| 1 |
Hallo. |
| 2 |
|
| 3 |
Mekonikum schrieb am 29.08.2004 um 15:58 Uhr: |
| 4 |
|
| 5 |
> Naja, Rechtlich oder per Provider kannst du das total vergessen. |
| 6 |
|
| 7 |
Dann halt Presse :). |
| 8 |
|
| 9 |
Habt ihr schon mal bei Heise oder Spiegel.de nachgefragt, ob |
| 10 |
die nicht darueber schreiben wollen? |
| 11 |
|
| 12 |
Auch Hersteller von Anti-Viren-Software sollten sich vielleicht |
| 13 |
dafuer interessieren - vielleicht schnappt ihr ja ein paar |
| 14 |
IPs von brauchbaren Providern auf oder ueberzeugt mit Hilfe |
| 15 |
der Presse ein Bot-Version zu isolieren und in die Signaturen |
| 16 |
aufzunehmen. |
| 17 |
|
| 18 |
|
| 19 |
> Das sind alles Rechner die von seinem Wurm infiziert wurden, weltweit |
| 20 |
> verteilt, und fast alle mit dynamischer IP. |
| 21 |
|
| 22 |
Auch auf dynamische IPs kann man dynamisch mit iptables filtern. |
| 23 |
Der Eintrag muss ja nur einige Minuten/Stunden aktiv bleiben. |
| 24 |
|
| 25 |
|
| 26 |
> Wir haben schon verschiedene Provider angeschrieben, aber von da kommt 0 |
| 27 |
> Reaktion. |
| 28 |
|
| 29 |
Es muss halt bekannter werden ... |
| 30 |
|
| 31 |
|
| 32 |
> Der Angreifer selbst prahlt mit seinen attacken, er ist öfters im Chat |
| 33 |
> mit uns Admins, natürlich immer über mehrere Proxy's, so das er da |
| 34 |
> drüber auch nicht zu fassen ist. |
| 35 |
|
| 36 |
Austricksen? Irgendwas tolles rein zufaellig zum Download anbieten, |
| 37 |
das er sich vielleicht runterlaed und laufen laesst. Es muss ja |
| 38 |
nicht gleich ein Wurm sein, sondern nur irgendwas das einmal nach |
| 39 |
Hause telefoniert ... Ausserdem solltet ihr jedes Detail ueber ihn |
| 40 |
sammeln. Wann er online ist, an welchen Tagen nicht, ob es immer |
| 41 |
die gleichen Proxies sind, etc ... |
| 42 |
|
| 43 |
|
| 44 |
> Der Wurm der die Rechner infiziert ist selbst geschrieben, und wird laut |
| 45 |
> seiner Aussage bisher auch von keinem Virenscanner gefunden. |
| 46 |
|
| 47 |
Das klingt beeindruckend. ;) |
| 48 |
|
| 49 |
|
| 50 |
> Sitzen tut er selbst wohl in .sa oder .ae, da kommen die meisten Bot's |
| 51 |
> auch her. |
| 52 |
|
| 53 |
Und der hat nichts besseres zu tun als ein deutsches IRC-Netzwerk |
| 54 |
anzugreifen? Von der Tatsache, dass viele Bots aus .sa oder .ae |
| 55 |
stammen, wuerde ich nicht auf seinen Standort schliessen. Er wird |
| 56 |
sie nicht manuell installiert haben und Wuermer schickt man hin, |
| 57 |
wo man am die meisten ungeschuetzten Rechner findet ... |
| 58 |
|
| 59 |
Jemand aus Deutschland braucht es auf z. B. T-Online-Dialups gar nicht |
| 60 |
erst versuchen, aber in Saudi Arabien hat er vielleicht eine Chance ... |
| 61 |
|
| 62 |
Gibt es Chatlogs? |
| 63 |
|
| 64 |
Chris, jetzt wird es OT ;) |
| 65 |
|
| 66 |
-- |
| 67 |
QOTD: |
| 68 |
"If he learns from his mistakes, pretty soon he'll know everything." |
Archives