1 |
Hallo. |
2 |
|
3 |
Mekonikum schrieb am 29.08.2004 um 15:58 Uhr: |
4 |
|
5 |
> Naja, Rechtlich oder per Provider kannst du das total vergessen. |
6 |
|
7 |
Dann halt Presse :). |
8 |
|
9 |
Habt ihr schon mal bei Heise oder Spiegel.de nachgefragt, ob |
10 |
die nicht darueber schreiben wollen? |
11 |
|
12 |
Auch Hersteller von Anti-Viren-Software sollten sich vielleicht |
13 |
dafuer interessieren - vielleicht schnappt ihr ja ein paar |
14 |
IPs von brauchbaren Providern auf oder ueberzeugt mit Hilfe |
15 |
der Presse ein Bot-Version zu isolieren und in die Signaturen |
16 |
aufzunehmen. |
17 |
|
18 |
|
19 |
> Das sind alles Rechner die von seinem Wurm infiziert wurden, weltweit |
20 |
> verteilt, und fast alle mit dynamischer IP. |
21 |
|
22 |
Auch auf dynamische IPs kann man dynamisch mit iptables filtern. |
23 |
Der Eintrag muss ja nur einige Minuten/Stunden aktiv bleiben. |
24 |
|
25 |
|
26 |
> Wir haben schon verschiedene Provider angeschrieben, aber von da kommt 0 |
27 |
> Reaktion. |
28 |
|
29 |
Es muss halt bekannter werden ... |
30 |
|
31 |
|
32 |
> Der Angreifer selbst prahlt mit seinen attacken, er ist öfters im Chat |
33 |
> mit uns Admins, natürlich immer über mehrere Proxy's, so das er da |
34 |
> drüber auch nicht zu fassen ist. |
35 |
|
36 |
Austricksen? Irgendwas tolles rein zufaellig zum Download anbieten, |
37 |
das er sich vielleicht runterlaed und laufen laesst. Es muss ja |
38 |
nicht gleich ein Wurm sein, sondern nur irgendwas das einmal nach |
39 |
Hause telefoniert ... Ausserdem solltet ihr jedes Detail ueber ihn |
40 |
sammeln. Wann er online ist, an welchen Tagen nicht, ob es immer |
41 |
die gleichen Proxies sind, etc ... |
42 |
|
43 |
|
44 |
> Der Wurm der die Rechner infiziert ist selbst geschrieben, und wird laut |
45 |
> seiner Aussage bisher auch von keinem Virenscanner gefunden. |
46 |
|
47 |
Das klingt beeindruckend. ;) |
48 |
|
49 |
|
50 |
> Sitzen tut er selbst wohl in .sa oder .ae, da kommen die meisten Bot's |
51 |
> auch her. |
52 |
|
53 |
Und der hat nichts besseres zu tun als ein deutsches IRC-Netzwerk |
54 |
anzugreifen? Von der Tatsache, dass viele Bots aus .sa oder .ae |
55 |
stammen, wuerde ich nicht auf seinen Standort schliessen. Er wird |
56 |
sie nicht manuell installiert haben und Wuermer schickt man hin, |
57 |
wo man am die meisten ungeschuetzten Rechner findet ... |
58 |
|
59 |
Jemand aus Deutschland braucht es auf z. B. T-Online-Dialups gar nicht |
60 |
erst versuchen, aber in Saudi Arabien hat er vielleicht eine Chance ... |
61 |
|
62 |
Gibt es Chatlogs? |
63 |
|
64 |
Chris, jetzt wird es OT ;) |
65 |
|
66 |
-- |
67 |
QOTD: |
68 |
"If he learns from his mistakes, pretty soon he'll know everything." |