---

Hejsa,

De sidste 4-5 dage har en/flere personer forsøgt at skaffe sig adgang til
en af vores FTPservere. Personen har i alt forsøgt 1451 gange pt. and still
counting,
hvilket er en del må jeg nok sige

Brugeren er endnu ikke kommet ind, men det vel kun et spørgsmål om tid inden
kontoen
er brudt :)

Jeg har haft mailet til csirt.dk, ISPens abuse-mail, sendt dem logs osv.
intet sket endnu.
Endvidere har jeg haft ringet til kontaktpersonen som står registeret for
netværket hos Ripe.net.
Konklusionen af telefonsamtalen var at ISPen, DK-TV ikke kunne gøre noget
efter
som kabel-netværket kørte med en NAT, 1-to-Many løsning og derfor kunne de
og ville
faktisk ikke gøre noget ved sagen.

Endvidere sagde han at der faktisk skulle en direkte politi-anmeldelse på
sagen før at de
ville gå i gang med efterforskningen, selv om det er åbenlyst at "personen"
sidder på deres net.

Kan det virkelig passe at vi skal lade det gå så langt ud for at få stoppet
dette ?!?

mvh

Martin

---

Martin <damberg@removeohkk.dk> wrote:
> De sidste 4-5 dage har en/flere personer forsøgt at skaffe sig adgang
> til en af vores FTPservere. Personen har i alt forsøgt 1451 gange pt.
> and still counting, hvilket er en del må jeg nok sige
>
> Brugeren er endnu ikke kommet ind, men det vel kun et spørgsmål om tid inden
> kontoen er brudt :)

Er det samme kontonavn hver gang? Forsoeges der forskellige passwords
hver gang? Findes kontoen paa systemet?

Overvej at blokere adgang fra den paagaeldende IP adresse.

> Konklusionen af telefonsamtalen var at ISPen, DK-TV ikke kunne gøre
> noget efter som kabel-netværket kørte med en NAT, 1-to-Many løsning og
> derfor kunne de og ville faktisk ikke gøre noget ved sagen.

Det tvivler jeg serioest paa er korrekt. Det ville vaere selvmord for en
ISP at saette et NAT system op hvor de ikke har mulighed for at spore
den enkelte kunde.

Punkt 10 af DK-TV's brugervilkaar angiver at forsoeg paa uautoriseret
adgang er misligholdelse som betyder lukning af kontoen.

> Endvidere sagde han at der faktisk skulle en direkte politi-anmeldelse
> på sagen før at de ville gå i gang med efterforskningen, selv om det
> er åbenlyst at "personen" sidder på deres net.

Du bad vel ikke om at faa udleveret vedkommendes identitet? DK-Tv
behoever ikke en politianmeldelse for at lukke for en kunde der ikke
overholder deres AUP.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

"Alex Holst" <a@area51.dk> wrote in message
news:slrna78dr4.1cnm.a@C-Tower.Area51.DK...
> Martin <damberg@removeohkk.dk> wrote:
"klip"
>
> Er det samme kontonavn hver gang? Forsoeges der forskellige passwords
> hver gang? Findes kontoen paa systemet?
>
> Overvej at blokere adgang fra den paagaeldende IP adresse.
>
"klip"
>
> Det tvivler jeg serioest paa er korrekt. Det ville vaere selvmord for en
> ISP at saette et NAT system op hvor de ikke har mulighed for at spore
> den enkelte kunde.
>
> Punkt 10 af DK-TV's brugervilkaar angiver at forsoeg paa uautoriseret
> adgang er misligholdelse som betyder lukning af kontoen.
>
"klip"
>
> Du bad vel ikke om at faa udleveret vedkommendes identitet? DK-Tv
> behoever ikke en politianmeldelse for at lukke for en kunde der ikke
> overholder deres AUP.
>
> --
> I prefer the dark of the night, after midnight and before four-thirty,
> when it's more bare, more hollow. http://a.area51.dk/
>
>
Det er samme konto så vidt jeg kan se, om det er samme password hver gang
kan jeg pt.
ikke se i logfilerne og ja, kontoen findes på boxen.

Så vidt jeg kunne forstå på kontaktpersonen var deres PAT system også på vej
ud,
og faste IPadresser ind istedet for, så var det meget lettere at "fejl-søge"
på.

Nej, jeg spurte desværre ikke efter brugerens identitet efter som han mere
eller mindre sagde at
det var fuldkommen umuligt at spore ham tilbage igennem deres system ... det
skulle jeg måske
havde gjort.

Nu må vi se om brugeren(erne) stopper ellers vil vi nok blokere hele deres
IPrange efter som
DK-Tv ikke ønsker/vil stoppe personen.

mvh

Martin

---

Martin <damberg@removeohkk.dk> wrote:
> Nej, jeg spurte desværre ikke efter brugerens identitet efter som han
> mere eller mindre sagde at det var fuldkommen umuligt at spore ham
> tilbage igennem deres system ... det skulle jeg måske havde gjort.

Nej, det skulle du netop ikke have gjort. De fleste lande har en
register lov som forhindrer den slags. Jeg er bekendt med abuse
afdelinger i baade Irland og Danmark som ikke behandler krav om
udlevering af kunders identitet saerligt paent.

Forklar hvad du har observeret, underbyg dine forklaringer med logfiler
(eller message headers eller hvad der nu er passende for situationen) og
bed ISPen tage handling ifoelge deres AUP.

> Nu må vi se om brugeren(erne) stopper ellers vil vi nok blokere hele deres
> IPrange efter som
> DK-Tv ikke ønsker/vil stoppe personen.

Overvej at skifte jeres brugervalidering ud med noget som er staerkere
end almindelige passwords -- eller soerg i hvert fald for, at brugere ikke
kan benytte daarlige passwords. Laes mere her:

   http://a.area51.dk/sikkerhed/servere#fjernadgang

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Martin wrote:
>
> Det er samme konto så vidt jeg kan se, om det er samme password hver gang
> kan jeg pt.
> ikke se i logfilerne og ja, kontoen findes på boxen.

Hvis det stadig står på, synes jeg, du skal sætte en pakke
sniffer til at gemme pakkerne, så du kan se om det er
samme eller forskellige passwords, der forsøges.

Har du snakket med ejeren af brugernavnet? Det kan være han
selv har en god forklaring, ellers bør du gå videre med
sagen.

Hvis der forsøges med mange forskellige passwords, ville
jeg nok overveje en politialmendelse. Hvis det er samme
password kunne det være en person, der har indtastet forkert
maskinnavn, brugernavn eller password, og som bruger et ftp
program, der bliver ved med at prøve.

At brugernavnet faktisk eksisterer gør situationen lidt
mere mistænkelig, men det kunne være tilfældigt.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

"Martin" <damberg@removeohkk.dk> skrev i en meddelelse
news:0tWc8.351$3_.2012215@news.orangenet.dk...
> Hejsa,

Hej,

Prøv evt. at lav en honeypot. Det vil sige, at den person som nu åbenlyst
forsøger at tiltvinge sig adgang via bruteforcing rent faktisk tillades
adgang, men i et område du har kontrol over og logger. Saml alle
oplysningerne sammen og send dem til abuse. Enhver ISP vil tage sådanne
fangster alvorligt, da det er rimeligt dokumenteret hvad personen ønsker ...
og at der (i din logs) dokumenteres at der ikke er tale om en fejl.

Venligst
Peter Kruse

---

Peter Kruse <kruse@pc.dk> wrote:
> Prøv evt. at lav en honeypot. [..]

Hello, McFly? Folk der har brug for at stille basale spoergsmaal herinde
boer holde sig vaek fra at saette honeypot maskiner op. Det tager lang
tid at saette en nogenlunde brugbar en op, da det ikke alene kraever at
man kender det valgte OS ind og ud, men ogsaa at man kan skrive
programmer on-the-fly til at loese situationer man ikke havde forudset.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> boer holde sig vaek fra at saette honeypot maskiner op. Det tager lang
> tid at saette en nogenlunde brugbar en op, da det ikke alene kraever at
> man kender det valgte OS ind og ud, men ogsaa at man kan skrive
> programmer on-the-fly til at loese situationer man ikke havde forudset.


Hvis angriberen kommer fra en fast ip, kan han evt. stille en ftp server
op på et selvstændigt segment, og i sin firewall route trafik fra denne
IP til den nye ftp server.