Lukasz Trabinski <l...@t...nospam.net> writes:

> No bez jaj. Raczej jest dosyć łatwo namierzalne to, jak ci wszystkie maszyny
> (zarażone) z klasy /11 nagle usiłują się komunikowac z jednym /32 i
> portem 6667 tegoż.

Moment, problem jest z zarazonymi maszynami czy z tym /32? Jesli /32
jest niewinny to moze nalezaloby wyciac tych zarazonych?

Tyle ze zarazeni sa klientami, no jasne, klientow nie wypada.
--
Krzysztof Halasa

do góry

On Wed, 31 Dec 2008 14:33:25 +0100, Lukasz Trabinski
<l...@t...nospam.net> wrote:
> W sumie, punkt widzenia, zależy od punktu siedzenia
Punkt widzenia jest taki, że komunikacja botnetów zostanie zmodernizowana
o jakiś SSL i wszystko wróci do normy. Może jeszcze jakiś protokół P2P
zostanie zapożyczony do wyeliminowania centralnego punktu. Niezależnie od
powyższych oczywiście takie praktyki spowodują, że botów ubędzie...w
fantazjach zrodzonych w czyjejś naiwnej głowie. Będzie łatwiej tcpdumpować
szyfrowane połączenia między dwoma botami, niż nieszyfrowane połączenia
między botem a serwerem IRC. Zamiast wykorzystać czyjąś głupotę, że
zdecydował się botnety opierać o IRC i usunąć tę osobę ze społeczeństwa,
daje jej się jasny sygnał, że to nie był dobry pomysł i trzeba to zmienić.
Fajne.

> a w tym wypadku i doświadczenia.
Tak, wyraźnie ktoś nie ma doświadczenia. Nie potrafi też się uczyć na
cudzych błędach. Oprogramowanie P2P ma imponującą ilość funkcji
zabezpieczających tylko i wyłącznie przed ograniczaniem/filtrowaniem
połączeń przez różnych ISP - wszelkie próby ograniczania tego co można
robić z łączem z Internetem (które nie jest łączem do tego co akurat
operatorowi pasuje, jak niektórym się tutaj wydaje, tylko łączem z
Internetem) prowadzą tylko do obejścia tych pomysłów, i zabezpieczenia się
przed takimi próbami w przyszłości. Ciekawe komu najbardziej przypasuje
stan rzeczy, gdy każdy pakiet wychodzący z komputera będzie routowany
przez 2 inne losowe komputery, a wcześniej szyfrowany end-to-end. Będzie
się wtedy fajnie wycinać różne /32 oraz wychwytywać w takiej sieczce
pakiety odpowiedzialne akurat za komendy dla bota. Ale może to i lepiej...

Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32 z
których łączą się boty i interweniować u właściciela komputera, skoro już
za trudne jest podejście indywidualne do wspomnianych dwóch dzieciaków i
namierzenie skąd się łączą ci komendodawcy. Wątpię, żeby to były więcej
niż dwie-trzy zahackowane maszyny po drodze. Ale spoko, sami do tego dojdą
mędrcy od filtrów, bo tylko to im zostanie po takich akcjach - w końcu
nikt nie porzuci łatwo zajęcia, które przynosi im pieniądze; zaczną je
zwyczajnie wykonywać lepiej, skoro prościej przestało już wystarczać.

(Jeszcze proponuję tak samo zacząć walczyć ze spamem - odcinać adresatów)

do góry

On Wed, 31 Dec 2008 14:47:59 +0100, ru <t...@g...com> wrote:
> Póki co, spotkałem się raczej z tymi pierwszymi, czyli ci drudzy albo
> siedzą cicho i liżą rany, albo po prostu jest ich mniej.
Jest ich zdecydowanie mniej, bo IRC jest już raczej niszowym protokołem.
Nie jest to w żadnym wypadku uzasadnienie, by wycinać serwery IRC, bo ktoś
ich używa do wydawania komend botom. Zresztą jest to na dłuższą metę
bezcelowe i skończy się tylko przedwczesną eutanazją IRC oraz ewolucją
botnetów.

do góry

Paweł Tyll <...@w...75.pl> writes:

> Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32 z
> których łączą się boty i interweniować u właściciela komputera, skoro
> już za trudne jest podejście indywidualne do wspomnianych dwóch
> dzieciaków i namierzenie skąd się łączą ci komendodawcy. Wątpię, żeby
> to były więcej niż dwie-trzy zahackowane maszyny po drodze. Ale
> spoko, sami do tego dojdą mędrcy od filtrów, bo tylko to im zostanie
> po takich akcjach - w końcu nikt nie porzuci łatwo zajęcia, które
> przynosi im pieniądze; zaczną je zwyczajnie wykonywać lepiej, skoro
> prościej przestało już wystarczać.
>
> (Jeszcze proponuję tak samo zacząć walczyć ze spamem - odcinać adresatów)

Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
tak samo jak robia to z portami "windowsowymi").

Widocznie to nie o to chodzi. Watpie czy dla TPSA spam lub walka z nim
ma jakiekolwiek znaczenie.
--
Krzysztof Halasa

do góry

On Thu, 01 Jan 2009 03:31:53 +0100, Krzysztof Halasa <k...@p...waw.pl> wrote:
> Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
> w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
> tak samo jak robia to z portami "windowsowymi").
Porty windowsowe nie mają praktycznie żadnego sensownego zastosowania.
Port 25 jak najbardziej. W makroskali trudno jest rozsądnie wyciąć port 25
(czyli ograniczyć do 5 różnych IP w skali 24 godzin).

> Widocznie to nie o to chodzi. Watpie czy dla TPSA spam lub walka z nim
> ma jakiekolwiek znaczenie.
Na pewno ma, ale nieobsługiwanie tysięcy zgłoszeń o treści 'port 25 mi nie
działa' ma widać większe ;)

do góry

Hello Krzysztof,

Thursday, January 1, 2009, 3:31:53 AM, you wrote:

[...]

> Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
> w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
> tak samo jak robia to z portami "windowsowymi").

Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
użytkownicy, korzystający z normalnych programów pocztowych.

[...]

--
Best regards,
RoMan mailto:r...@p...pl

do góry

On Thu, 2009-01-01 at 11:09 +0100, RoMan Mandziejewicz wrote:
> Hello Krzysztof,
>
> Thursday, January 1, 2009, 3:31:53 AM, you wrote:
>
> [...]
>
> > Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
> > w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
> > tak samo jak robia to z portami "windowsowymi").
>
> Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
> zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
> użytkownicy, korzystający z normalnych programów pocztowych.

Ale robisz to świadomie, więc możesz zadziałać i użyć portu 587 do
nadawania poczty (dostęp wyłącznie po uwierzytelnieniu) lub powiedzieć
operatorowi "wiem co robię i możecie mi urywać jaja jeśli zacznę
rozsyłać spam, a teraz zdejmijcie mi filtr" - oczywiście wszystko
automatycznie (po dodaniu czegoś do loginu ppp, kliknięciu w jakiś panel
itp).
I problemu nie ma - Tobie działa, dzieci neostrady spamu nie rozsyłają.

Jacek

do góry

Osoba Jacek Zapala napisała na pl.internet.polip:

> powiedzieć
> operatorowi "wiem co robię i możecie mi urywać jaja jeśli zacznę
> rozsyłać spam, a teraz zdejmijcie mi filtr" - oczywiście wszystko
> automatycznie (po dodaniu czegoś do loginu ppp, kliknięciu w jakiś
> panel itp).
> I problemu nie ma - Tobie działa, dzieci neostrady spamu nie
> rozsyłają.

To wszystko staje na głowie. Dostęp do Internetu ma być domyślnie
dostępem do Internetu, a nie do HTTP i gg jak ktoś już powiedział. Jak
ktoś sobie chce zablokować w panelu "niebezpieczne" porty to sobie tak
może zrobić, ale to ma być opcja.

Ciekawe że w multimo dzwonią do klientów rozsyłających spam i nie ma
żadnych kretyńskich blokad.

Na radiówce za to był natychmiastowy automatyczny ban na Internet i
informacja w przeglądarce.

Tylko tepsa ma użytkowników za idiotów.

--
Pozdrawiam
Marcin Kocur
http://linux-porady.info - Linux od A do B :]

do góry

Hello Jacek,

Thursday, January 1, 2009, 11:27:21 AM, you wrote:

>>> Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
>>> w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
>>> tak samo jak robia to z portami "windowsowymi").
>> Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
>> zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
>> użytkownicy, korzystający z normalnych programów pocztowych.
> Ale robisz to świadomie, więc możesz zadziałać i użyć portu 587 do

Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
używam. To standardowy port.

> nadawania poczty (dostęp wyłącznie po uwierzytelnieniu) lub powiedzieć
> operatorowi "wiem co robię i możecie mi urywać jaja jeśli zacznę
> rozsyłać spam, a teraz zdejmijcie mi filtr"

Nie - to operator ma obowiązek się mnie grzecznie zapytać, czy sobie
życzę blokady portu. To on jest dla mnie a nie ja dla niego.

[...]

--
Best regards,
RoMan mailto:r...@p...pl

do góry

On Thu, 1 Jan 2009 13:11:31 +0100, RoMan Mandziejewicz wrote:

> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
> ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
> używam. To standardowy port.

Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).
A model funkcjonowania SMTP (praktycznie bez rozróżnienia komunikacji
serwer-serwer i klient-serwer) już dawno stał się przestarzały.

--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

do góry