Debian machine gecompromitteerd - Linux en overige clients

donderdag 27 oktober 2005 10:43

Acties:

Topicstarter

Vorig weekend is mijn debian machine het slachtoffer geworden van 'hackers'
ik kreeg het volgende mailtje van xs4all (mijn provider).

> > Op Sat Oct 22 23:42:05 2005 heeft een machine in uw netwerk zich
> > aangemeldt op een bepaalde irc-server, waarin hij te kennen gaf aan
> > iedereen op die server dat uw ip ge-owned is en dat kwaadwillenden de
> > ge-ownede machine kunnen misbruiken. Of dat verder gedaan is kunnen wij
> > niet achterhalen, echter de informatie dat uw machine op die server is
> > terechtgekomen is voor ons al voldoende om maatregelen te nemen(om zo u,
> > ons en de rest van het internet te beschermen tegen aanvallen e.d.).
> > Indien u gebruik maakt van een firewall kunt u over het algemeen daar veel
> > informatie uit halen, echter als de firewall ook de debian is kunt u ervan
> > uitgaan dat de sporen zijn uitgewist, zeker gezien het feit dat de machine
> > zich op een server heeft aangemeldt waarop geen "scriptkiddies" zich op
> > aanmelden. Ik mag u helaas geen informatie over die server geven, het is
> > een privacy-kwestie.

Ik vraag me nu af wat ik het beste kan doen. Ik denk dat ik zelf voor een herinstall ga. Maar voor dat ik alles formateer, zijn er nog dingen, (logs of dergelijk) die ik nog zou kunnen nakijken. of andere acties die ik zou kunnen ondernemen.

.. iemand nog goede tutorial om secure debian machine op te zetten?

donderdag 27 oktober 2005 10:46

Acties:

Cyphax

Moderator LNX

Nou meer informatie over hoe je je Debian bak beveiligd vind je hier. Dat lijkt me wel een must als je 'm aan het internet wil hangen. Je kunt alle logs (/var/log) ook backuppen en dan daar later naar kijken, nadat je 'm geinstalleerd hebt misschien? Ik zou daar niet te lang mee wachten eigenlijk.

Saved by the buoyancy of citrus

donderdag 27 oktober 2005 10:47

Acties:

Icey

Wat ik mij altijd afvraag (ben overigens geen professional), wat zouden hackers kunnen doen als jij een router neerzet, en alleen poort 80 doorverbinding met de server? Een simpelere beveiliging als dat is er toch niet

donderdag 27 oktober 2005 10:49

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Over het algemeen wordt aangeraden om een herinstallatie te doen. Is ook de enige manier om zeker te weten dat je van alle narigheid verlost bent.

Ik vind de inhoud van die mail niet echt professioneel trouwens. Enerzijds door de spelfouten, anderzijds door het gebruik van de term 'ownen'.

Exchange en Office 365 specialist. Mijn blog.

donderdag 27 oktober 2005 10:53

Acties:

Jimbolino

troep.com

Ik mag u helaas geen informatie over die server geven, het is een privacy-kwestie.

Op Sat Oct 22 23:42:05 2005 heeft een machine in uw netwerk zich aangemeldt op een bepaalde irc-server, waarin hij te kennen gaf aan iedereen op die server dat uw ip ge-owned is en dat kwaadwillenden de ge-ownede machine kunnen misbruiken.

beetje onprofessioneel mailtje, heb je de headers gecheckt?

Icey schreef op donderdag 27 oktober 2005 @ 10:47:
Wat ik mij altijd afvraag (ben overigens geen professional), wat zouden hackers kunnen doen als jij een router neerzet, en alleen poort 80 doorverbinding met de server? Een simpelere beveiliging als dat is er toch niet .

via poort 80 je server hacken, of de router hacken/laten crashen door een flood

je kan beter een firewall installeren

[ Voor 36% gewijzigd door Jimbolino op 27-10-2005 10:54 ]

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

donderdag 27 oktober 2005 10:59

Acties:

Blaasvis

Cidora \o/

draai ook nog even dingen chrootkit

misschien dat het een user die gewoon ingelogt is geweest op de server.

Freedom is everything you need ; <moto-moi|afk> ik verkloot het gewoon nooit :P

donderdag 27 oktober 2005 11:00

Acties:

Verwijderd

Jazzy schreef op donderdag 27 oktober 2005 @ 10:49:
Ik vind de inhoud van die mail niet echt professioneel trouwens. Enerzijds door de spelfouten, anderzijds door het gebruik van de term 'ownen'.

Inderdaad zeg. Weet je zeker dat de afzender XS4ALL is? Ik kan het me niet voorstellen namelijk.

donderdag 27 oktober 2005 11:01

Acties:

DeMoN

Pastafari

Jimbolino schreef op donderdag 27 oktober 2005 @ 10:53:
[...]

[...]

beetje onprofessioneel mailtje, heb je de headers gecheckt?

Idd zeg... / edit: ^^ lol, 'broncode', GMTA /

zeker gezien het feit dat de machine
zich op een server heeft aangemeldt waarop geen "scriptkiddies" zich op
aanmelden. Ik mag u helaas geen informatie over die server geven, het is
een privacy-kwestie.

Dit zou XS4ALL toch nooit neertypen?
Kom op, zij gaan toch niet oordelen over of dat een server is waar geen kiddo's komen?
Dit riekt meer naar de cracker zelf die zijn eigen 'cracker/scriptkiddie-groep' aan het ophelderen is..

Post anders die headers hier eens

[ Voor 6% gewijzigd door DeMoN op 27-10-2005 11:02 ]

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

donderdag 27 oktober 2005 11:03

Acties:

franssie

Save the albatross

stuur dat mailtje eens naar de xs4all helpdesk (inclusief headers) of bel ze.
Wel leuke practical joke eigenlijk

Nu weet je/een vrien(in) zeker dat je dit weekeinde niet weggaat.

franssie.bsky.social | 🎸 Niets is zo permanent als een tijdelijke oplossing | Een goed probleem komt nooit alleen | Gibson guitar Fender Guitar God Damn Guitar

donderdag 27 oktober 2005 11:04

Acties:

kamstra

ipso iure

Als dit echt is eet ik mijn spreekwoordelijke hoed op. Ik geloof er helemaal niks van. Heb zelf ook wel eens een dergelijk mailtje via telnet namens abuse@home verstuurd, kwam ie nog van de echte @home-mailserver af, dus dan is het helemaal lastig te zien of ie fake is of niet. Maar aan door de taal in dit mailtje geloof ik er al helemaal niks meer van. Ik zou XS4ALL eerst maar eens bellen...

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

donderdag 27 oktober 2005 11:11

Acties:

engelbertus

was xs4all niet ook bezig een botnet op te ruimen? misschien dat dit een voortvloeisel daarvan is? deze "high-tech"lui typen misscien niet hetzelfde als de gemiddelde pr / customer care mensen... ?

vindt het desalniettemin een vreemd mailtje. niet meer informatie over de server / privacy.

hoe private is een "illegale" irc server?

kan begrijpen dat ze liever geen details over de server geven ivm met overweldigende interesse van slchtoffers en andere "ramptoeristen" waardoor het lastig wordt de server te monitoren en uit te vissen welke andere machines zich er op aanmelden.

maar dan nog, dan kun ej in je logs wel de server terug vinden, wat ze juist weer "aanprijzen"

donderdag 27 oktober 2005 11:34

Acties:

GoVegan

Topicstarter

de headers zijn alsvolgd:

code:

Return-Path: <www-data@watson.xs4all.net>
Received: from watson.xs4all.net (watson.xs4all.net [194.109.21.228])
     by mxdrop40.xs4all.nl (8.13.3/8.13.3) with ESMTP id j9R8UHWp093589
     for <Mijn@mail.adres>; Thu, 27 Oct 2005 10:30:17 +0200 (CEST)
     (envelope-from www-data@watson.xs4all.net)
Received: from localhost (localhost [127.0.0.1])
     by watson.xs4all.net (Postfix) with ESMTP id 8620C12C057;
     Thu, 27 Oct 2005 10:30:17 +0200 (CEST)
Received: from watson.xs4all.net ([127.0.0.1])
     by localhost (watson [127.0.0.1]) (amavisd-new, port 10024) with LMTP
     id 14778-02; Thu, 27 Oct 2005 10:30:16 +0200 (CEST)
Received: by watson.xs4all.net (Postfix, from userid 33)
     id EB2BE12C086; Thu, 27 Oct 2005 10:30:15 +0200 (CEST)
RT-Queue: abuse-help
Subject: [XS4ALL #692873] Re: *WAARSCHUWING* Trojan op mijn.ip.adres.xx/32 (govegan)
In-Reply-To: <rt-692873@XS4ALL>
X-Mailer: Perl5 Mail::Internet v1.62
Sender: "www-data" <www-data@smtp-vbr3.xs4all.nl>
RT-Ticket: XS4ALL #692873
Message-Id: <rt-692873-2597935.4.505338925537@xs4all.nl>
Precedence: bulk
Reply-To: abusecentre@xs4all.nl
X-RT-Loop-Prevention: XS4ALL
To: Mijn@mail.adres
RT-Originator: xs4all@mail.adres
From: "xs4all medewerker" <abusecentre@xs4all.nl>
Date: Thu, 27 Oct 2005 10:30:15 +0200 (CEST)
X-Virus-Scanned: by XS4ALL Virus Scanner
X-XS4ALL-DNSBL-Checked: mxdrop40.xs4all.nl checked 194.109.21.228 against DNS blacklists
X-XS4ALL-Spam-Score: -10 () XS_WATSON
X-XS4ALL-Spam: NO
Envelope-To: Mijn@mail.adres

mij lijkt dat hij wel van xs4all komt, mischien dat iemand dat kan bevestigen.

nog even een situatie schets:

zondag kwam ik er achter dat ik geen inet meer had, maandag kijk ik toevalig even in mijn xs4all mailbox, zie dat ik een abuse mailtje van xs4all heb.(een standaard mailtje)
de gevraagde scans uitgevoerd, 1 trojaan gevonden (naar mijn idee niet echt de boosdoener maar toch) daarna beetje heen en weergemail met xs4all..

EDIT:
xs4all medewerker gegevens verwijderd..

[ Voor 8% gewijzigd door GoVegan op 27-10-2005 14:24 ]

donderdag 27 oktober 2005 11:38

Acties:

SinergyX

____(>^^(>0o)>____

Was je internet volledig weg voor langere tijd, lijkt me het toch wel van xs4all af te komen.

Maar inderdaad, telefoontje naar xs4all zal 100% zekerheid geven (imho hebben best goeie helpdesk voor modaal-kennis vragen)

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 27 oktober 2005 11:41

Acties:

GoVegan

Topicstarter

Sinergy schreef op donderdag 27 oktober 2005 @ 11:38:
Was je internet volledig weg voor langere tijd, lijkt me het toch wel van xs4all af te komen.

Maar inderdaad, telefoontje naar xs4all zal 100% zekerheid geven (imho hebben best goeie helpdesk voor modaal-kennis vragen)

internet was volledig weg ja, kon alleen http via de proxy van xs4all.
de helpdesk straks in de pauze maar ff bellen ja

donderdag 27 oktober 2005 11:49

Acties:

vso

tja...

Wel vreemd idd, het mailtje is inderdaad niet echt profi, daarnaast is het een vreemd verhaal.
je kan ook niet echt achterhalen wat je fout is, (in de beveiliging dan)

Immers als je weet waar de lek zit kan je hem dichten, eigenlijk beter om te zeggen dat je iets open had gezet wat beter niet had kunnen doen.
Een goeie hacker wist zijn sporen dus ik vraag me af of je wat terug kan vinden. Waar moet je op letten etc ? Zou de TS misschien wel helpen.

Tja vanalles

donderdag 27 oktober 2005 11:51

Acties:

GlowMouse

GoVegan schreef op donderdag 27 oktober 2005 @ 10:43:
> > Op Sat Oct 22 23:42:05 2005 heeft een machine in uw netwerk zich
> > aangemeldt

De professionals

Aan de hand van de headers zou ik zeggen dat de mail echt van XS4ALL afkomstig is.

Maar 'maatregelen nemen' omdat er vanaf de server naar een IRC-server verbonden is? Come on, dat zou een makkelijke manier zijn om iemands server afgesloten te krijgen.

donderdag 27 oktober 2005 11:57

Acties:

Juup

Is wel zeer netjes van xs4all dat ze dit monitoren en aan je melden. Klasse.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

donderdag 27 oktober 2005 11:59

Acties:

Gertjan

mmmm, beer...

Ik vind het mailtje inderdaad ook vrij onprofessioneel overkomen: spelfouten en slecht lopende zinnen. De headers lijken echter wel echt.

Maar wat ik niet snap is dit:

>> [..] echter als de firewall ook de debian is kunt u ervan [..]

Hoe kan de helpdesk weten dat het een Debian machine is? Ik bedoel, er zijn genoeg manieren om daarachter te komen, maar 1) zou een abuse afdeling die moeite zelf nemen en 2) is dit dan een manier om dat in een mail te noemen?

donderdag 27 oktober 2005 12:00

Acties:

GoVegan

Topicstarter

GlowMouse schreef op donderdag 27 oktober 2005 @ 11:51:
[...]

De professionals Aan de hand van de headers zou ik zeggen dat de mail echt van XS4ALL afkomstig is.

Maar 'maatregelen nemen' omdat er vanaf de server naar een IRC-server verbonden is? Come on, dat zou een makkelijke manier zijn om iemands server afgesloten te krijgen.

Ik dacht dat op bepaald de server zelf op een irc kanaal aangaf dat hij "ge-owned" is (met eventuele gebruikers gegevens) zodat "kwaadwillende" gebruik konden maken van de server, toch?

donderdag 27 oktober 2005 12:01

Acties:

GoVegan

Topicstarter

Ali_Illegali schreef op donderdag 27 oktober 2005 @ 11:59:
Ik vind het mailtje inderdaad ook vrij onprofessioneel overkomen: spelfouten en slecht lopende zinnen. De headers lijken echter wel echt.

Maar wat ik niet snap is dit:

[...]

Hoe kan de helpdesk weten dat het een Debian machine is? Ik bedoel, er zijn genoeg manieren om daarachter te komen, maar 1) zou een abuse afdeling die moeite zelf nemen en 2) is dit dan een manier om dat in een mail te noemen?

Dat het een debian machine betrefd heb ik hun verteld, gewoon voor de duidlijkheid om te weten waarover we praten.

donderdag 27 oktober 2005 12:04

Acties:

Nitroglycerine

Autisme: belemmering en kracht

Ik denk dat het niet echt is, aangezien de mail oorspronkelijk van xs4all.NET komt, en niet van xs4all.nl .

Hier kon uw advertentie staan

donderdag 27 oktober 2005 12:07

Acties:

Sendy

GoVegan schreef op donderdag 27 oktober 2005 @ 12:01:
[...]
Dat het een debian machine betrefdt heb ik hunze verteld, gewoon voor de duidlijkheid om te weten waarover we praten.

Dus dat e-mailtje in de topicstart is pas verstuurd nadat je contact hebt gehad met xs4all? Ergens lijkt me de tijdlijn niet meer kloppen.

donderdag 27 oktober 2005 12:08

Acties:

Juup

Nitroglycerine schreef op donderdag 27 oktober 2005 @ 12:04:
Ik denk dat het niet echt is, aangezien de mail oorspronkelijk van xs4all.NET komt, en niet van xs4all.nl .

De TS heeft al 3x aangegeven uitvoerig met xs4all hierover te hebben gecommuniceerd. Het zal dus wel echt zijn. We zouden dus ook weer back on topic kunnen gaan.

Een wappie is iemand die gevallen is voor de (jarenlange) Russische desinformatiecampagnes.
Wantrouwen en confirmation bias doen de rest.

donderdag 27 oktober 2005 12:09

Acties:

r0b

Nitroglycerine schreef op donderdag 27 oktober 2005 @ 12:04:
Ik denk dat het niet echt is, aangezien de mail oorspronkelijk van xs4all.NET komt, en niet van xs4all.nl .

http://www.whois.sc/194.109.21.xxx
blaat.xs4all.net (althans, het IP), behoort tot de range van xs4all's NOC, dus dat lijkt redelijk okay.

[ Voor 6% gewijzigd door r0b op 28-10-2005 14:49 ]

donderdag 27 oktober 2005 12:09

Acties:

Teckna

GoVegan schreef op donderdag 27 oktober 2005 @ 11:34:
de headers zijn alsvolgd:
code:
1
Reply-To: abusecentre@xs4all.nl

abusecentre@xs4all?
juist een provider als xs4all zou zich aan de rfc standaarden moeten houden?
http://www.faqs.org/rfcs/rfc2142.html

[ Voor 75% gewijzigd door Teckna op 27-10-2005 12:10 ]

donderdag 27 oktober 2005 12:09

Acties:

SinergyX

____(>^^(>0o)>____

laten we dus even rustig afwachten tot de TS xs4all heeft gebeld, speculaties tot die tijd hoeven dus niet

donderdag 27 oktober 2005 12:11

Acties:

GoVegan

Topicstarter

Sendy schreef op donderdag 27 oktober 2005 @ 12:07:
[...]

Dus dat e-mailtje in de topicstart is pas verstuurd nadat je contact hebt gehad met xs4all? Ergens lijkt me de tijdlijn niet meer kloppen.

het mailtje uit mijn startpost is het laatste mailtje van xs4all ja, misschien vandaar de verwarring..

donderdag 27 oktober 2005 12:15

Acties:

GoVegan

Topicstarter

Sinergy schreef op donderdag 27 oktober 2005 @ 12:09:
laten we dus even rustig afwachten tot de TS xs4all heeft gebeld, speculaties tot die tijd hoeven dus niet

uhu lijkt me ook handig. dit gaat pas vananvond worden (werk enzo he

) het telefonische helpdesk is tot 8 uur open dus

donderdag 27 oktober 2005 12:16

Acties:

Bart

Het mailtje komt wel van xs4all af.

Er werkt daar inderdaad een Hans Pol op abuse.

Plus het ip waarvan de mail afkomstig is behoort tot xs4all zoals al eerder is gezegd.

[ Voor 35% gewijzigd door Bart op 27-10-2005 12:19 ]

I'm not deaf, I'm just ignoring you.

donderdag 27 oktober 2005 12:19

Acties:

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Alsof xs4all al het irc verkeer gaat monitoren of er toevallig melding wordt gemaakt van een "ge-ownde" server

Of zitten die abuse gasten niks anders te doen dan mee te lezen op duistere irc servers?

Op mij komt het allemaal een beetje vreemd over...

En dat adres van die abuse medewerker kan je ook makkelijk zat faken.

[ Voor 15% gewijzigd door Orion84 op 27-10-2005 12:20 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

donderdag 27 oktober 2005 12:26

Acties:

eamelink

Droptikkels

Orion84 schreef op donderdag 27 oktober 2005 @ 12:19:
Alsof xs4all al het irc verkeer gaat monitoren of er toevallig melding wordt gemaakt van een "ge-ownde" server Of zitten die abuse gasten niks anders te doen dan mee te lezen op duistere irc servers?

Euhm, misschien een kwestie van gewoon kijken wie er naar dat bepaalde ip adres connect als je weet dat op die server alle zombies zich aanmelden?

Op mij komt het allemaal een beetje vreemd over...

Natuurlijk, dit mailtje is van een techie van Xs4all, die wel wat snappen van techniek maar niet van mailtjes schrijven

.

Daar om is het mailtje waarschijnlijk zo brakjes

donderdag 27 oktober 2005 12:32

Acties:

Sendy

Er is al contact geweest voor dit e-mailtje. Misschien heeft de schrijver zich ingeleeft in de belevingswereld van de topicstarter, en er daarom wat flexxe termen tussendoor gegooit

donderdag 27 oktober 2005 12:49

Acties:

OkkE

CSS influencer :+

Misschien is het handig om de headers van het aller eerste emailtje te posten? Want ik begrijp dat de geposte header is van het laatste mailtje dat gestuurd is.

“The best way to get the right answer on the Internet is not to ask a question, it's to post the wrong answer.”
QA Engineer walks into a bar. Orders a beer. Orders 0 beers. Orders 999999999 beers. Orders a lizard. Orders -1 beers.

donderdag 27 oktober 2005 13:04

Acties:

soulrider

Mss heeft het hiermee wel iets te maken:
(nieuws van paar dagen terug)

Zombienetwerk veel groter dan aangenomen
(en de links die je in dat nieuws item vind)

en willen ze gewoon voorkomen dat dat netwerk blijft bestaan voor de eerst volgende groep die hun botnet effe willen uitbreiden met reeds gecomprimeerde machine's die nu effe nix aan't doen zijn.

en jeps, ivm dat onderzoek mogen ze wellicht niks meedelen over die server en hoe ze zelf aan die info komen.

(ps: dat is ook 1 van de reden waarom het soms handig is om de tekst waarop je antwoord in de mail te behouden en de rest dan ev. te verwijderen, zodat er zulke twijfel niet mogelijk is)

edit te raanvulling:
het van op afstand weten welke software er draait op je pc / router / gateway is makkelijk met zogenaamde fingerprint software.
Look@lan kan je die info ook zeggen hoor. (en ik mag aannemen dat het abuse-center van een isp wel nog professionelere tools ter beschikking heeft om zulks onderzoek te doen)

[ Voor 35% gewijzigd door soulrider op 27-10-2005 13:07 . Reden: aanvulling ]

donderdag 27 oktober 2005 13:18

Acties:

_JGC_

Het is maar net wat er aanwezig is op die server. Voor een botje die onder de www-data user draait en verder niets: webroot onderzoeken op bugs en een run met chkrootkit voor de zekerheid. Vervolgens logs nakijken of er ook verdachte users aangemaakt zijn. Is er niets aan de hand behalve een www-data draaiend botje, dan zijn je webscripts gewoon te grazen genomen en is een reinstall niet echt noodzakelijk. Zou best lullig zijn, anders zou een produktiewebserver van een webhostingboer nou al 10 reinstalls gehad hebben door lekke scripts van klanten

Laatst een machine gehad die met een dictionary attack op SSH en een kernel exploit gepakt was (krijg je als je kernels niet update omdat je de users vertrouwt, breken ze in op een simpel wachtwoord van een van deze users

). Rootkits hier en daar op het systeem, heb alles onschadelijk gemaakt en afgelopen maandag dat ding opnieuw geinstalleerd. Een machine waarbij alleen een gebruiker tekeer is gegaan vertrouw ik nog, een machine waarop een gebruiker met root-rechten bezig is geweest is gewoon niet meer te vertrouwen.

donderdag 27 oktober 2005 13:39

Acties:

Verwijderd

GoVegan schreef op donderdag 27 oktober 2005 @ 11:34:
de headers zijn alsvolgd:

Ik vind het een beetje jammer dat je je eigen email adres wel uit de headers haalt, maar het adres van de xs4all medewerker, of de namen van hun machines niet.

donderdag 27 oktober 2005 13:44

Acties:

Jesse

Verwijderd schreef op donderdag 27 oktober 2005 @ 13:39:
[...]

Ik vind het een beetje jammer dat je je eigen email adres wel uit de headers haalt, maar het adres van de xs4all medewerker, of de namen van hun machines niet.

Hoe wou jij er dan achterkomen waar die vandaan komt?

Edit: De naam van die ene medewerker, die bedoel ik dus niet specifiek. Maar als je alle namen van hun machines eruit plukt dan heb je niet zo veel meer aan die header lijkt mij.
Die naam staat btw nog steeds in een van de reacties hierboven.

[ Voor 28% gewijzigd door Jesse op 28-10-2005 10:22 ]

donderdag 27 oktober 2005 13:51

Acties:

Verwijderd

Jesse schreef op donderdag 27 oktober 2005 @ 13:44:
[...]

Hoe wou jij er dan achterkomen waar die vandaan komt?

Uhm??? XXXXX@xs4all.nl en XXXX.xs4all.nl van de hostnames en email adressen maken. Maar daar gaat het niet om, mijn punt was dat hij andermans gegevens op het internet dumpt, terwijl hij zijn eigen gegevens wel afschermdt (<- spelfout!!!)

donderdag 27 oktober 2005 14:33

Acties:

GoVegan

Topicstarter

Verwijderd schreef op donderdag 27 oktober 2005 @ 13:51:
[...]

Uhm??? XXXXX@xs4all.nl en XXXX.xs4all.nl van de hostnames en email adressen maken. Maar daar gaat het niet om, mijn punt was dat hij andermans gegevens op het internet dumpt, terwijl hij zijn eigen gegevens wel afschermdt (<- spelfout!!!)

ik moet je hier gelijk in geven ja, en dat vond xs4all ook. ik hem mailje van het helpdesk zelf gehad dat ze draadje op tweakers ook haden gelezen. ook zij vonden dat ik de gegevens van de xs4all medewerker beter even kon verwijderen.

om de echtheid van de mail uit de startpost te bevestigen hier een quote uit het laatse mailtje van het xs4all helpdesk mailtje:

code:

Hierbij nog wat uitleg ter verduidelijking:
- Over het domein: xs4all.net is het domein dat XS4ALL gebruikt voor  
de eigen interne organisatie.
- Over het afzenderadres: XS4ALL gebruikt <abuse@xs4all.nl> in  
overeenstemming met RFC 2142, maar voor communicatie met klanten  
inzake abuse incidenten gebruiken we abusecentre@xs4all.nl. Dat is  
een voor de hand liggend adres voor het Abuse Centre van XS4ALL :-).
- Over het familiaire taalgebruik van Hans: Ik juich het juist toe  
dat hij zaken op een normale, duidelijke manier toelicht, zonder al  
te veel technisch jargon en ingewikkeld gedoe. Dat hij daarbij een  
spelfoutje maakt, lijkt me niet zo'n groot probleem.

ook al veroorzaakt het mij nu wat overlast (of uiteindlijk ik hun), ik blijf xs4all wel cool vinden

donderdag 27 oktober 2005 15:23

Acties:

zomertje

Barisax knorretje

Wel netjes die toelichting. Dat geeft aan dat ze hun klanten toch serieus nemen

En, nog wat sporen teruggevonden op je server? Hoe ze zij binnengekomen bijvoorbeeld?

het ultieme jaargetijde.... | #!/usr/bin/girl | Art prints and fun

donderdag 27 oktober 2005 15:27

Acties:

r0bert

LoL.. Ik heb zo'n flauw vermoeden dat iemand die dit topic leest erachter zit

donderdag 27 oktober 2005 15:58

Acties:

GoVegan

Topicstarter

zomertje schreef op donderdag 27 oktober 2005 @ 15:23:
Wel netjes die toelichting. Dat geeft aan dat ze hun klanten toch serieus nemen

En, nog wat sporen teruggevonden op je server? Hoe ze zij binnengekomen bijvoorbeeld?

ga ik vanavond mee bezig, zit nu op mijn werk dus

gezien mijn logfiles:

code:

1
2

Oct 21 23:52:12 borre sshd[19814]: Failed password for illegal user chavis from ::ffff:on.bek.end.ip port 35830 ssh2
Oct 22 00:12:13 borre sshd[19870]: Failed password for illegal user michael from ::ffff:on.bek.end.ip port 3674 ssh2

hebben ze gewoon random geprobeert via ssh.
Geen lijst met vertrouwde ip adressen aangemaakt nee

Maar verder kon ik niets mijn mijn logfiles vinden.
nu ben ik daar ook geen expert in maar toch.

chkrootkit en rootkithunter gaven mijn ook geen verdere info..
ik vind het maar crapy. ga de security link in de reste reply maar een goed bestuderen en op naar en herinstall.

oja een trace op de onbekende ip adressen kwamen uit op tokyo/azie en polen.

[ Voor 54% gewijzigd door GoVegan op 27-10-2005 20:40 ]

vrijdag 28 oktober 2005 11:25

Acties:

GoVegan

Topicstarter

nog linkje voor de mensen met zelfde probleem of gewoon voor wat meer info:
http://gathering.tweakers...074048///zombie%2Cnetwerk

vrijdag 28 oktober 2005 13:48

Acties:

Keeper of the Keys

Mag ik toch nog een vraagteken zetten bij je xs4all mails.

Ik neem aan dat zij zijn begonnen met e-mailen, dus tot je over de telefoon hebt gechecked met xs4all of het echt is kun je niet weten aan de headers of de "bevestigende" mail of degene die je die mails heeft gestuurd niet gewoon toevallig ook op GoT zit en dus nog een nieuw mailtje heeft gestuurd om alle twijfels weg te werken...

vrijdag 28 oktober 2005 14:48

Acties:

r0b

KeeperoftheKeys schreef op vrijdag 28 oktober 2005 @ 13:48:
Mag ik toch nog een vraagteken zetten bij je xs4all mails.

Ik neem aan dat zij zijn begonnen met e-mailen, dus tot je over de telefoon hebt gechecked met xs4all of het echt is kun je niet weten aan de headers of de "bevestigende" mail of degene die je die mails heeft gestuurd niet gewoon toevallig ook op GoT zit en dus nog een nieuw mailtje heeft gestuurd om alle twijfels weg te werken...

Achterdochtig is soms goed, maar té achterdochtig hoeft ook niet.

blaat.xs4all.net hoort bij xs4all's NOC, dus dat strookt ook wel aardig met de e-mails.
Plus dat dit alleen maar waarschuwing emails zijn.

vrijdag 28 oktober 2005 16:40

Acties:

weijl

*knip*
-overbodig imo-

[ Voor 117% gewijzigd door weijl op 28-10-2005 16:41 ]

Pagina: 1

Reageer