Otóż jeden z użytkowników tejże sieci od kilku tygodniu notorycznie
wysyła emaile zawierające wirusa. Zwróciłem mu uwagę, a po jego
rozweselającej odpowiedzi, zablokowałem go na serwerze.

Po kilku dniach zaczęły przychodzić na mój adres listy od mta, jakobym
rozsyłał wirusa. Nagłówki listów jednak wskazują, że "moje" listy
wychodzą z trefnej domeny "sec.internet.radom.pl" (tego użytkownika).

Wysłałem adminowi tejże sieci list opisujący sytuację (w odpowiedzi
dowiedziałem się, żebym lepiej sprawdził swoje źródła :)). Na któtki
czas był spokój.

Po kilku dniach jednak znowu dostaję informację o rozwyłaniu przeze
mnie wirusów (co z tym idzie informacje od mta, informacje od innych
użytkowników itp. wszystko oczywiście na mój email).

Tym razem admin odpisał mi tak:

<CYTAT>
> Witam,
>
> nadal rozsyłane są zawirusowane posty z domeny sec.internet.radom.pl a moim
> adresem email.

Przepraszam - a czego pan od nas oczekuje ?
Mam udac sie do klienta i zakazac mu używania OE ? (bo to jest
faktycznym
problemem)
Czy tez do twórcy wirusa ?

Wirusy nie sa rozsylane przez nasze serwery smtp, nie moge nakazac
klientowi zaprzestania uzywania zawirusowanego oprogramowania, klient
zostal pouczony.
To wszystko co moge zrobic.

--
Kowalski Paweł ats 26-600 Radom ul. Zeromskiego
75/208
Sys&Net Admin of :ats internet a...@a...pl tel.(048) 3660030 ext.
31
</CYTAT>

Fajnie jest, nie... Jeśli moje dzieci zaczną okradać innych, to też
tylko pouczę je, bo co więcej mogę zrobić...

do góry

In article <n...@4...com>,
Radosław Popławski wrote:
> Po kilku dniach jednak znowu dostaję informację o rozwyłaniu przeze
> mnie wirusów (co z tym idzie informacje od mta, informacje od innych
> użytkowników itp. wszystko oczywiście na mój email).

> Tym razem admin odpisał mi tak:

A oni gdzie są podpięci? Polpak/TPSA? To pisz na a...@t...pl,
może jak dostaną polecony zwykłą pocztą to się bardziej przejmą.
A może nie... ale spróbować można :)

--c

do góry

W artykule <n...@4...com> Radosław Popławski
napisał(a):
> Otóż jeden z użytkowników tejże sieci od kilku tygodniu notorycznie
> wysyła emaile zawierające wirusa. Zwróciłem mu uwagę, a po jego
> rozweselającej odpowiedzi, zablokowałem go na serwerze.
>
> Po kilku dniach zaczęły przychodzić na mój adres listy od mta, jakobym
> rozsyłał wirusa. Nagłówki listów jednak wskazują, że "moje" listy
> wychodzą z trefnej domeny "sec.internet.radom.pl" (tego użytkownika).
>
> Wysłałem adminowi tejże sieci list opisujący sytuację (w odpowiedzi
> dowiedziałem się, żebym lepiej sprawdził swoje źródła :)). Na któtki
> czas był spokój.
>
> Po kilku dniach jednak znowu dostaję informację o rozwyłaniu przeze
> mnie wirusów (co z tym idzie informacje od mta, informacje od innych
> użytkowników itp. wszystko oczywiście na mój email).

Ale to przecież taki wirus, ja dostaję dziennie kilkadziesiąt monitów, że wysyłam
wirusy, a wcale nie korzystam z Windowsów do obsługi poczty... Wyluzuj, filtr na
takie info i żyjemy dalej.
--
Samotnik

do góry

In article <s...@l...localdomain>, Samotnik wrote:
>> Po kilku dniach jednak znowu dostaję informację o rozwyłaniu przeze
>> mnie wirusów (co z tym idzie informacje od mta, informacje od innych
>> użytkowników itp. wszystko oczywiście na mój email).
>
> Ale to przecież taki wirus, ja dostaję dziennie kilkadziesiąt monitów, że wysyłam
> wirusy, a wcale nie korzystam z Windowsów do obsługi poczty... Wyluzuj, filtr na
> takie info i żyjemy dalej.

Nie, nie. Trzeba na to reagować. Nimde i Codereda też trzeba
było ignorować? Mniejsze floody udp/icmp, które i tak nie zapchają
całego łącza też? To się za jakiś czas obudzimy w sieci, w której
większość ruchu będą generować wirusy, robaki, trojany,
a dla nas juz nie będzie miejsca. Trzeba to tępić,
zmuszać ludzi do instalowania antywirusów, zabezpieczania systemów itd.
Do zera tego nie wyeliminujesz, ale jest potężna różnica np. pomiędzy
początkową aktywnością Nimdy, a aktualną. Jako, że charakter tego robaka
był taki, że dopadł tylko ludzi całkowicie ignorujących tematykę bezpieczeństwa,
można chyba przyjąć, że tylko dzięki szerokiej akcji informacyjnej
aktualna aktywność tego jest rzędy wielkości mniejsza niż na początku.

--c

do góry

Radosław Popławski wrote:
>> Wirusy nie sa rozsylane przez nasze serwery smtp, nie moge nakazac
>> klientowi zaprzestania uzywania zawirusowanego oprogramowania, klient
>> zostal pouczony.
>> To wszystko co moge zrobic.
> Fajnie jest, nie... Jeśli moje dzieci zaczną okradać innych, to też
> tylko pouczę je, bo co więcej mogę zrobić...

Ale klienci firmy, w ktorej pracuje ten admin nie sa jego dziecmi.
Jesli nie uzywaja "jego" serwerow SMTP, to nie wiem o co masz pretensje.
Nic wiecej nie moze czlowiek w tej sprawie zrobic.



--
./ premax
./ p...@h...pl
./ koniec i bomba, a kto czytal ten traba. w.g.

do góry

On Sun, 10 Nov 2002, Przemyslaw Popielarski wrote:

> Radosław Popławski wrote:
> >> Wirusy nie sa rozsylane przez nasze serwery smtp, nie moge nakazac
> >> klientowi zaprzestania uzywania zawirusowanego oprogramowania, klient
> >> zostal pouczony.
> >> To wszystko co moge zrobic.
> > Fajnie jest, nie... Jeśli moje dzieci zaczną okradać innych, to też
> > tylko pouczę je, bo co więcej mogę zrobić...
>
> Ale klienci firmy, w ktorej pracuje ten admin nie sa jego dziecmi.
> Jesli nie uzywaja "jego" serwerow SMTP, to nie wiem o co masz pretensje.
> Nic wiecej nie moze czlowiek w tej sprawie zrobic.

ale jezeli uzywaja jego lacza, to moze im wyciac na routerze np. port 25
na swiat i sprawa sie sama rozwiaze...
ale jezeli nie, to rzeczywiscie zrobil co sie dalo - no, mogl jeszcze
wyslac zgloszenie do wlasciwego abuse wzgledem lacza...


pozdrawiam

majek
--
"If you want something done...do yourself!"
Jean-Baptiste Emmanuel Zorg

do góry

Przemyslaw Popielarski <p...@h...pl> wrote:
> Jesli nie uzywaja "jego" serwerow SMTP, to nie wiem o co masz
> pretensje. Nic wiecej nie moze czlowiek w tej sprawie zrobic.

za to administrator pierwszego przyjmującego te wiadomości serwera może
coś zrobić. Proponuję sprawdzić czy wszystkie mają pierwszy nagłowk
"Received:" z tego samego serwera i porozmawiać z jego adminem. Jeżeli
to jest Klez, to jego wycięcie powinno być jak najbardziej w jego
interesie - cholerstwo generuje spory ruch, a można wyciąć po samym MAIL
FROM (na początkowym etapie dialogu SMTP, czyli przed przyjęciem
wiadomości). Sposób wykrycia Klez-a opisał Zbigniew Zych - wirus
umieszcza spację przed zamykającym ostrym nawiasem w adresie nadawcy,
np.
MAIL FROM:<b...@g...pl >
Mój serwer bez tego zabezpieczenia w ogóle nie mógłby funkcjonować, bo
cholerstwo żre straszne pasmo. Jeżeli admin nie ma możliwości
filtrowania na etapie dialogu SMTP, może rozważyć odcięcie IP
nierozważnego użytkownika - jest możliwe że wirus jest rozsyłany nie
tylko do Ciebie, czyli że ta osoba zużywa niebanalne zasoby serwera na
rozsyłanie wirusów.


B.

do góry

Użytkownik "Sławomir Białek" <c...@a...com> napisał w wiadomości
news:slrnasqgns.6uv.civic@patek.netinfo.pl...
> In article <s...@l...localdomain>, Samotnik
wrote:
> > Ale to przecież taki wirus, ja dostaję dziennie kilkadziesiąt monitów,
że wysyłam
> > wirusy, a wcale nie korzystam z Windowsów do obsługi poczty... Wyluzuj,
filtr na
> > takie info i żyjemy dalej.
>
> Nie, nie. Trzeba na to reagować.

Jest jeszcze jeden powód, dla którego trzeba ludziom wpajać znaczenie
bezpieczeństwa
ich komputera dla reszty sieci - "popularne" luki zabezpieczeń są
wykorzystywane przez
trojany, które mogą potem być użyte do przeprowadzania ataków DDoS, które
jak wiadomo
są bardzo trudne do zablokowania (np. mający ostatnio miejsce atak na
dalnet).

--
Szyman (s...@m...net)
Serwis Half-Life - http://halflife.pl/
http://www.magres.net/

do góry

Sun, 10 Nov 2002 00:53:17 +0000 (UTC), w <3...@n...home.net.pl>,
"Przemyslaw Popielarski" <p...@h...pl> napisał(-a):

> Radosław Popławski wrote:
> >> Wirusy nie sa rozsylane przez nasze serwery smtp, nie moge nakazac
> >> klientowi zaprzestania uzywania zawirusowanego oprogramowania, klient
> >> zostal pouczony.
> >> To wszystko co moge zrobic.
> > Fajnie jest, nie... Jeśli moje dzieci zaczną okradać innych, to też
> > tylko pouczę je, bo co więcej mogę zrobić...
>
> Ale klienci firmy, w ktorej pracuje ten admin nie sa jego dziecmi.
> Jesli nie uzywaja "jego" serwerow SMTP, to nie wiem o co masz pretensje.

O to, że ktoś wysyła emaile z moim adresem + wirus w bonusie z jego
sieci, chyba jasno się wyraziłem?

> Nic wiecej nie moze czlowiek w tej sprawie zrobic.

Kpisz czy o drogę pytasz?? A odcięcie użytkownika do czasu
uporządkowania swojego kompa??

do góry

Radosław Popławski wrote:
>> Ale klienci firmy, w ktorej pracuje ten admin nie sa jego dziecmi.
>> Jesli nie uzywaja "jego" serwerow SMTP, to nie wiem o co masz
>> pretensje.
>
> O to, że ktoś wysyła emaile z moim adresem + wirus w bonusie z jego
> sieci, chyba jasno się wyraziłem?

Alez tak, tylko masz pretensje do zlej osoby. Skieruj je do tego, ktory
wysyla lub tego, ktory to przyjmuje (czytaj: admina wlasciwego serwera
SMTP).

>> Nic wiecej nie moze czlowiek w tej sprawie zrobic.
>
> Kpisz czy o drogę pytasz?? A odcięcie użytkownika do czasu
> uporządkowania swojego kompa??

Chyba Ty kpisz. Lamane jest jakies prawo ? Nie. To co to w ogole za
filtrowanie tresci chodzacych po laczu, co ?
Popracowalbys pare dni u porzadnego ISP serwujacego lacza dla klientow
biznesowych i sprobowalbys wyciac komus dostep do Internetu tylko za to, ze
ma wirusa w komputerze. Byloby to ostatnie pare dni Twojej pracy.

A kierujac sie Twoja logika, jesli taka istnieje, mozna miec pretensje i do
prowajdera lacza, i do TP SA jako prawdopodobnego wlasciciela lacza, i do
sprzedawcy miedzianego drutu, i do zakladu energetycznego, bo bez pradu tez
by nie bylo tego procederu.


--
/ premax
/ p...@h...pl
/ koniec i bomba, a kto czytal ten traba. w.g.

do góry