---

Hej

I min boligforening deles vi om 2 adsl linier fra Tiscali.

Jeg har netop modtaget nedenstående mail fra deres abuse-afdeling:

----- Original Message -----
From: "Tiscali A/S - AbuseTeam" <abuse@tiscali.dk>
To: bleh_niklas@it.edu
Sent: Monday, January 19, 2004 9:52 AM
Subject: Re: Analyzer Incident Notification for IP Address 62.79.98.131
(PR#42358)


> Hej,
>
> Vi har modtaget en henvendelse, som har gjort os opmærksom på, at
vedkommende er
> blevet port scannet fra Jeres forbindelse.
>
> Vi opfordrer Jer på det kraftigste til at stoppe disse aktiviteter
> øjeblikkeligt, det skal nævnes at disse aktiviteter godt kan skyldes en
> virus-infektion på Jeres maskine(r). Af netop samme årsag vil jeg anbefale
Jer
> at få kontrolleret al edb for virus.
>
> Hvis disse aktiviteter fortsat finder sted, vil Tiscali se sig nødsaget
til at
> blokere netforbindelsen til nævnte ting er bragt til ende.
>
> > You have received this notice because a network under your
administrative
> > control was the origin of network attacks or suspicious activity. This
is
> > a notification from the Symantec DeepSight Analyzer service. DeepSight
> > Analyzer is an online service that allows users to identify, track, and
> > respond to security events that have been reported by their Intrusion
> > Detection and Firewall systems. This notification that you have
received,
> > which is one function of this service, allows users to submit records of
> > these security events to the domain contact and Internet Service
Provider
> > from where the activity originated. This notification allows you to
> > respond to the use of your network as the origin of attacks, preventing
> > future attacks against individuals, businesses and other potential
> > targets. This email has been sent by an automated system.
> >
> > Users of DeepSight Analyzer provide the text that follows. While
Symantec
> > developed and administers DeepSight Analyzer, Symantec does not take any
> > responsibility for the accuracy or legitimacy of this notification or
any
> > of the information held therein. The individual making this notification
> > has supplied any and all information; therefore the information provided
> > in this notification is the responsibility of that individual alone.
> > Symantec does not bear any responsibility or assume any liability for
the
> > information and comments that follow.
> >
> > stop attacking my computer
> >
> > This same system also attacked 4 other ARIS system users.
> >
> > Attack Summary
> >
> >
> >
> > NOTE all times in UTC
> >
> > Jan 8 2004 3:57:20:000PM - Generic Connection Denied Event
> > 62.79.98.131 -> 0.0.0.0 <4662-4662> TCP
> >
> > Jan 8 2004 3:57:08:000PM - Generic Connection Denied Event
> > 62.79.98.131 -> 0.0.0.0 <4662-4662> TCP
> >
> > Jan 8 2004 3:57:02:000PM - Generic Connection Denied Event
> > 62.79.98.131 -> 0.0.0.0 <4662-4662> TCP
> >
> > Jan 8 2004 3:56:59:000PM - Generic Connection Denied Event
> > 62.79.98.131 -> 0.0.0.0 <4662-4662> TCP
> >
> > Generic Connection Denied Event
> > This event indicates that an incoming connection has been denied. The
> > protocol variable may either be TCP, UDP, or ICMP.
> >
> > The data provided in this notification is collected from Intrusion
> > Detection and Firewall systems. While these products are highly
> > effective, they are prone to false positives, and the attacks that are
> > reported may be a result of legitimate traffic. Symantec strongly
> > recommends that the recipient of this notification take the appropriate
> > steps to confirm the legitimacy of this alert. Symantec takes no
> > responsibility for the accuracy or legitimacy of this notification, nor
> > does it take any responsibility or bear any liability for the actions
> > taken by the recipient pursuant to receipt of this notification. If this
> > email has reached you in error, please contact analyzer@symantec.com so
> > that we can correct our contact information. To learn more about
> > DeepSight Analyzer please visit http://analyzer.symantec.com.
> >
> > --
> Med Venlig Hilsen / Kind Regards
> Mikkel Wied, Tiscali A/S, Abuse Team
> Lautrupsgade 9, DK-2100 København Ø - www.tiscali.dk
> Telefon +45 3814 7000, Fax +45 3814 7007
>

Så vidt jeg kan se, er der tale om at en maskine fra vores netværk har
forsøgt at forbinde til 4 maskiner på port 4662.

Jeg ved ikke hvilke adresser der er blevet "angrebet", så det er lidt svært
at vurdere om forsøgene på at skabe forbindelse havde et legitimt formål.

Jeg synes dog Tiscali er lidt hurtige til at give klageren ret og betegne
ovenstående som portscanning eller angreb.

Mvh,
Niklas Petersen

---

"Niklas Petersen" <nospam@come.wank.with.us> writes:

> Så vidt jeg kan se, er der tale om at en maskine fra vores netværk har
> forsøgt at forbinde til 4 maskiner på port 4662.

Det lyder som en der kører edonkey eller ligende.
>
> Jeg ved ikke hvilke adresser der er blevet "angrebet", så det er lidt svært
> at vurdere om forsøgene på at skabe forbindelse havde et legitimt formål.

Hvis der er en der fx. tidligere har kørt edonkey på ip adressen
prøver edonkey naturligtvis at forbinde til ham.
>
> Jeg synes dog Tiscali er lidt hurtige til at give klageren ret og betegne
> ovenstående som portscanning eller angreb.

Jeg ville ikke kalde det nogen af delende. Prøv at gøre tiscali opmærksom
på edonkey benytter den port.

Martin

--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af CISCO router.

---

"Niklas Petersen" <nospam@come.wank.with.us> wrote in message
news:8bQOb.76093$jf4.4865373@news000.worldonline.dk...

<snip email>

> Så vidt jeg kan se, er der tale om at en maskine fra vores netværk har
> forsøgt at forbinde til 4 maskiner på port 4662.
> Jeg ved ikke hvilke adresser der er blevet "angrebet", så det er lidt
svært
> at vurdere om forsøgene på at skabe forbindelse havde et legitimt formål.
> Jeg synes dog Tiscali er lidt hurtige til at give klageren ret og betegne
> ovenstående som portscanning eller angreb.

Det ligner unægteligt et ganske almindeligt forsøg for på at etabelere
kontakt med emule eller overnet (4662-4662).

Og portscanning? -- hvid den log der er komplet så er det nok lidt forhastet
at kalde 4 forsøg på at connecte til en service på de ports der for en
portscanning.

Anyone ret mig hvis jeg tar fejl?

/Martin

---

Niklas Petersen wrote:

> Så vidt jeg kan se, er der tale om at en maskine fra vores netværk
> har forsøgt at forbinde til 4 maskiner på port 4662.

Den samme maskine, 4 gange, så vidt jeg kan se.

> Jeg ved ikke hvilke adresser der er blevet "angrebet", så det er
> lidt svært at vurdere om forsøgene på at skabe forbindelse havde
> et legitimt formål.

Det er næsten 100% sikkert gyldig returtrafik eller trafik der var
beregnet for en p2p-klient som modtageren netop har lukket. En anden
har nævnt at porten bruges af eDonkey, så al sandsynlighed taler for at
vedkommende der har klaget, selv har haft anvendt eDonkey og efter han
har lukket programmet er hans "personal firewall" så begyndt at skabe
sig, selvom det er ganske naturligt at hans tidligere peers forsøger at
forbinde sig til ham igen.

Endnu et eksempel på hvorfor brugere, der ikke forstår hvordan det
fungerer, bør undlade at gå for meget op i loggen fra deres "personal
firewall".

> Jeg synes dog Tiscali er lidt hurtige til at give klageren ret og
> betegne ovenstående som portscanning eller angreb.

Hvis de fire liniers log du nævner er deres eneste begrundelse, så er
jeg helt enig.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
"The only thing necessary for evil to triumph is for good men to do
nothing." - Edmund Burke

---

"Niklas Petersen" <nospam@come.wank.with.us> wrote in message
news:8bQOb.76093$jf4.4865373@news000.worldonline.dk...
> Hej
>

> > >
> > > NOTE all times in UTC
> > >
> > > Jan 8 2004 3:57:20:000PM - Generic Connection Denied Event
> > > 62.79.98.131 -> 0.0.0.0 <4662-4662> TCP
> > >
> > > Jan 8 2004 3:57:08:000PM - Generic Connection Denied Event
> > > 62.79.98.131 -> 0.0.0.0 <4662-4662> TCP
> > >
> > > Jan 8 2004 3:57:02:000PM - Generic Connection Denied Event
> > > 62.79.98.131 -> 0.0.0.0 <4662-4662> TCP
> > >
> > > Jan 8 2004 3:56:59:000PM - Generic Connection Denied Event
> > > 62.79.98.131 -> 0.0.0.0 <4662-4662> TCP
> > >
> > > Generic Connection Denied Event
> > > This event indicates that an incoming connection has been denied. The
> > > protocol variable may either be TCP, UDP, or ICMP.
> > >

>

HA HA...det er da en Emule/edonkey etc der laver en TCP forbindelse fra
jeres IP til en anden maskine ganske normalt...de har overhoved ikke et clue
om hvad det er de skriver abuse omkring....

Port scannet..det er en knold som har P2P kørende og hans firewall kommer op
med en alert om at der er en 'port' der bliver brugt..UHA UHA..jeg undre mig
dog over at Tiscali sender den videre til dig...



Jeg ville opfordre Tiscali på det kraftigste at sætte sig ind i tingene.



Chr.

---

In article <8bQOb.76093$jf4.4865373@news000.worldonline.dk>, Niklas Petersen wrote:
> Hej
>
> I min boligforening deles vi om 2 adsl linier fra Tiscali.
>
> Jeg har netop modtaget nedenstående mail fra deres abuse-afdeling:

En mail fra et symantec produkt sendt til tiscali's abuse, sent til dig.

> Så vidt jeg kan se, er der tale om at en maskine fra vores netværk har
> forsøgt at forbinde til 4 maskiner på port 4662.

Ifølge logen er det 0.0.0.0, hvilket kan tyde på de selv har et problem.

Umiddelbart ser det ud til den oprindelige afsender ikke kan finde
ud af at sætte sine IDS systemmer op.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnc0no7c.56s.chel@weebo.dmz.spindelnet.dk...
> In article <8bQOb.76093$jf4.4865373@news000.worldonline.dk>, Niklas
Petersen wrote:
> > Hej
> >
> > I min boligforening deles vi om 2 adsl linier fra Tiscali.
> >
> > Jeg har netop modtaget nedenstående mail fra deres abuse-afdeling:
>
> En mail fra et symantec produkt sendt til tiscali's abuse, sent til dig.
>
> > Så vidt jeg kan se, er der tale om at en maskine fra vores netværk har
> > forsøgt at forbinde til 4 maskiner på port 4662.
>
> Ifølge logen er det 0.0.0.0, hvilket kan tyde på de selv har et problem.
>
> Umiddelbart ser det ud til den oprindelige afsender ikke kan finde
> ud af at sætte sine IDS systemmer op.
>

Yeps jeg så også 0.0.0.0 men gik ud fra det var 'fjernet' af Tiscali for at
man ikke skal kunne se hvem 'offer' er?..

Chr.

---

In article <bugmvf$nuj$1@news.net.uni-c.dk>, Chr. L. wrote:
> Yeps jeg så også 0.0.0.0 men gik ud fra det var 'fjernet' af Tiscali for at
> man ikke skal kunne se hvem 'offer' er?..

Hvorfor undlade den slags information, hvis
man er interesseret i at "problemet" løst?

Jeg ville personligt have det nemmer at finde
hændelsen i min firewall log hvis jeg har destinations
adressen.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnc0noub.vi1.chel@weebo.dmz.spindelnet.dk...
> In article <bugmvf$nuj$1@news.net.uni-c.dk>, Chr. L. wrote:
> > Yeps jeg så også 0.0.0.0 men gik ud fra det var 'fjernet' af Tiscali for
at
> > man ikke skal kunne se hvem 'offer' er?..
>
> Hvorfor undlade den slags information, hvis
> man er interesseret i at "problemet" løst?
>
> Jeg ville personligt have det nemmer at finde
> hændelsen i min firewall log hvis jeg har destinations
> adressen.

Du ret,-hvis det var mig vil jeg da sprøge tiscali om hvem der har IP
0.0.0.0 , jeg er kan kun forestille mig at enten har Tiscali eller
anmelder fjernet det selv og sat 0.0.0.0 ind,-hvis ikke så er Tiscali mere
end bare rigtigt,rigtigt dumme!!!, at de gider vidrebrinde sådanne ting.





Chr.

---

"Niklas Petersen" <nospam@come.wank.with.us> skrev i en meddelelse
news:8bQOb.76093$jf4.4865373@news000.worldonline.dk...
>
> Så vidt jeg kan se, er der tale om at en maskine fra vores netværk har
> forsøgt at forbinde til 4 maskiner på port 4662.
>
> Jeg ved ikke hvilke adresser der er blevet "angrebet", så det er lidt
svært
> at vurdere om forsøgene på at skabe forbindelse havde et legitimt formål.
>
> Jeg synes dog Tiscali er lidt hurtige til at give klageren ret og betegne
> ovenstående som portscanning eller angreb.
>
Ja korrekt tiscali burde havvde set bort fra det klage der er som du selv
spørg om IKKE tale om abuse specielt fordi afsenderen selv køre/eller har
kørt edonkey eller overnet (dog sikket uden at være være klar over at det er
ham selv der har aktiveret sin firewall)
Men skriv da tilbage til dem de kan da tydelivis kun blive klogere

Morten

---

> I min boligforening deles vi om 2 adsl linier fra Tiscali.
>
> Jeg har netop modtaget nedenstående mail fra deres abuse-afdeling:

[SNIP]

I bund og grund handler det om, at jeres boligforening ikke
længere er velkomne kunder hos Tiscali, da i _formentlig_
bruger jeres linier fuldt ud 24/7 = underskudskunder.

Spang

---

On Thu, 22 Jan 2004 23:32:58 +0100, "Spangkuk"
<hrmmmfkekgh@tieyskt.æø> wrote:

> I bund og grund handler det om, at jeres boligforening ikke
> længere er velkomne kunder hos Tiscali, da i _formentlig_
> bruger jeres linier fuldt ud 24/7 = underskudskunder.

Den politik har de helt officielt droppet igen.

-A
--
http://www.hojmark.org/

---

On Fri, 23 Jan 2004 01:05:00 +0100, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>> I bund og grund handler det om, at jeres boligforening ikke
>> længere er velkomne kunder hos Tiscali, da i _formentlig_
>> bruger jeres linier fuldt ud 24/7 = underskudskunder.
>Den politik har de helt officielt droppet igen.

Dog ikke mere officielt end at kunder er blevet adviseret om at
betingelserne ændres, så fair use-politikken er blevet indført.
Efterfølgende har den nye direktør så meldt noget andet ud, men
betingelserne er ikke tilsvarende ændret tilbage.

--
- Peter Brodersen

Ugens sprogtip: jeres (og ikke Jeres)