|
TwojePC.pl © 2001 - 2024
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
[OT]Internet Cafe, naduzycie w sieci, zdarzenia P2.49117/1 , Liu CAs 30/12/02 15:31
Kumpel, ktory prowadzi kawiarenke internetowa, dostal od TPSA pismo nastepujacej tresci:
...
Dotyczy: stwierdzonych naduzyc w sieci poprzez dostep z wykorzystaniem przydzielonych adresow IP - zdarzenia P2.49117/1
Informujemy niniejszym, ze w wyniku kontroli zgloszenia incydentu stwierdzono, ze Panstwa Firma - poprzez przydzielony adres IP xxx.xxx.xxx.xxx, stanowila zrodlo lub posredniczyla w incydentach naruszajacych bezpieczenstwo oraz ogolne przyjete zasady postepowania i wymiany informacji w sieciach teleinformatycznych.
W przypadku ponownego stwierdzenia zdarzen naruszajacych bezpieczenstwo sieci telekomunikacyjnej wygenerowanych z ww. adresu IP, Telekomunikacja Polska SA na podstawie Regulaminu swiadczenia uslugi bedzie zmuszona dokonac jego zablokowania.
Wobec powyzszego prosimy o wyciagniecie konsekwencji wobec sprawcow naduzycia i podjecie zdecydowanych dzialan majacych zapobiec podobnym incydentom w sieci.
Ponadto przypominamy, ze ogolne zasady dzialania Telekomunikacji Polskiej SA w zakresie zepewnienia bezpieczenstwa sieci oraz obowiazujace w tym zakresie przepisy prawne znalezc mozna na stronach http://www.tpnet.pl/abuse.php.
...
Zalacznik: list administratora zglaszajacego zdarzenie.
...
Temat: FW: (2P 49117) Unauthorized activity from host xxx.xxx.xxx.xxx
From:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Send: Wednesday, December 04, 2002 5:33PM
TO: xxx
CC: Cento de Atendimento a Incedents de Seguraca
Subject: (2P 49117) Unauthorized activity from host xxx.xxx.xxx.xxx
We detected a scan on port 3128 (usually ndl-ass squid-proxy) from host xxx.xxx.xxx.xxx
to network yyy.yyy.yyy.yyy currently under our responsibility.
The scans are shown in the logs below (GMT-2).
Nov 29 17:52:57 polaris 2408349: Nov 29 17:52:56 GMT-2: %SEC-6-IPACCESSLOGP: list 101 denied tcp xxx.xxx.xxx.xxx(14437)-> yyy.yyy.yyy.yyy(3128), 1 packet
Nov 29 18:14:16 polaris 2409431: Nov 29 18:14:14 GMT-2: %SEC-6-IPACCESSLOGP: list 101 denied tcp xxx.xxx.xxx.xxx(23110)-> yyy.yyy.yyy.yyy(3128), 1 packet
Nov 29 18:56:42 polaris 2411544: Nov 29 18:56:41 GMT-2: %SEC-6-IPACCESSLOGP: list 101 denied tcp xxx.xxx.xxx.xxx(5440)-> yyy.yyy.yyy.yyy(3128), 1 packet
Nov 29 18:56:51 polaris 2411551: Nov 29 18:56:50 GMT-2: %SEC-6-IPACCESSLOGP: list 101 denied tcp xxx.xxx.xxx.xxx(5440)-> yyy.yyy.yyy.yyy(3128), 1 packet
...
Nov 30 03:05:47 polaris 2434563: Nov 30 03:05:46 GMT-2: %SEC-6-IPACCESSLOGP: list 101 denied tcp xxx.xxx.xxx.xxx(28155)-> yyy.yyy.yyy.yyy(3128), 1 packet
W zwiazku z tym mam kilka pytan, glownie do wlascicieli kawiarenek (Holek) i administratorow sieci:
Co mozna z tym zrobic ?
Co jesli to sie powtorzy ?
Jak mozna sie bronic przed podobnymi incydentami ?
Jakies uwagi ?
Z gory dzieki.
Pozdro
Liu CAs-= parówkowym skrytożercom,
mowimy NIE =- - hę? , bwana 30/12/02 15:47
"[...]Wobec powyzszego prosimy o wyciagniecie konsekwencji wobec sprawcow naduzycia [...]" Co ma znaczyc wyciagniecie konsekwencji? To chyba nieco przesadzone roszczenie, provider/wlasciciel cafe nie maja chyba uprawnien do "wymierzania kary"?"you don't need your smile when I cut
your throat" - jak nie jak tak , glewik 30/12/02 15:53
np. zakazac takowemu klientowi wstepu do kawiarenki.Pełnie bytu osiągniemy w nicości
istenienia. /glewik - już widzę... , XTC 30/12/02 16:51
ten tłum złośników robiących:
telnet cośtamcośtam 3128 ;)Linux - jak tak jak nie - bedzie szczegolowo;) , bwana 30/12/02 22:31
Sytuacja wyglada nastepujaco:
sa trzy podmioty: Wlasciciel kafejki, Gosc kafejki, ktory niuchal, Tepsa.
Albo Wlasciciel i Gosc sa wspolwinni - wtedy nie ma mowy o ich wzajemnym wyciaganiu konsekwencji, ponosza je oba podmioty w stosunku do TPSA
Albo tez winien jest Wlasciciel cafe i to on ponosi konsekwencje i Tepsie nic do tego, co Wlasciciel "zrobi" swojemu Gosciowi "hakierowi":)
Albo jeszcze - winien jest Gosc kafejki, wtedy Tepsa pociaga go do odpowiedzialnosci sama, bez posrednictwa Wlasciciela kafejki (chyba, ze w roli swiadka)
Niezaleznie od tego, jak w swietle prawa wyglada sytuacja, przy zadnym z przedstawionych scenariuszy Tepsa nie moze formalnie wywierac naciskow na Wlasciciela by ukaral Goscia, wiec formulowanie listu w taki sposob jak mialo to miejsce jest w moim odczuciu naduzyciem."you don't need your smile when I cut
your throat"
- a jakby z tej kawiarenki wysyłał , Yosarian 30/12/02 21:04
polecenie ping czy tracert to chyba tez byłby taki efekt "scanowania portu"All the best people in life seem to like
LINUX.
Steve Wozniak
- dla mnie ten post... , Holek 30/12/02 22:58
to jedna wielka kupa smiechu - przeciez gdzie tu widac jakis dowod nadurzycia?
jakie skany portu? przeciez taki efekt moze wywolac zle, przypadkowe ustawienie proxy w explorerze(!?)
dupa maryna, a nie wyciagnie konsekwencji - po prostu totalny ignor i olewka, nawet bym na to nie odpisal!"...here I am on The Road again..." - wedlug mnie , Liu CAs 31/12/02 18:17
to tez kompletna bzdura, ale coz taka durna jest nasza "ukochana" tPSA i tyle.-= parówkowym skrytożercom,
mowimy NIE =-
- Nie olewac! , guma 31/12/02 01:00
Po to jest abuse zeby ucinac takie praktyki. Nie mowie ze akurat cos zlego robiles, ale rownie dobrze moglby to by byc jakis robal skanujacy cale klasy IP. Tyle ze niektorzy administratorzy sa nadgorliwi, najpierw sprawe trzeba zalatwic z wlascicielem danej klasy, wpisy do kogo pisac maile sa w ripe. Jezeli to nie przynosi skutku to dopiero abuse danego providera. Ja wiekszosc takich skanow olewam lub blokuje ruch na porty ktore byly skanowane z ip ktore mnie skanowaly.
Holek: ciekawe co robisz jak ci dziennie przeleci po serwerze 30 skanow roznej masci. Olewasz ?
pozdrawiam- jesli te... , Holek 31/12/02 01:45
30 skanow skierowanych zostanie na port 3128 na ktorym chodzi mi squid to spuszcze je na /dev/null - bo i co mi grozi? najwyzej sie squid wywali i podniesie za chwilke (taki to on juz zdolny)
Jesli bedzie to 3000 to zaczne sie zastanawiac skad one - a z tego, co widac w zalaczonym logu - to byly sporadyczne przypadki...
chyba, ze przypadek drugi - gosc puszcza na 3128 SSH i ktos o tym wie, a skany te robione sa specjalnie - w wiadomym celu - ale mysle, ze fakt ten powinien byc opisany w mailu... zeby choc zasugerowac, ze "cos tu jest nie ok"... bo mnie te logi wygladaja tak, jakby ktos na jednym ze stanowisk wpisal sobie przez przypadek w IE jakies proxy i nie mogac sie laczyc - rezygnowal - moze probowal znalezc jakies annonymous i gdzies znalazl trefna liste... reakcja wyglada na dosc przesadzona i sadze, ze TPSA dziwnie sie zachowala... mialem kiedys duzo powazniejsze problemy podobnej natury i jakos abuse nie wyrazil zainteresowania (moze dlatego ze moj serwer nie korzystal z ich lacza, a z lacza konkurencji?! - skany w duzej ilosci lecialy na pewno z TPSA)."...here I am on The Road again..."
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL |
 |
|
|
|
