-
Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!wsisiz.edu.pl!plix.pl!newsfeed1.plix
.pl!newsfeed00.sul.t-online.de!t-online.de!border2.nntp.dca.giganews.com!nntp.g
iganews.com!postnews.google.com!b41g2000pra.googlegroups.com!not-for-mail
From: ru <t...@g...com>
Newsgroups: pl.internet.polip
Subject: Re: TP nie lubi GIMPa czy co?
Date: Sun, 4 Jan 2009 08:28:55 -0800 (PST)
Organization: http://groups.google.com
Lines: 150
Message-ID: <f...@b...googlegroups.com>
References: <2...@c...fuw.edu.pl> <gj92hi$l57$1@cougar.axelspringer.pl>
<2...@c...fuw.edu.pl>
<nphlz8jnbhgb$.dlg@falcon.sloth.hell.pl>
<2...@c...fuw.edu.pl>
<1...@f...sloth.hell.pl>
<2...@c...fuw.edu.pl> <gjds3q$gci$2@portraits.wsisiz.edu.pl>
<m...@m...localdomain>
<gjjlg7$rii$1@portraits.wsisiz.edu.pl>
<m...@m...localdomain>
<gjl9j8$fmp$2@portraits.wsisiz.edu.pl> <2...@c...fuw.edu.pl>
<gjm8cd$7tr$1@atlantis.news.neostrada.pl>
<b...@w...googlegroups.com>
NNTP-Posting-Host: 79.139.2.195
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
X-Trace: posting.google.com 1231086536 19923 127.0.0.1 (4 Jan 2009 16:28:56 GMT)
X-Complaints-To: g...@g...com
NNTP-Posting-Date: Sun, 4 Jan 2009 16:28:56 +0000 (UTC)
Complaints-To: g...@g...com
Injection-Info: b41g2000pra.googlegroups.com; posting-host=79.139.2.195;
posting-account=cg5LEwoAAAB-H2-6qhLriU9FfS09iiHY
User-Agent: G2/1.0
X-HTTP-UserAgent: Opera/10.00 (X11; Linux x86_64 ; U; en)
Presto/2.2.0,gzip(gfe),gzip(gfe)
Xref: news-archive.icm.edu.pl pl.internet.polip:88155
[ ukryj nagłówki ]Bry.
Chwilę mi zajęło odkopanie się spod wszystkich tych postów (31.12
miałem okazję zniknąć i pojawić się dopiero wczoraj - 03.01. Tak,
impreza była niezła. ;-))
Na wstępie chciałbym zaznaczyć, iż podejście do całej sprawy dość
mocno warunkowane jest tym, czy uderza ono w nas osobiście
(*niesłusznie*, bo "klikacze botnetów" oczywiście głosu w dyskusji nie
posiadają, a co więcej - niech gryzą piach :-/), czy też nie. Nie
muszę mówić, jak skrajne nastawienia do sprawy mogą przyjmować ludzie
z obu tych kategorii (oj, jak to paskudnie brzmi).
Niestety, mi akurat zdarzyło się być w tej pierwszej grupie, o czym
kilkadziesiąt (set?) postów wyżej miałem okazję napomknąć.
Z tego względu, poniższy fragment:
r...@g...com wrote:
> Weźmy warunek c - wieść gminna niesie, że chcieli dobrze, wyszło jak
> zwykle. No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W
> przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni
> mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk.
> Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z
> ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z
> opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i
> to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak
> widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu
> do bazy abonentów i blokowanych adresów. Po prostu klęska.
... jest dość przykry, gdyż wskazuje mi, gdzie moje miejsce. No cóż,
jestem tylko nic nie znaczącym promilem. :->
Dalej:
r...@g...com wrote:
> My używamy aktualnie BGP blackholingu do blokowania adresów, pod
> którymi znajdują się wedle najlepszej wiedzy naszej i współpracujących
> dostawców serwery C&C botnetów pewnych klas. Aktualnie nie korzystamy
> bezpośrednio z publicznie dostępnych BL, a z definicji nie z BL
> zawierających "źródła spamu". Nazw firm z którymi współpracujemy nie
> chcę teraz podawać między innymi dlatego, że rozwiązanie jest wciąż
> testowe i źródła mogą się zmienić. W przypadku, kiedy pomysł
> pozostanie z nami na dłużej (czyli okaże się skuteczny) na pewno nie
> będę miał problemu ze wskazaniem ludzi i firm, z którymi dzielimy ten
> sukces. Przy czym wciąż może to oznaczać, że nie będzie możliwości
> wskazania na jakąkolwiek publicznie dostępną czarną listę - z tego
> prostego powodu, że wykorzystywane przez nas nie będą publiczne. Nie
> mam silnych obaw z tym związanych - w biznesie jest tak, że silny
> związek o charakterze komercyjnym pomiędzy firmami, które dbają o
> swoją markę (i przyszłe relacje ;), jest często wystarczającą
> gwarancją jakości danych.
Skoro informacji o BL brak i brak też perspektyw na jakiekolwiek dane
o nich, skąd więc mam wiedzieć, z jakiego powodu jestem blokowany?
Ach, oczywiście:
> Prośba o kontakt z CERTem wynika z tego, że otrzymując prośbę jesteśmy
> w stanie (jeżeli nie są to nasze dane na podstawie umowy z dostawcą)
> zweryfikować bezpośrednie przesłanki (logi) uzasadniające blokowanie
> adresu, i taki, a nie inny "scoring". Proszę jednocześnie o
> wyrozumiałość - nie zawsze te logi będziemy w stanie automatycznie
> dostarczyć bezpośrednio zainteresowanym (chociażby dlatego, że mogą
> zawierać adresy honeypotów etc), czasem musimy ograniczyć się do
> potwierdzenia, że tego a tego dnia o tej i o tej godzinie ruch
> kontrolny z danego adresu został zarejestrowany i zweryfikowany. Może
> to wyglądać na "sąd kapturowy", ale nie taka jest nasza intencja, i
> nie ma to nic wspólnego z arogancją. Jedyne, o co mogę prosić to
> odrobina zaufania - jeżeli nie do TP, to do mojego zespołu, który
> tworzyłem cztery lata temu w opozycji do tego, czego jako klient i
> pracownik w TP nie lubię, i o zmianę czego bezustannie obiecuję
> walczyć ;).
No i tu mój główny zarzut, niestety. Pierwszego dnia po włączeniu
"usługi" miałem okazję napisać na wiadomy adres. Na odpowiedź czekałem
jedną dobę, choć składała się ona jedynie z informacji iż faktycznie
jestem wycinany i po jakimś czasie automat sprawdzi i odblokuje. Nie
muszę wspominać, iż informacji o powodzie (o który pytałem - chociaż o
możliwość online'owego sprawdzenia w jakichś BLach, czy czymś
podobnym) i *czymkolwiek* innym zabrakło. Nie muszę chyba informować,
jak bardzo radosny byłem, skoro zostałem potraktowany przez
profesjonalny zespół w sposób, którego nie powstydziłaby się
przysłowiowa "pani na blulajnie" (*kaszl* *kaszl*, przepraszam). W
efekcie odsmarowałem kolejną odpowiedź - tym razem nieco mniej
grzeczną (choć wciąż bez żadnych osobistych ataków, etc. - proszę mnie
nie podejrzewać nawet o podobne pomysły), na którą odpowiedź... nigdy
nie wróciła.
Aha, zostałem więc profesjonalnie olany. Nadal nic nie wiem. Jest
świetnie.
Dodam tylko, że wspomniany serwer aktualnie korzysta ze wspaniałej
opcji w OVH - możliwości dokupienia (niby niedrogo, ale zawsze)
dodatkowego IP. Tym IPkiem teraz odbywa się komunikacja ze światem i
wszystko działa należycie. Zabawne, nie został on jeszcze wyblokowany.
Czyżby jednak zagrożenia nie było?
Byłbym naprawdę wdzięczny za jakieś informacje, co począć dalej (czy
też sprawę olać i korzystać już dożywotnio z dodatkowego IPka za
(bodajże) 4zł miesięcznie).
A teraz z troszeczkę innej beczki, gdyż od właściwie początku
informowania o wszelkich honeypotach (i podobnych) zbierających dane o
potencjalnych adresach do wycięcia chodzi mi to po głowie - czy nie
istnieje niebezpieczeństwo, iż powstanie nowy rodzaj ataku, tj.
spoofowanie "komunikatów kontrolnych botnetów" w taki sposób, by w
efekcie ofiara samego ataku została wycięta (bo uznana za kontroler)?
Szczerze mówiąc - nie wiem, po jakim gruncie stąpam (brak info o
BLach, firmach, więc mogę tylko sobie wyobrażać różne czarne
scenariusze), ale skoro odpowiednie dane gromadzone są przez automaty,
a automaty da się często oszukać, w efekcie tworzymy podstawy dla
paskudnego ataku, dzięki któremu łatwo (lub nieco trudniej - od
automatów zależy) możemy wysłać w routerowy kosmos "niewygodne" hosty.
Z góry przepraszam jeśli post jest piekielnie chaotyczny - jak
wspomniałem, wróciłem wczoraj i mam teraz kilka spraw na głowie (a
fakt, iż blackhole'ują mi jabbera też mi nie pomaga :-P), które
jednocześnie z pisaniem powyższego staram się załatwiać.
Pozdrawiam,
--
ru
Następne wpisy z tego wątku
- 04.01.09 17:43 D...@g...com
- 04.01.09 19:13 r...@g...com
- 04.01.09 19:27 r...@g...com
- 04.01.09 19:43 konrad rzentarzewski
- 04.01.09 20:00 Michal Jankowski
- 04.01.09 20:06 Michal Jankowski
- 04.01.09 20:29 ru
- 04.01.09 20:29 Szymon Sokół
- 04.01.09 20:32 futszaK
- 04.01.09 20:38 D...@g...com
- 04.01.09 20:47 Szymon Sokół
- 04.01.09 20:52 D...@g...com
- 04.01.09 20:54 januszek
- 04.01.09 21:01 Michal Jankowski
- 04.01.09 21:05 Szymon Sokół
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2024-11-08 zbrojone wężyki hamulcowe
- 2024-11-07 Pytanie o transformator do dzwonka
- 2024-11-07 Warszawa => Infrastructure Automation Engineer <=
- 2024-11-07 międzymordzie USB 3.2 jako 2.0
- 2024-11-07 Warszawa => Site Reliability Engineer (SRE) <=
- 2024-11-07 Warszawa => Presales / Inżynier Wsparcia Technicznego IT <=
- 2024-11-07 Warszawa => ECM Specialist / Consultant <=
- 2024-11-07 Rzeszów => Senior SAP HANA Developer <=
- 2024-11-07 Czy skrzynie biegów lubią hamowanie silnikiem?
- 2024-11-07 Czy skrzynie biegów lubią hamowanie silnikiem?
- 2024-11-07 Czy skrzynie biegów lubią hamowanie silnikiem?
- 2024-11-07 Czy skrzynie biegów lubią hamowanie silnikiem?
- 2024-11-06 gotówkowe zjeby
- 2024-11-06 Łódź => QA Inżynier <=
- 2024-11-06 Kraków => Key Account Manager <=