sunsite.dk
> Den Sun, 17 Aug 2003 10:15:45 +0200 skrev 15kw:
> >"Kent Friis" <leeloo@phreaker.net> skrev i news:bhnd2g$ib4$1@sunsite.dk
> >> Den Sun, 17 Aug 2003 09:07:54 +0200 skrev 15kw:
> >> >> Man kunne da godt ønske sig at de havde skrevet nøjagtigt hvad de
> >> >> filtrerede.
> >> >
> >> >Hej igen
> >> >Det ser ikke ud til der filtreres mod CodeRed ormen, jeg kan se 4
pakker
> >fra
> >> >den omtalte orm i min webLog fra kl0000 til nu kl0900.
> >>
> >> Code Red kører på port 80 aka http aka world wide web. Hvordan ville du
> >> selv synes om at man lukkede for den?
> >
> >Jeg vil tro at de kan filtrere den væk lige som de muligvis gør med Nimda
> >"bruger også port 80".
>
> Det kan de kun hvis de sætter en transparant http-proxy op, og det ville
> stadig give problemer for en del af kunderne (udover at kræve en bunke
> CPU-kraft - man plejer vist at regne med samme CPU-krav til proxy'en,
> som til webserveren, og her skal den være proxy for samtlige danske
> webservere).

Jeg ved ikke hvad og hvordan de bære sig ad, men jeg har ikke set noget der
ligner Nimda de seneste par dage, så de må jo have lavet et eller andet, man
kunne måske forestille sig at man ser efter om et http request indeholder
både ip og hosts navn (VHostsName) og hvis ikke bliver pakken droppet, den
metode vil ikke kræve ret meget cpu power.
Der må være nogen der ved mere om hvad der lavet af filtre?



--
Hilsen
Peter N Petersen
http://peteropfinder.dk

---

Den Sun, 17 Aug 2003 11:26:52 +0200 skrev 15kw:
>"Kent Friis" <leeloo@phreaker.net> skrev i news:bhndtn$kt0$1@sunsite.dk
>> Den Sun, 17 Aug 2003 10:15:45 +0200 skrev 15kw:
>> >"Kent Friis" <leeloo@phreaker.net> skrev i news:bhnd2g$ib4$1@sunsite.dk
>> >> Den Sun, 17 Aug 2003 09:07:54 +0200 skrev 15kw:
>> >> >> Man kunne da godt ønske sig at de havde skrevet nøjagtigt hvad de
>> >> >> filtrerede.
>> >> >
>> >> >Hej igen
>> >> >Det ser ikke ud til der filtreres mod CodeRed ormen, jeg kan se 4
>pakker
>> >fra
>> >> >den omtalte orm i min webLog fra kl0000 til nu kl0900.
>> >>
>> >> Code Red kører på port 80 aka http aka world wide web. Hvordan ville du
>> >> selv synes om at man lukkede for den?
>> >
>> >Jeg vil tro at de kan filtrere den væk lige som de muligvis gør med Nimda
>> >"bruger også port 80".
>>
>> Det kan de kun hvis de sætter en transparant http-proxy op, og det ville
>> stadig give problemer for en del af kunderne (udover at kræve en bunke
>> CPU-kraft - man plejer vist at regne med samme CPU-krav til proxy'en,
>> som til webserveren, og her skal den være proxy for samtlige danske
>> webservere).
>
>Jeg ved ikke hvad og hvordan de bære sig ad, men jeg har ikke set noget der
>ligner Nimda de seneste par dage, så de må jo have lavet et eller andet,

Jeg tror mere på, som en anden foreslog, at de folk der endnu ikke har
patchet de huller som Nimda brugte, de har heller ikke patchet de nye
huller, og derfor er blevet ramt af MSBLast - hvilket har fået dem til
at opdage problemet (når maskinen rebooter, skal de nok opdage det).

>man
>kunne måske forestille sig at man ser efter om et http request indeholder
>både ip og hosts navn (VHostsName) og hvis ikke bliver pakken droppet, den
>metode vil ikke kræve ret meget cpu power.

Det kræver stadig en proxy, man kan ikke se på SYN-pakkerne hvad de
efterfølgende pakker vil indeholde af HTTP-requests. Dvs. filter-
maskinen skal acceptere samtlige connections, og selv connecte videre,
når den finder ud af om pakken skal igennem.

Derudover er der ikke noget krav om at der skal være et host-navn i
HTTP-protokollen, og jeg kunne godt forestille mig en del webserver-
admins ville blive ret mugne over ikke at folk der rent faktisk
overholder standarden ikke længere kan se deres side.

Mvh
Kent
--
IE is the only thing capable of making Netscape look good
- D. Spider in comp.os.linux.advocacy

---

leeloo@phreaker.net (Kent Friis) wrote:

>Jeg tror mere på, som en anden foreslog

Det var faktisk Hr. Femtenkilowatt selv, der foreslog det.
Hvorfor han nu har foretaget en kovending og mener, at det kun
kan skyldes filtrering, maa guderne vide.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Allan Olesen" <aolesen@post3.tele.dk> skrev i
news:3f3f82ca$0$21638$edfadb0f@dread11.news.tele.dk
> leeloo@phreaker.net (Kent Friis) wrote:
>
> >Jeg tror mere på, som en anden foreslog
>
> Det var faktisk Hr. Femtenkilowatt selv, der foreslog det.
> Hvorfor han nu har foretaget en kovending og mener, at det kun
> kan skyldes filtrering, maa guderne vide.

Jeg mener heller ikke det kun er filtrering, men en blanding.

"Lad os endeligt få nogle flere "orme" så folk husker deres opdatering."

PS Jeg har lige set at der er kommet CodeRed angreb igen KL154004 fra
IP80.62.82.xx så det er ikke alle der har opdateret.




--
Hilsen
Peter N Petersen
http://peteropfinder.dk

---

>>>>> "MI" == Morten Isaksen <misak@aub.dk> writes:

MI> Hvem i alverden kører Exchange direkte over Internettet? Det er da
MI> at bede om problemer.

"Hosted Exchange. A solid foundation on which to develop rich
messaging and collaboration applications and services."

Se mere på
http://www.microsoft.com/serviceproviders/hostedexchange/default.asp

Det virker nøjagtigt ligeså dårligt som du forestiller dig.


/Benny

---

>>>>> "KD" == Kasper Dupont <kasperd@daimi.au.dk> writes:

KD> Det mener jeg som udgangspunkt heller ikke de skal. Det er
KD> kundernes eget ansvar, at sikre deres maskiner. Men i det øjeblik
KD> en kunde undlader at sikre sin maskine, mener jeg til gengæld det
KD> er udbyderens ansvar, at sikre resten af nettet mod den pågældende
KD> kunde. I nogle tilfælde er et filter den eneste måde at sikre imod
KD> en orm, der vil lave et DoS angreb.

Det optimale ville være hvis ISP'en opdagede inficerede maskiner og
lukkede kundens linje. Det er trælst at alle vi andre skal straffes.
Jeg kan dog godt se at det er lettere for en ISP bare at smide en
enkelt linje i en routerkonfiguration. Og jeg lever desværre selv med
en filtreret linje (Webspeed).


/Benny

---

Benny Amorsen wrote:
>
> >>>>> "KD" == Kasper Dupont <kasperd@daimi.au.dk> writes:
>
> KD> Det mener jeg som udgangspunkt heller ikke de skal. Det er
> KD> kundernes eget ansvar, at sikre deres maskiner. Men i det øjeblik
> KD> en kunde undlader at sikre sin maskine, mener jeg til gengæld det
> KD> er udbyderens ansvar, at sikre resten af nettet mod den pågældende
> KD> kunde. I nogle tilfælde er et filter den eneste måde at sikre imod
> KD> en orm, der vil lave et DoS angreb.
>
> Det optimale ville være hvis ISP'en opdagede inficerede maskiner og
> lukkede kundens linje. Det er trælst at alle vi andre skal straffes.

Enig. Men ISPen ønsker sikkert ikke at lukke et større antal kunders
linier. En automatisk detektering af inficerede maskiner og derefter
indførelse af passende filtre for de pågældende kunder, vil sikkert
kunne tilfredsstille de flestes interesser. Det er nok bare et stort
arbejde, at implementere.

> Jeg kan dog godt se at det er lettere for en ISP bare at smide en
> enkelt linje i en routerkonfiguration. Og jeg lever desværre selv med
> en filtreret linje (Webspeed).

Hvilken filtrering? Jeg har selv webspeed og har har aldrig lagt
mærke til nogen filtrering.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.