przejrzyjcie logi ze swoich firewalli pod katem polaczen wychodzacych
do 68.205.140.98:9263. wyglada na to, ze jest to jedna z wiekszych
sieci ddosowych, jakie dotychczas widzialem. wsrod komputerow w swojej
osiedlowce (140) az 9 utrzymywalo polaczenia z tym serwerem i
reagowalo na komendy rozpoczecia synflooda.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Przemyslaw Frasunek wrote:
> przejrzyjcie logi ze swoich firewalli pod katem polaczen wychodzacych
> do 68.205.140.98:9263. wyglada na to, ze jest to jedna z wiekszych
> sieci ddosowych, jakie dotychczas widzialem. wsrod komputerow w swojej
> osiedlowce (140) az 9 utrzymywalo polaczenia z tym serwerem i
> reagowalo na komendy rozpoczecia synflooda.
>

co ciekawe netia blokuje ten adres:

2. 83.238.43.121 0.0% 10 41.3 40.9 15.0 109.3
27.5
3. 81.210.15.225 0.0% 10 21.5 28.3 21.5 34.8
4.7
4. StarH001RT01-WarsH001RT05.in 0.0% 10 35.8 60.9 29.3 83.1
17.5
5. 213.241.1.54 0.0% 10 98.6 97.9 70.2 136.7
23.5
6. ??? 100.0 10 0.0 0.0 0.0 0.0
0.0

a z tpnetu mozna sie tam dostac.

do góry

Przemyslaw Frasunek <v...@f...lublin.pl> napisał(a):
> przejrzyjcie logi ze swoich firewalli pod katem polaczen wychodzacych
> do 68.205.140.98:9263. wyglada na to, ze jest to jedna z wiekszych
> sieci ddosowych, jakie dotychczas widzialem. wsrod komputerow w swojej
> osiedlowce (140) az 9 utrzymywalo polaczenia z tym serwerem i
> reagowalo na komendy rozpoczecia synflooda.

Zalożyłem aclke i zero ruchu się łapie. Coś chyba Poznania nie lubią :)

--
Bartosz Waszak <w...@i...icpnet.pl>
ICP network administrator, nic-hdl: BW175-RIPE
GPG Fingerprint: 4A1 7DE9 0B84 536A 3872 A2B1 33FC D021 E6BD AF86

do góry

kamil kapturkiewicz wrote:
> a z tpnetu mozna sie tam dostac.

wyslalem informacje o zdarzeniu do polskiego CERTu. dzisiaj juz nie dziala
ircserwer na tej maszynie:

# telnet 68.205.140.98 9263
Trying 68.205.140.98...
telnet: connect to address 68.205.140.98: Connection refused

nie wiem, czy to ich zasluga, ale jesli tak, to milo, ze tak szybko zareagowali.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

Przemyslaw Frasunek wrote:
> # telnet 68.205.140.98 9263
> Trying 68.205.140.98...
> telnet: connect to address 68.205.140.98: Connection refused

huhm, zombie ode mnie z sieci przerzucily sie na: 69.164.213.38:9263

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com/ ** NICHDL: PMF9-RIPE *
* JID: v...@j...atman.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ8JIV *

do góry

.::On Mon, 21 Mar 2005 22:45:22 +0100, in <d1nfhv$jkj$3@nemesis.news.tpi.pl>
.::Przemyslaw Frasunek <v...@f...lublin.pl> wrote:
> huhm, zombie ode mnie z sieci przerzucily sie na: 69.164.213.38:9263

telnet 69.164.213.38 9263
Trying 69.164.213.38...
telnet: connect to address 69.164.213.38: Connection refused
telnet: Unable to connect to remote host

z tepsy.

--
mailto:http://cerbermail.com/?cbnAsx515H::gg#23475::
Toread@IRCNet
" Before I was a Discordian, I used to be afraid of my own shadow. Ah, but
now my shadow is afraid of me!"

do góry

Przemyslaw Frasunek wrote:

> Przemyslaw Frasunek wrote:
>
>># telnet 68.205.140.98 9263
>>Trying 68.205.140.98...
>>telnet: connect to address 68.205.140.98: Connection refused
>
>
> huhm, zombie ode mnie z sieci przerzucily sie na: 69.164.213.38:9263
>

tego juz w netii nie blokuja:

telnet 69.164.213.38 9263
Trying 69.164.213.38...
Connected to 69.164.213.38.
Escape character is '^]'.
:irc3.DiasNetwork2.org NOTICE AUTH :*** Looking up your hostname...
:irc3.DiasNetwork2.org NOTICE AUTH :*** Found your hostname

do góry

kamil kapturkiewicz wrote:

> Przemyslaw Frasunek wrote:
>
>> Przemyslaw Frasunek wrote:
>>
>>> # telnet 68.205.140.98 9263
>>> Trying 68.205.140.98...
>>> telnet: connect to address 68.205.140.98: Connection refused
>>
>>
>>
>> huhm, zombie ode mnie z sieci przerzucily sie na: 69.164.213.38:9263
>>
>
> tego juz w netii nie blokuja:
>
> telnet 69.164.213.38 9263
> Trying 69.164.213.38...
> Connected to 69.164.213.38.
> Escape character is '^]'.
> :irc3.DiasNetwork2.org NOTICE AUTH :*** Looking up your hostname...
> :irc3.DiasNetwork2.org NOTICE AUTH :*** Found your hostname

i nawet jeden zombiak ode mnie z sieci siedzi tam i slucha.

do góry

Przemyslaw Frasunek <v...@f...lublin.pl> wrote:

> huhm, zombie ode mnie z sieci przerzucily sie na: 69.164.213.38:9263

Podaj kanał. Czasami taki botnet (najczęściej oparty na sdbotach) można
zniszczyć od środka. BTW, widzę że niektóre komendy (list, links) są
zablokowane niezgodnie z RFCs (nie zwracają nic) a nowe kanały przy
joinowaniu mają ustawiane flagi +smntu, więc pewnie przerobili tego
unreala.

--
Adam Wysocki * www.gophi.rotfl.pl * GG: 1234 * Fidonet: 2:480/127.21

do góry

Przemyslaw Frasunek <v...@f...lublin.pl> wrote:

> huhm, zombie ode mnie z sieci przerzucily sie na: 69.164.213.38:9263

Podaj kanał. Czasami taki botnet (najczęściej oparty na sdbotach, bywa
że przerobionych - kiedyś spotkałem sdboty, które reagowały tylko na
zakodowane polecenia) można zniszczyć od środka (czasami każąc botowi
się usunąć, czasami upgradnąć, możliwości bywa wiele a możliwe, że te
boty nie słuchają tylko konkretnych user@hostów). BTW, widzę że niektóre
komendy (list, links) są zablokowane niezgodnie z RFCs (nie zwracają
nic) a nowe kanały przy joinowaniu mają ustawiane flagi +smntu, więc
pewnie przerobili tego unreala.

--
Adam Wysocki * www.gophi.rotfl.pl * GG: 1234 * Fidonet: 2:480/127.21

do góry