Panie i Panowie, Rodacy!

Muszę powiedzieć, że jestem rozczarowany. Od ładnych siedmiu godzin
gimp.org jest dostępny bezpośrednio z sieci TP i pies z kulawą nogą
tego nie zauważył? Odblokowania najpopularniejszego serwisu w Polsce?
Symbolu walki o wolność, a w każdym razie przeciwko telekomunie i jej
zapędom cenzorskim? Ojca wątku?

No, ale nic straconego, zawsze może się zdarzyć tak, że będzie jeszcze
jedna okazja. To znaczy wtedy, kiedy historia się powtórzy -
narozrabia, zostanie zablokowany, uspokoi się i zostanie odblokowany.
Na razie osiągnął stan, który jest na granicy planowanej przez nas
docelowo polityki blokowania, więc jako gest dobrej woli w stosunku do
administratorów i użytkowników zdecydowałem uznać go za "zdatnego do
użytku" ;). Przy czym pozostanie wśród bacznie obserwowanych adresów,
mam nadzieję, że nie uaktywni się znowu. Podobną politykę zastosuję do
pozostałych adresów, które spadną poniżej minimum wykazując stały
trend malejący (oznaczający, że z adresu nie wychodzą nowe rozkazy,
niezależnie, czy rzadko, czy często).

Teraz, panowie ircoperatorzy, światła na Was. Chodzą słuchy na
mieście, że jest duże zainteresowanie rozwiązaniem problemu, trzeba
sobie tylko porozumieć co do paru szczegółów, na przykład takich, że
RBL, który udostępnił efnet właśnie dlatego może pomóc, że jest pewnie
RBLem właśnie - a nie listą kontrolerów i ich proxy (bo co to za
pożytek, żeby zobaczyć się na liście, na której się jest w sposób dość
oczywisty), a lista, którą otrzymaliście od nas przyda się na przykład
po to, żeby samemu takim proxy się nie stać.

Skoro już jestem, to jeszcze się odniosę do takiego cytatu "Rozumiesz?
TPSA wprowadza takie rozwiazanie _wiedzac_, ze ono nie może być
skuteczne." Jak rozumiem, konsekwentne przesuwanie się np. na
senderbase z pozycji 1-3 przed blackholingiem na pozycje 5-7 obecnie
(aktualnie 7.) to szczęście i zbieg okoliczności, coraz bardziej
zaawansowane (technicznie) próby zdyskredytowania mechanizmu
prawdopodobnie są spowodowane większym ostatnio mrozem i nudą, spadek
średniego poziomu spamu na poziomie 30-40% to wynik gorszych skoków
Małysza.

Myślę, że, gdybym zapytał głośno ile osób może powiedzieć o sobie, że
miało podobne "szczęście i zbieg okoliczności" poradzić sobie z
podobnym problemem w podobnej skali i sytuacji było by nas ciut mało
do dyskusji. Toteż pytał nie będę, w zamian za to proponuję jednak
otworzyć oczy i głowy...I realnie patrzeć na dostępne każdemu z nas
dane, narzędzia, wiedzę i doświadczenie (własne i współpracowników).

Pozdrawiam,

RJ

do góry

r...@g...com writes:

> Na razie osiągnął stan, który jest na granicy planowanej przez nas
> docelowo polityki blokowania, więc jako gest dobrej woli w stosunku do
> administratorów i użytkowników zdecydowałem uznać go za "zdatnego do
> użytku" ;). Przy czym pozostanie wśród bacznie obserwowanych adresów,
> mam nadzieję, że nie uaktywni się znowu. Podobną politykę zastosuję do
> pozostałych adresów, które spadną poniżej minimum wykazując stały
> trend malejący (oznaczający, że z adresu nie wychodzą nowe rozkazy,
> niezależnie, czy rzadko, czy często).

Nic nie rozumiem. "Nie wychodza nowe rozkazy" jest warunkiem
koniecznym do znalezienia sie "na granicy polityki blokowania"? To co
jest warunkiem dostatecznym do znalezienia sie ponizej tej granicy?

I czy ja sie wreszcie dowiem w jaki sposob "wychodza nowe rozkazy" z
komputerow, ktore serwerami IRC w ogole nie sa?

MJ
PS. Oczywiscie ten "gest dobrej woli" jest calkowicie przypadkowo
zbieżny w czasie z przyznaniem pewnemu klientowi "rabatu za brak
dostępu do gimpa". 8-) 8-)

do góry

> Nic nie rozumiem. "Nie wychodza nowe rozkazy" jest warunkiem
> koniecznym do znalezienia sie "na granicy polityki blokowania"? To co
> jest warunkiem dostatecznym do znalezienia sie ponizej tej granicy?
>

Pozycja w rankingu odzwierciedla w szczególności charakter ruchu i
czas, który upłynął od ostatniego zarejestrowanego "rozkazu". Może być
na przykład tak, że serwer przestaje być kontrolerem, i administrator
melduje "job done". No, ale TP by nie była monopolistą, a ja
podejrzliwym sukinsynem, gdybym w takie deklaracje wierzył. Więc
czekam sobie spokojnie - jeżeli serwer dalej nic nie wysyła, spada w
rankingu i po czasie, którym można sterować ustawiając "punkt
odcięcia" na odpowiedniej wartości "score" spokojnie sam się
odblokowuje. Jak już pisałem teraz polityka jest bardzo restrykcyjna,
co wpływa między innymi na to, że czas, po którym "były" kontroler
dojdzie do "punktu odcięcia" jest długi. Politykę zaostrza się, jeżeli
chce się usunąć również kontrolery mniej aktywne (wysyłające coś np.
rzadziej, niż co dwa tygodnie) - teoretycznie wtedy jest większe
ryzyko reklamacji, natomiast oczka "packi" są małe i niewiele przez
nie przechodzi. Sztuką jest uzyskanie kompromisu pomiędzy
skutecznością, a poziomem potencjalnych zażaleń i reklamacji, w tym
celu podczas testów weryfikujemy np. skuteczność blackholingu w
zależności od różnych ustawień. Jak w Formule 1 zupełnie.

> I czy ja sie wreszcie dowiem w jaki sposob "wychodza nowe rozkazy" z
> komputerow, ktore serwerami IRC w ogole nie sa?

A czy ja gdzieś pisałem, że botnety centralnie sterowane są tylko
przez IRCa tudzież, że my tylko IRCem się zajmujemy? Różnie mogą,
serwer może być http chociażby, aczkolwiek większość to jednak wciąż
irc, większość kontrolerów w naszej bazie dotyczy irc, dlatego
zatroskanym administratorom radzimy w pierwszej kolejności tego
zobaczyć, czy irc stoi, czy powinien, i jakie towarzystwo się tam
obraca.

Generalnie wśród obserwowanych adresów są takie, które ruchem w miarę
jednostajnym od pewnego momentu (zwykle ten moment następuje pewien
czas po kontakcie z administratorem) "spadają" i takie, które
utrzymują się na tym samym poziomie - trochę w górę, trochę w dół.
Czekam, aż dojedzie świeża paczka logów, zobaczymy, jak to wygląda.

>
>   MJ
> PS. Oczywiscie ten "gest dobrej woli" jest calkowicie przypadkowo
> zbieżny w czasie z przyznaniem pewnemu klientowi "rabatu za brak
> dostępu do gimpa". 8-) 8-)

Ci, którzy mnie znają wiedzą, że spolegliwość to moja główna cecha
charakteru :D. Nie, nie ma zbieżności - w TP jest to tak
zorganizowane, że konsultanci na pewnym poziomie mają sami prawo
podejmować decyzje co do uznania reklamacji - uznanie reklamacji/
uzyskanie rabatu jest decyzją takiej osoby, niekoniecznie wyrazem
przyjętej polityki. Czasem decyzją z punktu widzenia TP pochopną lub
błędną, ale nie jest powiedziane, że abonent TP nie ma prawa mieć
dobrego dnia ;). Zresztą, co ja będę udowadniał, że nie jestem
wielbłądem - jak znowu gimp poleci to sobie do tego posta wrócimy ;>

do góry

Hello rafal,

Wednesday, January 7, 2009, 9:49:58 PM, you wrote:

> Muszę powiedzieć, że jestem rozczarowany. Od ładnych siedmiu godzin
> gimp.org jest dostępny bezpośrednio z sieci TP i pies z kulawą nogą
> tego nie zauważył?

A co? Mamy Jaśnie Pana po rękach całować za naprawienie tego, co się
popsuło?

Kanapeczkę poproszę. Przegryzę, bo jako abstynent Twojego "sukcesu"
opić nie mogę.

[... bufonada ...]

--
Best regards,
RoMan mailto:r...@p...pl

do góry

r...@g...com wrote:
> Teraz, panowie ircoperatorzy, światła na Was. Chodzą słuchy na
> mieście, że jest duże zainteresowanie rozwiązaniem problemu, trzeba
> sobie tylko porozumieć co do paru szczegółów, na przykład takich, że
> RBL, który udostępnił efnet właśnie dlatego może pomóc, że jest pewnie
> RBLem właśnie - a nie listą kontrolerów i ich proxy (bo co to za
> pożytek, żeby zobaczyć się na liście, na której się jest w sposób dość
> oczywisty), a lista, którą otrzymaliście od nas przyda się na przykład
> po to, żeby samemu takim proxy się nie stać.

Gwoli ścisłości to zainteresowanie jest, bo szkoda użytkowników, ale listy
żadnej nie dostaliśmy. I istotnie nie jesteśmy zbytnio zainteresowani listą
kontrolerów, tylko listą adresów IP botów, które się do nas podłączają chcąc
na wykorzystać jako C&C.
Wcale nie jestem przekonany, że te adresy zawsze są w tym RBL-u, ale jeśli
tak, to tym lepiej, chodzi od dwóch dni, to za pięć będziemy mieć zerową
punktację w magicznej bazie.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal

do góry

On 7 Sty, 23:03, RoMan Mandziejewicz <r...@p...pl> wrote:

> A co? Mamy Jaśnie Pana po rękach całować

Ja to sobie akurat potrafię wyobrazić, ale po takiej akcji na polipie
byłbyś skończony ;D

R.

do góry

Piotr KUCHARSKI <c...@s...waw.pl> writes:

> Wcale nie jestem przekonany, że te adresy zawsze są w tym RBL-u, ale jeśli
> tak, to tym lepiej, chodzi od dwóch dni, to za pięć będziemy mieć zerową
> punktację w magicznej bazie.

Tyle ze od tego, to sie powinno wszystko chyba zaczac...
No ale nic, pozostaje miec nadzieje ze przynajmniej na tym sie moze
nie skonczy, ale ustabilizuje, czego Wam wszystkim i sobie zreszta
takze zycze.
--
Krzysztof Halasa

do góry

Krzysztof Halasa <k...@p...waw.pl> wrote:
>> Wcale nie jestem przekonany, że te adresy zawsze są w tym RBL-u, ale jeśli
>> tak, to tym lepiej, chodzi od dwóch dni, to za pięć będziemy mieć zerową
>> punktację w magicznej bazie.
> Tyle ze od tego, to sie powinno wszystko chyba zaczac...

Powinno, ale nie zaczęło, trudno. Może następnym razem.
Za to na maile odpowiadają i są chętni współpracować, więc damy radę.

p.

--
Beware of he who would deny you access to information, for in his
heart he dreams himself your master. -- Commissioner Pravin Lal

do góry

ru <t...@g...com> wrote:
> On Jan 6, 8:51 am, robert jakub <r...@r...org.pl> wrote:
>>   oj, mam wrazenie jakbym czytal wypowiedzi McColo... dlaczego nas
>>   odcieliscie, tracimy duzo kasy na tym, ze nas blokujecie. naszym
>>   zrodlem dochodu jest kontrolowanie botnetow i wysylanie spamu
>>   czy ddos. ((-;
> No cóż, nie jestem w stanie Ci udowodnić, że tak nie jest (tak samo,
> jak Ty nie jesteś w stanie udowodnić, że tak jest).

Ale ja jestem.

> Chciałęm tylko informację, jak w praktyce wyglądała ta "działalność"
> mojego hosta, która uznana została za stwarzanie niebezpieczeństwa.

Proszę, informacja o którą prosiłeś:

"89.248.166.198",6667,"#xxx","PL","-","-","-",29073,
"ECATEL","AS AS29073, Ecatel Network"
"89.248.166.198",6667,"#c0d3d","PL","-","-","-",2907
3,"ECATEL","AS AS29073, Ecatel Network"

Raporty o kanałach, na których siedziały botnety (tylko z _jednego dnia_).


Ponc
--
Kto misiowi urwał ucho?

do góry

On Jan 8, 3:19 pm, Tomasz Piłat <p...@i...pl> wrote:
> > No cóż, nie jestem w stanie Ci udowodnić, że tak nie jest (tak samo,
> > jak Ty nie jesteś w stanie udowodnić, że tak jest).
>
> Ale ja jestem.
>
> > Chciałęm tylko informację, jak w praktyce wyglądała ta "działalność"
> > mojego hosta, która uznana została za stwarzanie niebezpieczeństwa.
>
> Proszę, informacja o którą prosiłeś:
>
> "89.248.166.198",6667,"#xxx","PL","-","-","-",29073,
"ECATEL","AS AS29073, Ecatel Network"
> "89.248.166.198",6667,"#c0d3d","PL","-","-","-",2907
3,"ECATEL","AS AS29073, Ecatel Network"
>
> Raporty o kanałach, na których siedziały botnety (tylko z _jednego dnia_).

Sigh, nie zrozumieliśmy się. Ja gdzieś tam na górze wspominałem, że ja
*nie jestem* rootnode. Nienienie, proszę, ja mam hosta w OVH i to tam
jest problem! Od początku to pisałem! ;-P Podawałem nawet mój numer
zgłoszenia do TPCERTu (tam jest wszystko), ale dobra - niech będzie.
Postnę publicznie tego IPka: 91.121.108.58.
*To* jest adres, który jest podobnoż problemem.

I tak jeszcze między nami, ktoś jednak w payload chyba zagląda, skoro
nazwy kanałów są znane. ;-) Chyba, że z każdą siecią firmy te walczą
ręcznie i przeszukują IRCd pod kątem "dziwnych" kanałów. ;-)

W każdym razie, zdążyłem już z desperacji zaczepić na jednym z
kontroleró^W^W^Wircu Andrzeja Karpińskiego (ktoś na wcześniej w wątku
wspominał, że warto ;-)), który zdecydował się mi pomoc. Póki co,
czekam na jakieś informacje, niemniej - Andrzeju - dziękuję. Po
miesiącu w końcu światełko w tunelu.

Pozdrawiam,
--
ru

do góry