Re: server irc ddosnetu - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › server irc ddosnetu › Re: server irc ddosnetu

Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Dominik 'Rathann' Mierzejewski <d...@u...rangers.eu.org>
Newsgroups: pl.internet.polip
Subject: Re: server irc ddosnetu
Date: Sun, 4 Nov 2007 19:40:05 +0000 (UTC)
Organization: Greysector
Lines: 80
Sender: Dominik Mierzejewski <r...@r...greysector.net>
Message-ID: <fgl76l$t9n$1@onizuka.greysector.net>
References: <fgl3q1$sfi$1@inews.gazeta.pl>
NNTP-Posting-Host: onizuka.greysector.net
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1194206536 29196 83.15.203.171 (4 Nov 2007 20:02:16 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Sun, 4 Nov 2007 20:02:16 +0000 (UTC)
X-User: rathann
User-Agent: tin/1.8.2-20060425 ("Shillay") (UNIX) (Linux/2.6.23.1-10.fc7 (x86_64))
Xref: news-archive.icm.edu.pl pl.internet.polip:83499
[ ukryj nagłówki ]
Date: Sun, 04 Nov 2007 19:42:09 +0100
From: Piotr
> Witam,

> Kawal czasu monitoruje zachowanie komputerow klientow - zombies, ktore
> probuja laczyc sie z hostem pod adresem irc.swpower-team.net. Po
> nawiazaniu polaczenia zaczynaja skanowac cale sieci (polecenie
> umieszczone w temacie kanalu), do ktorych sa dolaczone. Oczywiscie od
> czasu do czasu biora udzial w atakach ddos.

> Co ciekawe, wszystko opiera sie na adresie irc.swpower-team.net, dla
> ktorego wpis IN A sie zmienia, po moich doniesieniach do abuse@CERT oraz
> abuse ISP, do ktorego nalezy adres IP serwera irc.

> Dysponuje calym procesem logowania do takiego serwera (kanal, haslo),
> jednak nie publikuje go, ze wzgledu na to, ze jakis scriptkiddie moglby
> to wykorzystac. Na jego postawie mozna spokojnie wbic sie na kanal, na
> ktorym siedza zombies.

> Moje pytanie brzmi: czy mozna jakos dobrac sie do wlasciciela domeny i
> wymusic zablokowanie?

Wg whois:
$ jwhois swpower-team.net
[Querying whois.verisign-grs.com]
[Redirected to whois.melbourneit.com]
[Querying whois.melbourneit.com]
[whois.melbourneit.com]

Domain Name.......... swpower-team.net
Creation Date........ 2006-12-12
Registration Date.... 2006-12-12
Expiry Date.......... 2007-12-12
Organisation Name.... ADRIAN TOMS
Organisation Address. 1 THIRD AVENUE BROWNHILLS
Organisation Address.
Organisation Address. WEST MIDLANDS
Organisation Address. WS86JL
Organisation Address. none
Organisation Address. UNITED KINGDOM

Admin Name........... ADRIAN TOMS
Admin Address........ 1 THIRD AVENUE BROWNHILLS
Admin Address........
Admin Address........ WEST MIDLANDS
Admin Address........ WS86JL
Admin Address........ none
Admin Address........ UNITED KINGDOM
Admin Email.......... t...@y...com
Admin Phone.......... +1.079071399395
Admin Fax............

Tech Name............ YahooDomains TechContact
Tech Address......... 701 First Ave.
Tech Address.........
Tech Address......... Sunnyvale
Tech Address......... 94089
Tech Address......... CA
Tech Address......... UNITED STATES
Tech Email........... d...@Y...COM
Tech Phone........... +1.6198813096
Tech Fax.............
Name Server.......... ns1.everydns.net
Name Server.......... ns2.everydns.net

O ile dobrze pamiętam, to nie wolno używać adresów @yahoo.com jako adresów
kontaktowych. Adres pocztowy chyba jest prawdziwy (kod pocztowy zgadza się
z adresem, chociaż powinno być Walsall, a nie Brownhills). Warto by
sprawdzić, czy podany osobnik mieszka pod takim adresem. Telefon (Admin
Phone) się nie zgadza, bo kierunkowy do Brownhills to 01543, a do Walsall
01922. Zresztą w ogóle jest dziwny, bo prefiks kraju ma +1, czyli USA,
a w USA nie ma kierunkowego 079. Z tymi danymi można zgłosić registrarowi,
że rejestrujący podał nieprawdziwe dane.

Pozdrawiam,
R.

--
"I've always wanted to be an executioner, that's why I became a sysadmin."
-- Jim Howes at news.admin.net-abuse.email