[Postfixbuch-users] also da hat mich wohl jemand auf dem Kicker

Stefan Behte Stefan.Behte at gmx.net
Mo Mai 28 01:53:43 CEST 2007


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Uwe Driessen schrieb:
> Das war wohl ein Trugschluss das da erstmal Ruhe ist 
> 
> 58.93.252.3 
> 133.66.147.20
> 211.192.80.183
> 58.93.252.1
> 212.91.98.71
> 142.46.227.170
> 12.4.104.2
> 213.190.161.252
> 202.148.1.233
> 66.225.33.160
> 209.41.141.51
> 219.96.230.58
> 203.162.4.185
> 
> Sobald ich die Chains aus IPtables rausnehme hämmern die sofort wieder auf den Server ein.
> Hat da noch jemand eine Idee wie man die ansonsten auf andere Art und weise zum Schweigen
> bringen kann?
>
> Was macht Ihr in so einem Fall? aussitzen?

Vorschlag: DDOS!
Nein, jetzt ernsthaft: Abuse Adresse im Whois nachschauen, Domaininhaber
kontaktieren (könnte ja sein, dass er nur versehentlich ein Open Relay
hat). Bringt aber relativ selten was (oder man kriegt nur nicht viel
Feedback?!) und dauert. Manchmal wirkt es aber Wunder, an höherer Stelle
nachzufragen, beim Upstream-Provider nachzufragen. Achja:
Chinesen/Koreaner antworten übrigens auch gerne mal in Landessprache ;)

Ich habe vor Jahren so ein Abuse-Script geschrieben, das meine
Firewall-Logs auf meinem PC zu hause überwacht und bei "bösen"
Aktivitäten den whois-Eintrag raussucht und automatisch eine Abuse Mail
incl. Logs auf die Reise schickt. Man bekommt darauf sehr viele
automatisierte Antworten, und ab und zu auch welche wie diese hier:

>Dear friends
>
>thank you for alerting me.
>
>The machine is a dual boot Win95/Win2000 machine. For some reasons the
>user did not use W2k for a long time. Yesterday he switched to W2k, and
  >even though he made an update using the Microsoft update service,
>apparently there is some infection/hacking tool.
>
>I have disconnected the machine from the Internet, now a virus scan is
>in progress (Additionally to that I have deleted some dubious files
>from the /Recycled directory), and after that we will install a
>personal firewall. I hope these measures will help to stop the
>undesired activity of this computer.
>
>Sincerely
>
>xxxxx

;)

Das Script ist aber damals mehr Spasseshalber entstanden, im
Produktivbetrieb würde ich das auch nicht einsetzen (bevor hier die
Diskussion darum losgeht...).


Stefan Behte


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGWhoHgs5mTaoGZecRAhr4AKCt1r0xNONDRQDNL2AdhhCJmJ/ASwCcDv0H
yyIskmw0qSA5UGDU8QCYCYU=
=9aAu
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Postfixbuch-users