Witam,

Kawal czasu monitoruje zachowanie komputerow klientow - zombies, ktore
probuja laczyc sie z hostem pod adresem irc.swpower-team.net. Po
nawiazaniu polaczenia zaczynaja skanowac cale sieci (polecenie
umieszczone w temacie kanalu), do ktorych sa dolaczone. Oczywiscie od
czasu do czasu biora udzial w atakach ddos.

Co ciekawe, wszystko opiera sie na adresie irc.swpower-team.net, dla
ktorego wpis IN A sie zmienia, po moich doniesieniach do abuse@CERT oraz
abuse ISP, do ktorego nalezy adres IP serwera irc.

Dysponuje calym procesem logowania do takiego serwera (kanal, haslo),
jednak nie publikuje go, ze wzgledu na to, ze jakis scriptkiddie moglby
to wykorzystac. Na jego postawie mozna spokojnie wbic sie na kanal, na
ktorym siedza zombies.

Moje pytanie brzmi: czy mozna jakos dobrac sie do wlasciciela domeny i
wymusic zablokowanie?

do góry

Date: Sun, 04 Nov 2007 19:42:09 +0100
From: Piotr
> Witam,

> Kawal czasu monitoruje zachowanie komputerow klientow - zombies, ktore
> probuja laczyc sie z hostem pod adresem irc.swpower-team.net. Po
> nawiazaniu polaczenia zaczynaja skanowac cale sieci (polecenie
> umieszczone w temacie kanalu), do ktorych sa dolaczone. Oczywiscie od
> czasu do czasu biora udzial w atakach ddos.

> Co ciekawe, wszystko opiera sie na adresie irc.swpower-team.net, dla
> ktorego wpis IN A sie zmienia, po moich doniesieniach do abuse@CERT oraz
> abuse ISP, do ktorego nalezy adres IP serwera irc.

> Dysponuje calym procesem logowania do takiego serwera (kanal, haslo),
> jednak nie publikuje go, ze wzgledu na to, ze jakis scriptkiddie moglby
> to wykorzystac. Na jego postawie mozna spokojnie wbic sie na kanal, na
> ktorym siedza zombies.

> Moje pytanie brzmi: czy mozna jakos dobrac sie do wlasciciela domeny i
> wymusic zablokowanie?

Wg whois:
$ jwhois swpower-team.net
[Querying whois.verisign-grs.com]
[Redirected to whois.melbourneit.com]
[Querying whois.melbourneit.com]
[whois.melbourneit.com]

Domain Name.......... swpower-team.net
Creation Date........ 2006-12-12
Registration Date.... 2006-12-12
Expiry Date.......... 2007-12-12
Organisation Name.... ADRIAN TOMS
Organisation Address. 1 THIRD AVENUE BROWNHILLS
Organisation Address.
Organisation Address. WEST MIDLANDS
Organisation Address. WS86JL
Organisation Address. none
Organisation Address. UNITED KINGDOM

Admin Name........... ADRIAN TOMS
Admin Address........ 1 THIRD AVENUE BROWNHILLS
Admin Address........
Admin Address........ WEST MIDLANDS
Admin Address........ WS86JL
Admin Address........ none
Admin Address........ UNITED KINGDOM
Admin Email.......... t...@y...com
Admin Phone.......... +1.079071399395
Admin Fax............

Tech Name............ YahooDomains TechContact
Tech Address......... 701 First Ave.
Tech Address.........
Tech Address......... Sunnyvale
Tech Address......... 94089
Tech Address......... CA
Tech Address......... UNITED STATES
Tech Email........... d...@Y...COM
Tech Phone........... +1.6198813096
Tech Fax.............
Name Server.......... ns1.everydns.net
Name Server.......... ns2.everydns.net

O ile dobrze pamiętam, to nie wolno używać adresów @yahoo.com jako adresów
kontaktowych. Adres pocztowy chyba jest prawdziwy (kod pocztowy zgadza się
z adresem, chociaż powinno być Walsall, a nie Brownhills). Warto by
sprawdzić, czy podany osobnik mieszka pod takim adresem. Telefon (Admin
Phone) się nie zgadza, bo kierunkowy do Brownhills to 01543, a do Walsall
01922. Zresztą w ogóle jest dziwny, bo prefiks kraju ma +1, czyli USA,
a w USA nie ma kierunkowego 079. Z tymi danymi można zgłosić registrarowi,
że rejestrujący podał nieprawdziwe dane.

Pozdrawiam,
R.

--
"I've always wanted to be an executioner, that's why I became a sysadmin."
-- Jim Howes at news.admin.net-abuse.email

do góry

Dnia Sun, 04 Nov 2007 19:42:09 +0100, Piotr napisał(a):

> Witam,
(...)
> Moje pytanie brzmi: czy mozna jakos dobrac sie do wlasciciela domeny i
> wymusic zablokowanie?

Wejdź na kanał i zapodaj ddos na adres irc.swpower-team.net :)

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry