alleen ipadres bekend van virus-verstuurder - Internet en hosting

dinsdag 30 december 2003 20:11

Acties:

Topicstarter

Ik krijg elke keer een virus binnen vanaf 1 pc met een bepaald ip adres. Met lookatlan weet ik de volgende dingen van dit ip adres. Dit geeftde traceroute aan

01 192.168.1.1 - 0 ms
02 ********* bbned-demon-nrp-07.router.nl.demon.net 70 ms
03 ********* ams3-core-1-ge-0-2-0-0.router.nl.demon.net 40 ms
04 ********* ams3-border-1-ge-0-1-0-0.router.nl.demon.net 30 ms
05 ********* ams-ix-1.ip.tiscali.net 30 ms
06 ********* tiscali-nl-2.ip.tiscali.net 40 ms
07 ********* mx-dsl1.net.tiscali.nl 30 ms
08 ********* - 30 ms
--> ********* **-***-***-***-mx.xdsl.tiscali.nl 330 ms

Poort 139 staat open, maar op het net send command wordt niet gereageerd (tot nu toe).

Mail naar tiscali lukt nog niet helemaal. 't moet een oude bekende van me zijn, want hij / zij gebruikt mijn oude emailadres (misschien wel mijn ex :-) ) Alleen ik weet niet welke oude bekende

Wie weet hoe ik nog meer info kan krijgen of meer kan doen?

[edit]
is het "net send [ip] [bericht]" of "net send /[ip] /[bericht]"

[ Voor 12% gewijzigd door Eusebius op 30-12-2003 20:14 ]

==
hoi

dinsdag 30 december 2003 20:13

Acties:

wildhagen

Blablabla

Als het een oude bekende is, zou ik zeggen: bel hem ff, en vraag zijn IP? Of stuur hem een mail oid

[ Voor 16% gewijzigd door wildhagen op 30-12-2003 20:13 ]

Virussen? Scan ze hier!

dinsdag 30 december 2003 20:14

Acties:

Eusebius

Topicstarter

srry aangepast

==
hoi

dinsdag 30 december 2003 20:15

Acties:

Gé Brander

MS SQL Server

Je weet dat het tiscali is en je weet dat het adsl of sdsl is. Dus ga al je bekenden na die een adsl of sdsl aansluiting hebben en bij tiscali zitten. Dat kunnen er toch nooit meer dan een paar zijn toch?

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

dinsdag 30 december 2003 20:19

Acties:

Eusebius

Topicstarter

Nou ... zo weinig bekenden heb ik niet. Maar ze zitten vnl verspreid over nederland. Hoe kan ik zien waar ongeveer ik moet zoeken?

ik heb bv demon nrp-07. Nou ja, dat is duidelijk utrecht ergens in het midden van het land :-)

==
hoi

dinsdag 30 december 2003 20:23

Acties:

Rac-On

enige oplossing is gewoon mailtje naar tisc sturen.. heb dat soort dingen wel eens gedaan met een hacker..
geen probleem, ze zeiden dat ze het zouden oplossen en daarna geen last meer van gehad... mailtje naar abuse@tisc.nl oid?

doet niet aan icons, usertitels of signatures

dinsdag 30 december 2003 20:25

Acties:

Eusebius

Topicstarter

ja, maar ik heb tot nu toe dat adres niet gevonden (nog niet goed gezocht

)

==
hoi

dinsdag 30 december 2003 20:27

Acties:

Icey

Eusebius schreef op 30 december 2003 @ 20:25:
ja, maar ik heb tot nu toe dat adres niet gevonden (nog niet goed gezocht )

adres: abuse@provider.watever, werkt bijna altijd wel

je weet zijn ip adres toch? mailtje met daarin wie wat waar hoe, welk virus en klaar. Niet zelf mee gaan klote

dinsdag 30 december 2003 20:38

Acties:

Eusebius

Topicstarter

maar ik wil graag weten welk gebied van nederland dit is. Op welke manier kun je dat ongeveer uitzoeken?

==
hoi

dinsdag 30 december 2003 20:44

Acties:

JF_

Eusebius schreef op 30 december 2003 @ 20:38:
maar ik wil graag weten welk gebied van nederland dit is. Op welke manier kun je dat ongeveer uitzoeken?

Niet. Je kunt mazzel hebben als de provider een ander netblock gebruikt per regio, maar meestal is de koppeling tussen IP en regio erg vaag.

dinsdag 30 december 2003 20:48

Acties:

AaroN

JayGTeam (213177)

misschien beetje vreemde opmerking maar staat mx-dsl1 niet gewoon voor mailserver?

JayGTeam (213177)

dinsdag 30 december 2003 22:52

Acties:

Eusebius

Topicstarter

Zou best kunnen. Daar heb ik geen kaas van gegeten. Ik dacht dat er misschien medeGotters waren die dat wel weten.

==
hoi

dinsdag 30 december 2003 22:56

Acties:

Verwijderd

is gewoon een mx record en dwz dat hij via een dns entry en niet op ipnr is verstuurt meer niet. kan elke halvezool uit nederland zijn dus.

dinsdag 30 december 2003 23:04

Acties:

Verwijderd

Bij adsl is het zo dat er een serie ip nummers aan een centrale toegekend wordt. Ga je verhuizen dan krijg je automatisch een ander ip-adres. (het ip-adres uit een serie die aan de desbetreffende centrale is toegekend.)

bij ADSL is het zo dat je vanuit een ip-adres wel kan na gaan waar het vandaan komt alleen weet ik niet hoe

dinsdag 30 december 2003 23:06

Acties:

Verwijderd

klopt maar je kunt niet zien van welke serie hij afkomstig is elke serie heeft een eigegateway die hem weer verder vewijst

dinsdag 30 december 2003 23:08

Acties:

Rob

Verwijderd schreef op 30 december 2003 @ 22:56:
is gewoon een mx record en dwz dat hij via een dns entry en niet op ipnr is verstuurt meer niet. kan elke halvezool uit nederland zijn dus.

kan je dat uitleggen?

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

dinsdag 30 december 2003 23:14

Acties:

Verwijderd

ja, het is zo dat er in een wijk een centrale is waar alle ipnr's worden uitgedeeld, deze nummers hebben allemaal dezelfde gateway.

bij een sdsl account kan het zijn dat de gebruiker een range van ipnummers krijgt toegewezen, op die ipnummers kunnen meerdere (zelfs veel) domeinen draaien en die worden allemaal verwezen naar een dns. dus het kan ook zo zijn dat deze persoon via een ander domein zijn mail verstuurt bijvoorbeeld via de mailserver van dat domein dat in die range valt.

die gebruker kan dus in de hele wereld zitten

dinsdag 30 december 2003 23:20

Acties:

Rob

Verwijderd schreef op 30 december 2003 @ 23:14:
ja, het is zo dat er in een wijk een centrale is waar alle ipnr's worden uitgedeeld, deze nummers hebben allemaal dezelfde gateway.

bij een sdsl account kan het zijn dat de gebruiker een range van ipnummers krijgt toegewezen, op die ipnummers kunnen meerdere (zelfs veel) domeinen draaien en die worden allemaal verwezen naar een dns. dus het kan ook zo zijn dat deze persoon via een ander domein zijn mail verstuurt bijvoorbeeld via de mailserver van dat domein dat in die range valt.

die gebruker kan dus in de hele wereld zitten

Je verhaal is vaag (klepel en klok idee heb ik zelf, sorry) , maar het laatste stukje begrijp ik.
Maar ondanks dat het zo kan zijn dat men via die mailserver mail stuurt, dan is het in de meeste gevallen nog zo dat je het ip adres kan zien van de verstuurder.

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

dinsdag 30 december 2003 23:21

Acties:

Verwijderd

klopt maar het kan ook zo zijn dat hij het verstuurt via een form of iets dergelijks en dat is serverbased. hat is gewoon lastig, je zou inderdaad gewoon een klacht kunnen indien bij de provider of het ipnr blokken.

dinsdag 30 december 2003 23:27

Acties:

LaterGast.nl

Doe je dat.

Had het ook uit mn hoofd kunnen vertellen omdat ik er werk maar het is
hier te vinden : http://www.tiscali.nl/home/contact/default.asp
DUS:
abuse at tiscali.nl
voor het melden van internetmisbruik

Graag ook de headers meesturen van de mail

> edit o tis geen mailtje, verhaaltje blijft t zelfde
> edit 2 @ > at

[ Voor 18% gewijzigd door LaterGast.nl op 31-12-2003 12:17 ]

Taking PORN off the internet is trying to get pee out of a swimming pool!!!

dinsdag 30 december 2003 23:30

Acties:

Eusebius

Topicstarter

Heb een mailtje met 1 header (ip adres is toch tig keer hetzelfde) naar service adres gestuurd. Abuse leek me niet van toepassing; immers de persoon doet het niet met opzet.

Latergast.nl: als je er werkt, kun je aan de gegevens / ip zien waar de persoon zich ongeveer bevindt in nederland?

==
hoi

dinsdag 30 december 2003 23:38

Acties:

Rob

Stuur toch maar naar de abuse afdeling. Het blijft namelijk misbruik van de verbinding, ook al is het onbedoeld.

Als latergast kan zien waar ongeveer in NL dat ip adres zich bevind, dan mag hij het waarschijnlijk niet zeggen.

[ Voor 35% gewijzigd door Rob op 30-12-2003 23:39 ]

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

woensdag 31 december 2003 02:56

Acties:

Verwijderd

Verwijderd schreef op 30 december 2003 @ 22:56:
is gewoon een mx record en dwz dat hij via een dns entry en niet op ipnr is verstuurt meer niet. kan elke halvezool uit nederland zijn dus.

Vrij knap dat je een reverse lookup faket

Klok klepel verhaal, heb ik dus het idee

Uitleg:
_{TS geeft aan een ip te hebben. Als je een traceroute doet naar dat ip-adres dan is het traceroute programma'tje zo aardig voor je om i.p.v. ip-adressen hostnamen weer te geven. Hiervoor wordt er een (reverse) lookup op het IP-adres gedaan (zogenaamde PTR records in DNS termen). Deze staan toch echt alleen in de DNS-server van de betreffende provider geregistreerd en ga je van buitenaf niet zomaar even aanpassen

Andersom kan het wel. Je kunt wel een hostnaam naar een willekeurig ip-adres laten verwijzen, zolang jij de DNS-zone waarin deze hostname valt maar in je beheer hebt en dat is wat jij dus waarschijnlijk bedoelt. Probleem is alleen dat je altijd op een IP uit zult komen en met dat IP voer je dus een reverse lookup uit, zodat je zeker weet met wie je praat}

Maar goed, zoals al gezegd is de makkelijkste en netste manier gewoon contact opnemen met de abuse afdeling via een e-mailtje. Leg ze je probleem voor, dan zorgen zij wel voor de rest. Een ISP zit namelijk ook niet echt te wachten op een klant die allerlei virussen heeft en zodoende weet ik hoeveel extra onnodig dataverkeer kan/zal genereren.

[ Voor 19% gewijzigd door Verwijderd op 31-12-2003 02:59 ]

woensdag 31 december 2003 03:02

Acties:

Laurenz

Op www.visualroute.net kan je nog het een en ander te weten komen over de "eigenaar" van het IP-adres..

Leave only footprints, take only memories

woensdag 31 december 2003 12:17

Acties:

LaterGast.nl

Doe je dat.

@ Eusebius & - Rob- :
kunnen het idd wel te weten komen met de logs ed maar dat brengen we niet verder naar buiten als het gegrond is en dus vaker voorkomt kunnen we hier met de betreffende persoon verder op ingaan. En wij gaan er in het begin ook van uit dat iemand dit niet express doet. Daar kom je snel genoeg achter.

Taking PORN off the internet is trying to get pee out of a swimming pool!!!

woensdag 31 december 2003 15:28

Acties:

Eusebius

Topicstarter

Nou ja, t zou wat zijn als ik zomaar gegevens kreeg ...

maarree had ik beter een mail naar "abuse" ipv "service" moeten sturen? 't lijkt me, als het niet goed is, dat ze 't mailtje intern doorsturen. Kleine moeite, gemak van de techniek.

==
hoi