---

Sådan en opførsel er jo ikke pæn, men nu er jeg sgu ved at blive lidt irriteret....
En spadser i US bombarderer min maskine med crap, og jeg gider ikke se på det mere.
Hvor finder jeg tools til at banke ham? Ping of Death eller lignende?

Om han kan spore mig betyder intet.
Så kan vi da få startet en dialog om hvilken trafik der (IKKE) skal være mellem vores maskiner.

Jeg har forsøgt at finde ejeren af ip adressen og sende en håndfuld mails, men jeg får intet svar.

---

ZUM wrote:
>
> Jeg har forsøgt at finde ejeren af ip adressen og sende en håndfuld mails, men jeg får intet svar.
Find hans ip på ripe og meld det til abuse. Hvis du begynder at angribe
ham er det dig der får baladen.

Mvh
Kim

---

ZUM tried to tell us something, and all I got was:
| Sådan en opførsel er jo ikke pæn, men nu er jeg sgu ved at blive lidt irriteret....
| En spadser i US bombarderer min maskine med crap, og jeg gider ikke se på det mere.
| Hvor finder jeg tools til at banke ham? Ping of Death eller lignende?

Det er ikke smart at begynde at ping-floode en eller host i den anden
ende af verden, da kan bl.a ske det, at din ISP ikke tolerere sådanne
opførsel, og de lukker din konto.
|
| Jeg har forsøgt at finde ejeren af ip adressen og sende en håndfuld mails, men jeg får intet svar.
|
Hvilken IP adresse drejer det sig om ?
Det er *altid* bedst, at finde frem til hans ISP, og sende dem en mail
med et udsnit af din backlog.
Hvis du har en firewall, kan du også bare blocke alt trafik fra hans IP.


--
Regards,
Michael L. Hostbaek
-= Thanks for all the fish.. =-

---

mich@bsd.fr.eu.org (Michael L. Hostbaek) wrote:

>Det er *altid* bedst, at finde frem til hans ISP, og sende dem en mail
>med et udsnit af din backlog.

Måske. Jeg modtager hver uge lidt over et par tusinde opkoblingsforsøg
fra samme maskine.

Da jeg til sidst blev træt af at skulle læse min log med 'grep -v
24.147.20.224', skrev jeg til abuse hos hans internetudbyder og modtog
inden for 3-4 sekunder et meget langt og personligt brev fra dem.

Flere uger efter er der stadig ikke sket noget.

Jeg kunne godt forestille mig, at mit næste træk vil blive at opsætte
den service, han efterspørger, og lade ham hente noget, der er lidt
mere skadeligt, end han havde forventet.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Hvordan prøver vedkommende at opkoble til dig (web,ftp,telnet ?)

--
Flemming

HD Backup afgift: http://www.StopCopyDan.dk/



"Allan Olesen" <aolesen@post3.tele.dk> wrote in message
news:3b69887f$0$270$edfadb0f@dspool01.news.tele.dk...
> mich@bsd.fr.eu.org (Michael L. Hostbaek) wrote:
>
> >Det er *altid* bedst, at finde frem til hans ISP, og sende dem en mail
> >med et udsnit af din backlog.
>
> Måske. Jeg modtager hver uge lidt over et par tusinde opkoblingsforsøg
> fra samme maskine.

---

"F.Larsen" <N0Spam@spamfilter.dk> wrote:

>Hvordan prøver vedkommende at opkoble til dig (web,ftp,telnet ?)

Port 5499/udp.

Sandsynligvis ikke kun mig, men et helt område af TDC's net, eftersom
jeg i de 6-7 uger, det har stået på, har haft mindst to forskellige
ip-adresser.

Så vidt jeg har kunnet finde frem til, er det et program ved navn
Hotline til deling af filer med et anstrengt forhold til ophavsretten.
Så der burde være fine muligheder for at lægge en passende madding ud.

Jeg kunne naturligvis også bare lade være med at logge lige netop ham,
men det ville jo være symptombehandling.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Allan Olesen" <aolesen@post3.tele.dk> wrote in message
news:3b69b67e$0$355$edfadb0f@dspool01.news.tele.dk...
> "F.Larsen" <N0Spam@spamfilter.dk> wrote:
>
> >Hvordan prøver vedkommende at opkoble til dig (web,ftp,telnet ?)
>
> Port 5499/udp.
>
> Sandsynligvis ikke kun mig, men et helt område af TDC's net, eftersom
> jeg i de 6-7 uger, det har stået på, har haft mindst to forskellige
> ip-adresser.

Men source IP er den samme hver gang ?

> Så vidt jeg har kunnet finde frem til, er det et program ved navn
> Hotline til deling af filer med et anstrengt forhold til ophavsretten.
> Så der burde være fine muligheder for at lægge en passende madding ud.
>

Ok. Hvordan kunne man fange UDP pakker ? Et lille Perl modul der lytter på porten
?
Har du en kopi af den forespørgsel som han sender, den kunne være interresant at
se ...

> Jeg kunne naturligvis også bare lade være med at logge lige netop ham,
> men det ville jo være symptombehandling.

Enig, måske satser han på det ;=)

--
Flemming
Stop vandviddet http://www.StopCopyDan.dk/
Nintaus unplugged: http://hjem.get2net.dk/Quake2/Nintaus/
Støjdæmp din PC: http://hjem.get2net.dk/Quake2/LowNoise/

---

"F.Larsen" <N0Spam@spamfilter.dk> wrote:

>Men source IP er den samme hver gang ?

Ja:
># grep -c 24.147.20.224 /var/log/messages*
>/var/log/messages:1621
>/var/log/messages.1:2012
>/var/log/messages.2:1930
>/var/log/messages.3:1998
>/var/log/messages.4:1999

====

>Ok. Hvordan kunne man fange UDP pakker ? Et lille Perl modul der lytter på porten
>?

Jeg ville da bare få fat i et eksemplar af denne hersens Hotline-ting,
lægge den på en Windows-maskine, sørge for adgang til et par giftige
filer med fristende navne og forwarde den pågældende port til
Windows-maskinen. Hvad han derefter foretager sig, er hans eget
problem.

>Har du en kopi af den forespørgsel som han sender, den kunne være interresant at
>se ...

Jada:
>21:28:46.047259 24.147.20.224.32769 > 62.243.55.131.5499: udp 102 (DF) (ttl 239, id 20966)
> 4500 0082 51e6 4000 ef11 959b 1893 14e0
> 3ef3 3783 8001 157b 006e 7a8c 0001 157c
> 0007 0000 6a0f 64e5 1882 ce82 a382 bf82
> e182 f182 ce82 a382 ce82 a382 ce82 a381
> f437 4d65 6d62 6572 7320 6f6e 6c79 2073
> 6572 7665 7221 2181 4081 a862 6f77 2e79
> 692e 6f72 6781 a920 81a8 626f 772e 6e6f
> 2d69 702e 636f 6d81 a908 6168 6f6b 6974
> 7479


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

On Fri, 03 Aug 2001 21:38:33 +0200, Allan Olesen
<aolesen@post3.tele.dk> wrote:

>>Har du en kopi af den forespørgsel som han sender, den kunne være interresant at
>>se ...
>
>Jada:

.... giver:

: ...|....j.då.‚΂£‚¿‚á‚ñ‚΂£‚΂£‚΂£.ô7Members only server!!.@.¨bow.yi.org.© .¨bow.no-ip.com.©.ahokitty

yi.org - det ligner vist noget dyndns-sjov...

Applikationsdataen ringer ikke lige en klokke her.

--
- Peter Brodersen

---

Peter Brodersen <professionel@nerd.dk> wrote:

>Applikationsdataen ringer ikke lige en klokke her.

Jamen, jeg tror skam, at klokken _har_ ringet. Som jeg skrev i et
tidligere indlæg, har jeg fundet ud af, at port 5499 bruges af et
program ved navn Hotline, som vistnok er et fil-udvekslingsprogram i
stil med Napster, Gnutella osv.

Men jeg har godt nok indtil videre ikke gjort noget for at finde ud
af, hvordan en pakke fra Hotline ser ud.

--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

On Thu, 02 Aug 2001 19:06:04 +0200, Allan Olesen <aolesen@post3.tele.dk> wrote:

>Jeg kunne godt forestille mig, at mit næste træk vil blive at opsætte
>den service, han efterspørger, og lade ham hente noget, der er lidt
>mere skadeligt, end han havde forventet.


DET kunne være sejt!
Noget i retning af en elektronisk atombombe, som kun udløses hvis nogen banker på den forkerte dør.
Jeg må vist have fat i firmaets udviklere....

---

ZUM <zum@mail.flashmail.com> wrote in
<news:5pbjmto4c671ah9bqb6irhf8vopf1o3k85@4ax.com>:

> DET kunne være sejt!
> Noget i retning af en elektronisk atombombe, som kun udløses hvis
> nogen banker på den forkerte dør. Jeg må vist have fat i
> firmaets udviklere....

Det hedder en Trojan og er måske ikke den *allernyeste* ide på
markedet.. hvorfor udvikle en selv, når du kan få allemulige forærende?

NB: Det er ikke nogen god idé.

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

---

On 03 Aug 2001 14:08:50 GMT, "Niels Callesøe"
<usenet.20.niels2000@spamgourmet.com> wrote:

>Det hedder en Trojan og er måske ikke den *allernyeste* ide på
>markedet.. hvorfor udvikle en selv, når du kan få allemulige forærende?

En trojan er da et program der udgiver sig for at være f.eks. et spil,
et crack eller lignende, men samtidig indeholder f.eks. en bagdør
eller et fjernstyringsmodul, så trojanens ejer kan bruge maskinen til
et DDOS angreb eller glo på dine bankkonti eller.....
Det er et program som du ofte ved du har, men tror er uskyldigt.

Jeg vil ikke narre nogen til at downloade mit program til deres
maskine.
Jeg vil have en musefælde på hver eneste port på min egen maskine.

---

Jan <zum@flashmail.com> wrote:
> Jeg vil have en musefælde på hver eneste port på min egen maskine.

Hvorfor? Det giver jo blot noget at gaa efter -- en maade at komme ind i din
maskine paa. Hvis du ikke koerer noget paa portene er der kun een vej ind,
og det er at narre dig til at koere et program der giver adgang.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

On 02 Aug 2001 13:54:01 GMT, mich@bsd.fr.eu.org (Michael L. Hostbaek) wrote:

>Det er ikke smart at begynde at ping-floode en eller host i den anden
>ende af verden, da kan bl.a ske det, at din ISP ikke tolerere sådanne
>opførsel, og de lukker din konto.
>|
>| Jeg har forsøgt at finde ejeren af ip adressen og sende en håndfuld mails, men jeg får intet svar.
>|
>Hvilken IP adresse drejer det sig om ?
>Det er *altid* bedst, at finde frem til hans ISP, og sende dem en mail
>med et udsnit af din backlog.
>Hvis du har en firewall, kan du også bare blocke alt trafik fra hans IP.


Du har sikkert ret, men jeg er ved at blive mere end normalt irriteret...
Jeg HAR en firewall, som blocker det, men jeg gider ikke have den samme linie 100000 gange i hver eneste logfil.
Afsenderen er 65.68.101.18 (65-85-101-18-client.dsl.net).

RIPE siger:
* IANA-BLK
* The country is really worldwide.
* This address space is assigned at various other places in
* the world and might therefore not be in the RIPE database.
Det ser jeg alt for ofte, når jeg forsøger at spore nogen.

På http://www.networksolutions.com/cgi-bin/whois/whois kan jeg finde lidt flere informationer, men der er ikke en abuse@ adresee, så jeg har prøvet at sende til følgende:
john.jaser@DSL.NET
aharrington@DSL.NET
ftang@DSL.NET
support@dsl.net
info@dsl.net
busdev@dsl.net
hostmaster@DSL.NET
abuse@DSL.NET

....men intet svar.
Jeg har spurgt meget pænt de første 5 gange og mere neutralt de efterfølgende 10 gange, om de kunne stoppe personen med den pågældende adresse, men jeg får intet svar.
Jeg får både kvittering, når mails'ne er modtaget og læst, så jeg ved der er nogen i den anden ende.

Hvad gør man så, når man mest har lyst til at klippe deres kabel ????

mvh Jan

---

Hej,

On Thu, 02 Aug 2001 21:43:23 +0200,
ZUM <zum@mail.flashmail.com> wrote:

>Afsenderen er 65.68.101.18 (65-85-101-18-client.dsl.net).

Følgende er snuppet fra ARIN:

--
Southwestern Bell InternetServices (NETBLK-SBIS-5BLK)
2701 W. 15th St.
PMB 236
Plano, TX 75075
US

Netname: SBIS-5BLK
Netblock: 65.64.0.0 - 65.71.255.255
Maintainer: SBIS

Coordinator:
Southwestern Bell Internet Services (ZS44-ARIN)
ipadmin@swbell.net
888-212-5411

Domain System inverse mapping provided by:

NS1.SWBELL.NET      151.164.1.1
NS2.SWBELL.NET      151.164.1.7

ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
please send all abuse issue e-mails to abuse@swbell.net

Record last updated on 05-Jun-2001.
Database last updated on 1-Aug-2001 23:18:04 EDT.
--

Men hvad menes der med at "ADDRESSES WITHIN THIS BLOCK ARE
NON-PORTABLE" ?


--
Mvh.
Alex T.
//Remove all X's in the email...//

---

"Alex Tiedemann" <ati@XpolXsasX.dk> wrote in message
news:6ecjmtkpd1meceia8afbmns4hqga0uda2l@4ax.com...
> Hej,
>
> On Thu, 02 Aug 2001 21:43:23 +0200,
> ZUM <zum@mail.flashmail.com> wrote:
>
> >Afsenderen er 65.68.101.18 (65-85-101-18-client.dsl.net).
>
> Følgende er snuppet fra ARIN:
>
> --
> Southwestern Bell InternetServices (NETBLK-SBIS-5BLK)
> 2701 W. 15th St.
> PMB 236
> Plano, TX 75075
> US
>
> Netname: SBIS-5BLK
> Netblock: 65.64.0.0 - 65.71.255.255
> Maintainer: SBIS
>
> Coordinator:
> Southwestern Bell Internet Services (ZS44-ARIN)
> ipadmin@swbell.net
> 888-212-5411
>
> Domain System inverse mapping provided by:
>
> NS1.SWBELL.NET 151.164.1.1
> NS2.SWBELL.NET 151.164.1.7
>
> ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
> please send all abuse issue e-mails to abuse@swbell.net
>
> Record last updated on 05-Jun-2001.
> Database last updated on 1-Aug-2001 23:18:04 EDT.
> --
>
> Men hvad menes der med at "ADDRESSES WITHIN THIS BLOCK ARE
> NON-PORTABLE" ?

Der findes portable og nonportable adresser. Portable adresser er porterbare
og nonportable er det ikke! En portable adresse er fx sådan en som man får
fra InterNIC, RIPE eller ligende. Det porterbare ligger i at man kan tage
den med sig hvis man fx skifter udbyder. Tilgengæld må den ikke skifte
organisation/firma: jeg kan altså ikke bare sælge de IP adresser jeg har
fået til et andet firma.

En nonportable adresse er fx sådan en som en ISP'er (eks.vis Southwestern
Bell) tildeler der kunder - de kan tage dem fra dem igen og tildele dem til
anden kunde.

-Anders

---

Hej Anders,

On Fri, 3 Aug 2001 00:48:04 +0200,
"Anders" <news@look-at-it.com> wrote:

>Der findes portable og nonportable adresser. Portable adresser er porterbare
>og nonportable er det ikke! En portable adresse er fx sådan en som man får
>fra InterNIC, RIPE eller ligende. Det porterbare ligger i at man kan tage

Tak skal du have for info.

--
Mvh.
Alex T.
//Remove all X's in the email...//

---

Ja og det der ligner huller i sætningerne og stavefejl var udelukkende
transmissionsfejl og ikke udtryk for, at jeg ikke kan ramme 2 tasster
korrekt efter hinanden...

"Alex Tiedemann" <ati@XpolXsasX.dk> wrote in message
news:bjnjmt484abjt7rvjcifp44ivfsohh0ou2@4ax.com...
> Hej Anders,
>
> On Fri, 3 Aug 2001 00:48:04 +0200,
> "Anders" <news@look-at-it.com> wrote:
>
> >Der findes portable og nonportable adresser. Portable adresser er
porterbare
> >og nonportable er det ikke! En portable adresse er fx sådan en som man
får
> >fra InterNIC, RIPE eller ligende. Det porterbare ligger i at man kan tage
>
> Tak skal du have for info.
>
> --
> Mvh.
> Alex T.
> file://Remove all X's in the email...//

---

Hej,

On Fri, 3 Aug 2001 01:25:19 +0200,
"Anders" <news@look-at-it.com> wrote:

>Ja og det der ligner huller i sætningerne og stavefejl var udelukkende
>transmissionsfejl og ikke udtryk for, at jeg ikke kan ramme 2 tasster
>korrekt efter hinanden...

Nej da, sådan nogle taster er sjove en gang i mellem...

Kunne godt selv bruge noget PC dræber tool af en slags, til alle dem
som vil have adgang til port 80 på min maskine.

Men det er måske meget normalt, at der ved hver IP er tre forsøg inden
for få sekunder, hvis man taster adressen forkert i en browser ?

Så er der jo ikke ikke noget at være bekymret for, kan nemlig ikke se
noget udgående traffik, som ikke bør være der.

--
Mvh.
Alex T.
//Remove all X's in the email...//

---

Alex Tiedemann <ati@XpolXsasX.dk> wrote:

>Men det er måske meget normalt, at der ved hver IP er tre forsøg inden
>for få sekunder, hvis man taster adressen forkert i en browser ?

Det tror jeg ikke. Normalt, når nogen forvilder sig forbi min port 80,
bliver det kun til een, højst 2, pakker.

Men i de dage, hvor Code Red har været aktiv, har jeg næsten hver gang
modtaget 3 pakker med et interval på 3 sekunder mellem de to første og
6 sekunder mellem de to sidste.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Hej Allan,

On Fri, 03 Aug 2001 17:47:58 +0200,
Allan Olesen <aolesen@post3.tele.dk> wrote:

>Det tror jeg ikke. Normalt, når nogen forvilder sig forbi min port 80,
>bliver det kun til een, højst 2, pakker.

Ok, har dog ikke analyseret nogle pakker, kunne bare se det i
firewall'en.
Har du en url til en god packet-analyzer (til Windows NT) ?

>Men i de dage, hvor Code Red har været aktiv, har jeg næsten hver gang
>modtaget 3 pakker med et interval på 3 sekunder mellem de to første og
>6 sekunder mellem de to sidste.

Ok, dem jeg har logget, kommer med tre forsøg inden for et sekund, her
er et par stykker:

2001/08/03 04:21:58 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=65.30.174.23, local port 80.
2001/08/03 04:22:01 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=65.30.174.23, local port 80.
2001/08/03 04:22:07 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=65.30.174.23, local port 80.

2001/08/03 04:46:35 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=212.88.191.159, local port 80.
2001/08/03 04:46:38 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=212.88.191.159, local port 80.
2001/08/03 04:46:44 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=212.88.191.159, local port 80.

2001/08/03 05:14:32 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=12.111.20.228, local port 80.
2001/08/03 05:14:36 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=12.111.20.228, local port 80.
2001/08/03 05:14:42 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=12.111.20.228, local port 80.

2001/08/03 06:33:48 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=195.178.221.227, local port 80.
2001/08/03 06:33:51 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=195.178.221.227, local port 80.
2001/08/03 06:33:58 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=195.178.221.227, local port 80.

2001/08/03 07:49:07 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=211.118.77.73, local port 80.
2001/08/03 07:49:10 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=211.118.77.73, local port 80.
2001/08/03 07:49:16 GMT +0200: NdisWan8[Ref# 482] Blocking incoming
connection attempt: src=211.118.77.73, local port 80.


--
Mvh.
Alex T.
//Remove all X's in the email...//

---

Alex Tiedemann <ati@XpolsasX.dk> wrote:

>Ok, har dog ikke analyseret nogle pakker, kunne bare se det i
>firewall'en.
>Har du en url til en god packet-analyzer (til Windows NT) ?

Nej. Jeg har bare kigget i min syslog.

>Ok, dem jeg har logget, kommer med tre forsøg inden for et sekund, her
>er et par stykker:

Forskellen er nok, at jeg kører i det, som herr Gibson ynder at kalde
"stealth-mode".


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen <aolesen@post3.tele.dk> wrote:

>Forskellen er nok, at jeg kører i det, som herr Gibson ynder at kalde
>"stealth-mode".

Nej, hov. Der er jo ikke nogen forskel. Hvorfor skriver du, at de
kommer inden for samme sekund. Du har jo nøjagtig de samme intervaller
som jeg:

>2001/08/03 04:21:58
>2001/08/03 04:22:01
>2001/08/03 04:22:07



--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Hej,

On Fri, 03 Aug 2001 21:19:01 +0200,
Allan Olesen <aolesen@post3.tele.dk> wrote:

>Nej, hov. Der er jo ikke nogen forskel. Hvorfor skriver du, at de
>kommer inden for samme sekund. Du har jo nøjagtig de samme intervaller
>som jeg:

Damn, må huske de netbriller næste gang jeg kikker... Sorry

--
Mvh.
Alex T.
//Remove all X's in the email...//

---

ZUM <zum@mail.flashmail.com> wrote:

>On 02 Aug 2001 13:54:01 GMT, mich@bsd.fr.eu.org (Michael L. Hostbaek) wrote:
>
>Du har sikkert ret, men jeg er ved at blive mere end normalt irriteret...
>Jeg HAR en firewall, som blocker det, men jeg gider ikke have den samme linie 100000 gange i hver eneste logfil.
>Afsenderen er 65.68.101.18 (65-85-101-18-client.dsl.net).
>
>RIPE siger:
>* IANA-BLK
>* The country is really worldwide.
>* This address space is assigned at various other places in
>* the world and might therefore not be in the RIPE database.
>Det ser jeg alt for ofte, når jeg forsøger at spore nogen.

Ja, det ser du formodentlig hver gang du prøver at spore en adresse som ikke
hører under RIPE, dvs. adresser udenfor Europa. Dem er der ganske rigtigt
mange af, og de står ikke i RIPEs database.

Hvis man nu prøver en whois hos ARIN i stedet:

>root@nuser# whois -h whois.arin.net 65.68.101.18
>Southwestern Bell InternetServices (NETBLK-SBIS-5BLK) SBIS-5BLK
> 65.64.0.0 - 65.71.255.255
>PPPoX Pool Rback2 (NETBLK-SBCIS-101430-11367) SBCIS-101430-11367
> 65.68.100.0 - 65.68.101.255
>
>To single out one record, look it up with "!xxx", where xxx is the
>handle, shown in parenthesis following the name, which comes first.

Og derefter eksplicit slår den mindste af de to netblokke op:

>root@nuser# whois -h whois.arin.net '!NETBLK-SBCIS-101430-11367'
>PPPoX Pool Rback2 (NETBLK-SBCIS-101430-11367)
> 1701 Alma
> Plano, tx 75075
> US
>
> Netname: SBCIS-101430-11367
> Netblock: 65.68.100.0 - 65.68.101.255
>
> Coordinator:
> Southwestern Bell Internet Services (ZS44-ARIN) ipadmin@swbell.net
> 888-212-5411
>
> Record last updated on 30-Apr-2001.
> Database last updated on 1-Aug-2001 23:18:04 EDT.

- så får man noget at vide om hvem der ejer IP-adressen.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Lad os lige få hele linjen fra din firewall log (ikke hele filen men blot
den enkelte linje).
Inden man gør noget alt for drastisk kunne det jo også være smart at
foretage en "undersøgelse" - hvem ved adressen kan være spoofet eller som
det som regel har været min erfaring når det drejer om den samme port igen
og igen: en fejlkonfigureret service.

-Anders


"ZUM" <zum@mail.flashmail.com> wrote in message
news:lv9jmtgdsgpvtdoie7j86hla9ic24mc8kt@4ax.com...
> On 02 Aug 2001 13:54:01 GMT, mich@bsd.fr.eu.org (Michael L. Hostbaek)
wrote:
>
> >Det er ikke smart at begynde at ping-floode en eller host i den anden
> >ende af verden, da kan bl.a ske det, at din ISP ikke tolerere sådanne
> >opførsel, og de lukker din konto.
> >|
> >| Jeg har forsøgt at finde ejeren af ip adressen og sende en håndfuld
mails, men jeg får intet svar.
> >|
> >Hvilken IP adresse drejer det sig om ?
> >Det er *altid* bedst, at finde frem til hans ISP, og sende dem en mail
> >med et udsnit af din backlog.
> >Hvis du har en firewall, kan du også bare blocke alt trafik fra hans IP.
>
>
> Du har sikkert ret, men jeg er ved at blive mere end normalt irriteret...
> Jeg HAR en firewall, som blocker det, men jeg gider ikke have den samme
linie 100000 gange i hver eneste logfil.
> Afsenderen er 65.68.101.18 (65-85-101-18-client.dsl.net).
>
> RIPE siger:
> * IANA-BLK
> * The country is really worldwide.
> * This address space is assigned at various other places in
> * the world and might therefore not be in the RIPE database.
> Det ser jeg alt for ofte, når jeg forsøger at spore nogen.
>
> På http://www.networksolutions.com/cgi-bin/whois/whois kan jeg finde lidt
flere informationer, men der er ikke en abuse@ adresee, så jeg har prøvet at
sende til følgende:
> john.jaser@DSL.NET
> aharrington@DSL.NET
> ftang@DSL.NET
> support@dsl.net
> info@dsl.net
> busdev@dsl.net
> hostmaster@DSL.NET
> abuse@DSL.NET
>
> ...men intet svar.
> Jeg har spurgt meget pænt de første 5 gange og mere neutralt de efterfølge
nde 10 gange, om de kunne stoppe personen med den pågældende adresse, men
jeg får intet svar.
> Jeg får både kvittering, når mails'ne er modtaget og læst, så jeg ved der
er nogen i den anden ende.
>
> Hvad gør man så, når man mest har lyst til at klippe deres kabel ????
>
> mvh Jan
>

---

IP adressen stammer fra Southwestern Bell som er en Internet udbyder
(Surprise). Her er adressen som du kan kontakte dem på:
http://public.swbell.net/contact.html

-Anders

PS: en linje fra logfilen er stadig velkommen



"ZUM" <zum@mail.flashmail.com> wrote in message
news:lv9jmtgdsgpvtdoie7j86hla9ic24mc8kt@4ax.com...
> On 02 Aug 2001 13:54:01 GMT, mich@bsd.fr.eu.org (Michael L. Hostbaek)
wrote:
>
> >Det er ikke smart at begynde at ping-floode en eller host i den anden
> >ende af verden, da kan bl.a ske det, at din ISP ikke tolerere sådanne
> >opførsel, og de lukker din konto.
> >|
> >| Jeg har forsøgt at finde ejeren af ip adressen og sende en håndfuld
mails, men jeg får intet svar.
> >|
> >Hvilken IP adresse drejer det sig om ?
> >Det er *altid* bedst, at finde frem til hans ISP, og sende dem en mail
> >med et udsnit af din backlog.
> >Hvis du har en firewall, kan du også bare blocke alt trafik fra hans IP.
>
>
> Du har sikkert ret, men jeg er ved at blive mere end normalt irriteret...
> Jeg HAR en firewall, som blocker det, men jeg gider ikke have den samme
linie 100000 gange i hver eneste logfil.
> Afsenderen er 65.68.101.18 (65-85-101-18-client.dsl.net).
>
> RIPE siger:
> * IANA-BLK
> * The country is really worldwide.
> * This address space is assigned at various other places in
> * the world and might therefore not be in the RIPE database.
> Det ser jeg alt for ofte, når jeg forsøger at spore nogen.
>
> På http://www.networksolutions.com/cgi-bin/whois/whois kan jeg finde lidt
flere informationer, men der er ikke en abuse@ adresee, så jeg har prøvet at
sende til følgende:
> john.jaser@DSL.NET
> aharrington@DSL.NET
> ftang@DSL.NET
> support@dsl.net
> info@dsl.net
> busdev@dsl.net
> hostmaster@DSL.NET
> abuse@DSL.NET
>
> ...men intet svar.
> Jeg har spurgt meget pænt de første 5 gange og mere neutralt de
efterfølgende 10 gange, om de kunne stoppe personen med den pågældende
adresse, men jeg får intet svar.
> Jeg får både kvittering, når mails'ne er modtaget og læst, så jeg ved der
er nogen i den anden ende.
>
> Hvad gør man så, når man mest har lyst til at klippe deres kabel ????
>
> mvh Jan
>

---

On Fri, 3 Aug 2001 00:27:08 +0200, "Anders" <news@look-at-it.com> wrote:

>"ZUM" <zum@mail.flashmail.com> wrote in message

>> Afsenderen er 65.68.101.18 (65-85-101-18-client.dsl.net).





FEJL fra min side....
Det rigtige er selvfølgelig 65.85.101.18 (65-85-101-18-client.dsl.net).
Det undrede mig også en del, at alle kunne finde informationer, som jeg ikke kunne finde.

Loggen viser MANGE af dem her:

No.   Date      Time      Interface   Origin   Action   Service   Source            Destination   Protocol      Rule   Source Port   Info
363654   3aug2001   23:30:47   ->qfe0      FW1   DROP   4159   65-85-101-18.CLIENT.DSL.NET   WEB1       TCP      0   HTTP      Reason: Unknown established TCP packet


....det ubehagelige er, at der ikke kommer noget sundt fra ham. Ikke en eneste pakke. Kun "Unknown established TCP packets".

mvh Jan

---

Sært... 4159 er jo ikke ligefrem spændende men tilgengæld ganske harmløst.
Når jeg har siddet i din situation har jeg blot negeret deres IP. Ellers kan
du gøre noget harmløst: foretage et scan af IP adressen - så kan det være
han vågner og kontakter dig eller pludselig holder op. Ellers prøv at se om
du kan logge på hans webserver! Hvis det ikke får ham op af stolen efter
2-300 forsøg....
Der er en lille pudsighed: når man foretager en test ligner det ikke en IIS
men en Agranet Emweb web server (en java tingest: www.agranat.com) når man
foretager en lidt alternativ forespørgsel får man den ide at det er en IIS.
Men måske er det blot en agranat på en iis hvis det kan lade sig gøre (jeg
er ikke lige den store agranat ekspert).

Vi må videre
-Anders



"ZUM" <zum@mail.flashmail.com> wrote in message
news:qi5mmts0b3v0kbs7rbjdhtu2usgukbv92i@4ax.com...
> On Fri, 3 Aug 2001 00:27:08 +0200, "Anders" <news@look-at-it.com> wrote:
>
> >"ZUM" <zum@mail.flashmail.com> wrote in message
>
> >> Afsenderen er 65.68.101.18 (65-85-101-18-client.dsl.net).
>
>
>
>
>
> FEJL fra min side....
> Det rigtige er selvfølgelig 65.85.101.18 (65-85-101-18-client.dsl.net).
> Det undrede mig også en del, at alle kunne finde informationer, som jeg
ikke kunne finde.
>
> Loggen viser MANGE af dem her:
>
> No. Date Time Interface Origin Action Service Source Destination Protocol
Rule Source Port Info
> 363654 3aug2001 23:30:47 ->qfe0 FW1 DROP 4159 65-85-101-18.CLIENT.DSL.NET
WEB1 TCP 0 HTTP Reason: Unknown established TCP packet
>
>
> ...det ubehagelige er, at der ikke kommer noget sundt fra ham. Ikke en
eneste pakke. Kun "Unknown established TCP packets".
>
> mvh Jan
>

---

On Sat, 4 Aug 2001 04:32:18 +0200, "Anders Brabæk"
<news@look-at-it.com> wrote:

>Sært... 4159 er jo ikke ligefrem spændende men tilgengæld ganske harmløst.
>Når jeg har siddet i din situation har jeg blot negeret deres IP. Ellers kan
>du gøre noget harmløst: foretage et scan af IP adressen - så kan det være
>han vågner og kontakter dig eller pludselig holder op. Ellers prøv at se om
>du kan logge på hans webserver! Hvis det ikke får ham op af stolen efter
>2-300 forsøg....
>Der er en lille pudsighed: når man foretager en test ligner det ikke en IIS
>men en Agranet Emweb web server (en java tingest: www.agranat.com) når man
>foretager en lidt alternativ forespørgsel får man den ide at det er en IIS.
>Men måske er det blot en agranat på en iis hvis det kan lade sig gøre (jeg
>er ikke lige den store agranat ekspert).
>
>Vi må videre
>-Anders



Mit gæt er, at Agranet Emweb web serveren er admin interfacet til hans
SpeedStream DSL router...
Mange daglige portscanninger af hans adresse + flere daglige login
forsøg på routeren... det er jo forsøget værd.