|
|
 | | From: | Roman Brusa | | Subject: | Virenschleuder im Bluewin-Netz | | Date: | Wed, 15 Dec 2004 14:53:46 +0100 |
|
|
 | Hallo Gruppe
Wie bringt man Bluewin dazu, eine Virenschleuder in ihrem Netz
abzustellen? Sie laeuft jetzt seit 3.5 Wochen, und alle meine Versuche
(Mail, Telefon, hier...), Bluewin darauf aufmerksam zu machen und zum
Handeln zu bewegen, sind klaeglich gescheitert.
Ich koennte mir denken (ich kann mich allerdings taeuschen), dass Michel
Graedel das in nullkommanix abestellen wuerde, wenn ich nur die
Moeglichkeit haette, ihm die Geschichte zu erzaehlen. Nur, wie macht man
das? Man kommt bei Bluewin schlicht nicht durch zu jemandem, der mehr
tun kann als einen abzuwimmeln.
FWIW: Ich habe kein Problem, hier bei mir den Schrott auszufiltern. Sehr
laestig ist, dass viele eher unbedarfte User einer von mir betreuten
Online-Community betroffen sind, die sich kaum zu helfen wissen (=>
einen Haufen Arbeit fuer mich). Viele grosse Provider (z.B. gmx) filtern
zwar nicht schlecht, aber was trotzdem noch durchkommt, gereicht immer
noch zu einem extremen Laestigkeitsfaktor.
Es kann doch nicht im Interesse von Bluewin sein, dass *einer* ihrer
Kunden dauerhaft die Spamverdachtsordner und Mailboxen von *hunderten*
von unbedarften Usern befuellt, ihnen Kosten verursacht, etc. Oder
taeusche ich mich da? (Ich hatte eigentlich angenommen, sie wuerden
lieber in einem einmaligen Effort ihren Kunden zum Entwurmen seines PC
bewegen, als sich Stunden um Stunden mit Beschwerden und abuse-Mails
herumzuschlagen, aber in diesem Punkt habe ich mich definitiv
getaeuscht...)
Hat jemand Ideen, was ich noch machen koennte?
Roman
|
|
| | From: | Benoit Panizzon | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Wed, 15 Dec 2004 14:21:49 +0000 (UTC) |
|
|
| Roman Brusa wrote:
> Hat jemand Ideen, was ich noch machen koennte?
Hallo Roman
http://mx.imp.ch/soberlist Yup, Bluewin ist extrem vereucht...
Ich hab diese Liste nun schon zwei mal an abuse AT bluewin.ch gesendet und
jeweils den Feedback erhalten, man habe die Kunden (nochmals) kontaktiert.
Ich hoff noch immer das beste die Anzahl nehme irgendwann langsam ab, denn
auch auf unseren Mailserver machen die Viren aus dem Bluewin Renage einen
nicht mehr unerheblichen Anteil aus.
Naja, seit gestern hat die Anzahl der sendenen Bluewin-IP von 776 auf 762
abgenommen :-)
Gruss
-Benoit-
|
|
| | From: | Florian L. Klein | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Wed, 15 Dec 2004 16:53:26 +0100 |
|
|
| Benoit Panizzon wrote:
> Roman Brusa wrote:
>
>> Hat jemand Ideen, was ich noch machen koennte?
>
> http://mx.imp.ch/soberlist Yup, Bluewin ist extrem vereucht...
Gibt es diese Liste auch als DNSBL (z. B. sober.dnsbl.imp.ch)? Sonst
kann man zwar per Cronjob und awk ein Zonenfile erzeugen, aber könnte
ja sein, dass dies gar nicht nötig wäre. ;-)
Von Sober-verseuchten Windoofkisten muss man schließlich nicht unbedingt
Mail annehmen.
BTW kann man Würmer auch an einer Firewallgateway an typischen Requests
erkennen und ggf. eine Verbindung zwischen Firewall-Loganalyse und
DNSBL-Feed herstellen? Dann könnte man etliche verwurmte Windoofkisten
bereits in die Blacklist stecken, bevor sie eine einzige Wurm-Mail
eingeliefert haben.
/.
DocSnyder.
--
Friss, Spammer:
|
|
| | From: | Benoit Panizzon | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Wed, 15 Dec 2004 16:39:52 +0000 (UTC) |
|
|
| Florian L. Klein wrote:
> Benoit Panizzon wrote:
>> Roman Brusa wrote:
>>
>>> Hat jemand Ideen, was ich noch machen koennte?
>>
>> http://mx.imp.ch/soberlist Yup, Bluewin ist extrem vereucht...
>
> Gibt es diese Liste auch als DNSBL (z. B. sober.dnsbl.imp.ch)? Sonst
> kann man zwar per Cronjob und awk ein Zonenfile erzeugen, aber könnte
> ja sein, dass dies gar nicht nötig wäre. ;-)
Wir machen doch alles für Dich :-)
ip.wormrbl.imp.ch.
Wir sind noch dran am Arbeiten, könnte also z.Z. etwas 'unstable' sein.
Gruss
-Benoit-
|
|
| | From: | Benoit Panizzon | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Thu, 23 Dec 2004 10:00:42 +0000 (UTC) |
|
|
| Benoit Panizzon wrote:
> Florian L. Klein wrote:
>> Benoit Panizzon wrote:
>>> Roman Brusa wrote:
>>>
>>>> Hat jemand Ideen, was ich noch machen koennte?
>>>
>>> http://mx.imp.ch/soberlist Yup, Bluewin ist extrem vereucht...
>>
>> Gibt es diese Liste auch als DNSBL (z. B. sober.dnsbl.imp.ch)? Sonst
>> kann man zwar per Cronjob und awk ein Zonenfile erzeugen, aber könnte
>> ja sein, dass dies gar nicht nötig wäre. ;-)
>
> Wir machen doch alles für Dich :-)
>
> ip.wormrbl.imp.ch.
>
> Wir sind noch dran am Arbeiten, könnte also z.Z. etwas 'unstable' sein.
ARGH, jetzt ist denk ich der letzte Fehler ausgemerzt und der DNS auch
wirklich von aussen erreichbar...
[umgekehrte-ip].wormrbl.imp.ch. ist vorhanden, wenn die IP uns in den
letzten zwei Tagen Sober.I Würmer gesendet hat. Wird evtl. in Zukunft auch
auf andere Würmer erweitert, daher der 'generic' name.
Alle uns bekannten Mail-Relays von ISP sind whitelisted und kommen nicht in
diese RBL.
Gruss
-Benoit-
|
|
| | From: | Adrian Senn | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Wed, 15 Dec 2004 23:23:12 +0100 |
|
|
| Hallo Roman
>Hat jemand Ideen, was ich noch machen koennte?
Ausser die Abuse Adresse kontaktieren, weiss ich auch nichts.
Eigentlich hätte meiner bescheidenen Meinung nach Bluewin selber die
Möglichkeit ihre eigenen verwurmten Kisten zu finden. Denn diese
schlagen mit 100%iger Garantie auch bei ihnen selber an. Zumal mit dem
Sober.I tonnenweise von Bounces auf den Hostmaster losschlagen
müssten.
Leider dürften den Abuse Leuten auch ein Stück weit vom Management her
die Hände gebunden sein. Denn die verwurmten Kisten zu entsorgen und
die Kunden zu warnen erzeugt nur Kosten und diese will ja niemand
bezahlen. Das dürfte bei anderen Providern nicht anders sein.
Und ich habe eigentlich auch einen Heidenaufwand die Provider
aufmerksam zu machen, dass es da einige Kisten gibt, die da mein
Logfile mit Müll zuschlagen.
Ich habe aber eher mit den Abuse Desk von folgenden Providern ein
Problem: green.ch und cablecom.ch.
Bei green.ch ist es leider nicht mal aufgrund des PTR eintrag
ersichtlich, ob es sich um eine statische oder dynamische IP handelt.
Andere Provider verwenden leider auch einen PTR Eintrag auf den man
nicht so gut blocken kann.
schlecht ist: adsl-ip-adresse.providername.ch
gut ist: ipadresse.dynamic.adsl.provider.ch
ipadresse.statisch.adsl.provider.ch
oder ähnlich. Da kann ich sogar die Cablecom Netze gut blocken.
Gruss Adrian Senn
--
http://www.senn.ch/
|
|
| | From: | Bossi | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Wed, 15 Dec 2004 21:10:50 +0100 |
|
|
|
Roman Brusa schrieb:
> Hallo Gruppe
>
> Wie bringt man Bluewin dazu, eine Virenschleuder in ihrem Netz
> abzustellen? Sie laeuft jetzt seit 3.5 Wochen, und alle meine Versuche
> (Mail, Telefon, hier...), Bluewin darauf aufmerksam zu machen und zum
> Handeln zu bewegen, sind klaeglich gescheitert.
>
> Hat jemand Ideen, was ich noch machen koennte?
>
> Roman
Hallo zusammen
ich staune, eh ja ...
Ein Bluewin - Kunde bekommt eigenartige Mails mit Anhang, die mit
grösster Wahrscheinlichkeit einen Virus enthalten könnten.
Ich / wir wollten diese Mails weiter leiten, an eine extra
eröffnete Bluewin - Adresse, und weitere Mail - Adressen.
Diese(s) Mail(s) haben wir zig mal versucht zu senden, kommt aber
bei mir nicht an, weder auf die eine noch andere Adressen.
Somit könnte es auf der Hand liegen das Bluewin event. doch etwas
unternimmt, aber eben = die Frage ist was?
Ich würde es aber als Fragwürdig empfinden, wenn (verseuchte)
Mails einfach gelöscht würden, ohne das der Empfänger eine Info /
Hinweis bekommt. Vielleicht weis M.G. etwas ;)
Bruno
|
|
| | From: | Peter Guhl | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Thu, 16 Dec 2004 12:54:36 +0100 |
|
|
| Hoi
On Wed, 15 Dec 2004 21:10:50 +0100, Bossi wrote:
> Ich würde es aber als Fragwürdig empfinden, wenn (verseuchte) Mails
> einfach gelöscht würden, ohne das der Empfänger eine Info / Hinweis
> bekommt.
Wie man's nimmt. Ich erhalte die Meldungen von unserem Virenscanner -
das sind 10'000 Viren pro Woche. Das hiesse, dass 10'000 mal pro Woche
ein Empfänger ein "jemand hat Ihnen einen Virus geschickt"-Mail erhält.
Wer liest die noch? False positives gab es nur in der Anfangsphase
wegen falschen Konfigurationen.
Grüsse
Peter
--
Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/
|
|
| | From: | Florian Spisla | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Fri, 17 Dec 2004 08:50:21 +0100 |
|
|
| Bossi wrote:
> Somit k=F6nnte es auf der Hand liegen das Bluewin event. doch etwas=20
> unternimmt, aber eben =3D die Frage ist was?
Oder auch nicht. Gestern und heute sind wieder ca. 30 Sober.I bei mir=20
aufgeschlagen. Ausnahmslos alle aus dem Bluewin-Netz.
Mir geht einfach immer noch nicht in den Kopf, wie ein 30 Tage alter=20
Virus immer noch so verbreitet ist.
Florian
--=20
Reclaim Your Inbox!
http://www.mozilla.org/products/thunderbird/
|
|
| | From: | Bossi | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Fri, 17 Dec 2004 09:23:20 +0100 |
|
|
|
Florian Spisla schrieb:
>
> Oder auch nicht. Gestern und heute sind wieder ca. 30 Sober.I bei mir
> aufgeschlagen. Ausnahmslos alle aus dem Bluewin-Netz.
> Mir geht einfach immer noch nicht in den Kopf, wie ein 30 Tage alter
> Virus immer noch so verbreitet ist.
>
> Florian
>
Hallo Florian und Peter
nichts dagegen wenn * einerseits * Viren gelöscht werden ( dies
könnten alle Provider einführen, womit der Mail - Verkehr massiv
abnehmen würde ), wenigstens aber sollten die Mails den Empfänger
erreichen, und dies finde ich eigenartig.....
Bruno
|
|
| | From: | Florian Spisla | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Mon, 20 Dec 2004 12:45:25 +0100 |
|
|
| Bossi wrote:
>> Oder auch nicht. Gestern und heute sind wieder ca. 30 Sober.I bei mir =
>> aufgeschlagen. Ausnahmslos alle aus dem Bluewin-Netz.
>> Mir geht einfach immer noch nicht in den Kopf, wie ein 30 Tage alter=20
>> Virus immer noch so verbreitet ist.
>=20
> nichts dagegen wenn * einerseits * Viren gel=F6scht werden ( dies k=F6n=
nten=20
> alle Provider einf=FChren, womit der Mail - Verkehr massiv abnehmen w=FC=
rde=20
> ), wenigstens aber sollten die Mails den Empf=E4nger erreichen, und die=
s=20
> finde ich eigenartig.....
Hallo Bossi
Ja und nein, w=FCrde ich mal sagen. Bei uns im Gesch=E4ft filtert der=20
Virenscanner (mit integriertem Attachmentblocker) die Viren raus und=20
setzt ein kleines Text-Attachment stattdessen, wo drin steht, welcher=20
Virus dran war. Das Mail geht dann trotzdem in die Inbox.
F=FCr mich, der ich am Support-Telefon sitze, bedeutet jeder Virus einen =
unn=F6tigen Anstieg der Anrufe. Manchen Leuten erkl=E4re ich zum x-ten Ma=
l,=20
um was es sich da handelt und wie man es erkennt.
Aber nach der letzten Sober-Attacke werde ich mit unserem Mail-Admin mal =
andere M=F6glichkeiten angucken. Zumindest sollten die Virenmails nicht=20
mehr in die Inbox gehen.
Und was =E4hnliches w=FCrde ich an sich auch gerne bei den Providern sehe=
n.=20
Das die solche Mails ausfiltern und einem dann vielleicht pro=20
Tag/Woche/$Zeitraum eine Mail zustellen, in der darauf hingewiesen wird, =
das X Mails im Ordner Y abgelegt wurden wegen Virenverdachts.
So =E4hnlich wie GMX es ja schon macht.
Gruss
Florian
--=20
Reclaim Your Inbox!
http://www.mozilla.org/products/thunderbird/
|
|
| | From: | Peter Guhl | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Fri, 17 Dec 2004 13:56:11 +0100 |
|
|
| On Fri, 17 Dec 2004 08:50:21 +0100, Florian Spisla
wrote:
> Mir geht einfach immer noch nicht in den Kopf, wie ein 30 Tage alter
> Virus immer noch so verbreitet ist.
30 *Tage*? Mich würd's schon wundern, wenn der in 30 *Monaten* merklich
abgenommen hätte! Ist "Code Red II" unterdessen aus den Netzen draussen?
Grüsse
Peter
--
Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/
|
|
| | From: | Rene | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | 17 Dec 2004 13:40:08 GMT |
|
|
| "Peter Guhl" wrote:
> On Fri, 17 Dec 2004 08:50:21 +0100, Florian Spisla
> wrote:
>
> > Mir geht einfach immer noch nicht in den Kopf, wie ein 30 Tage alter
> > Virus immer noch so verbreitet ist.
>
> 30 *Tage*? Mich würd's schon wundern, wenn der in 30 *Monaten* merklich
> abgenommen hätte! Ist "Code Red II" unterdessen aus den Netzen draussen?
Natuerlich nicht:
$ cat /var/log/apache2/access_log | grep cmd
[..]
68.47.66.252 - - [17/Dec/2004:10:59:49 +0100] "GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1045 "-"
"-" 68.47.66.252 - - [17/Dec/2004:10:59:49 +0100] "GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1045 "-"
"-" 68.47.66.252 - - [17/Dec/2004:10:59:50 +0100] "GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1045 "-"
"-" 68.47.66.252 - - [17/Dec/2004:10:59:50 +0100] "GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1045 "-"
"-" 68.47.66.252 - - [17/Dec/2004:10:59:51 +0100] "GET
/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 978 "-"
"-" 68.47.66.252 - - [17/Dec/2004:10:59:51 +0100] "GET
/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 978 "-" "-"
68.47.66.252 - - [17/Dec/2004:10:59:52 +0100] "GET
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1045 "-"
"-" 68.47.66.252 - - [17/Dec/2004:10:59:52 +0100] "GET
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 1045 "-" "-"
$ cat /var/log/apache2/access_log | grep cmd | grep "Dec" | wc -l
194
Wird wohl nicht verschwinden bevor es MS tut...
CU
Rene
--
-------------------- http://NewsReader.Com/ --------------------
Usenet Newsgroup Service $9.95/Month 30GB
|
|
| | From: | gEnTi | | Subject: | Re: Virenschleuder im Bluewin-Netz | | Date: | Fri, 17 Dec 2004 21:10:25 +0100 |
|
|
| Am Fri, 17 Dec 2004 13:56:11 +0100
"Peter Guhl" schrieb:
> 30 *Tage*? Mich w=FCrd's schon wundern, wenn der in 30 *Monaten*
> merklich abgenommen h=E4tte! Ist "Code Red II" unterdessen aus den
> Netzen draussen?
Der Blaster macht auch immer noch seine Runde, bei mir ungef=E4hr 3 mal
die Stunde.
--=20
I WILL NOT WASTE CHALK
I WILL NOT WASTE CHALK
I WILL NOT WASTE CHALK
I WILL NOT WASTE CHALK
Bart Simpson on chalkboard in episode 7G02
|
|
|
