Dumpet...

Tjah, det er vel bare endnu en windows-virus, som brute-forcer tilfældige sshd'er.

Jeg kan huske, da Code Red og Nimda var på sit højeste. Det fyldte rigtig godt i httpd-log'en, og i stedet for en 404 fandt man ud af at returnere en statisk html-side for at spare nogle bytes. I starten sad jeg også og skrev til abuse-adresser (måske skulle du skrive til den hos Fuzion?), men det blev hurtigt en kende sygt. Selv om specielt TDC var rigtigt gode til at reagere hurtigt. Der skete vel så det, at kunden re-installerede Windows, gik på nettet med samme upatchede version, og fik ormen igen to minutter efter.

Jeg kender ikke Fuzion, men der er ET eller andet med firmaer, der anvender Z'er i stedet for S'er ...

Fuzion er primært et hostingcenter, hvor man lejer et rackskab og selv er ansvarlig for de servere man stopper i dem - der er derfor en hvis sandsynlighed for at den hackede server tilhører en kunde og altså ikke en server Fuzion nødvendigvis er ansvarlig for.

Jeg er selv tidligere kunde og jeg har ikke oplevet andet end en professionel service da jeg havde servere hos dem og synes måske nok det er lige hårdt nok at hænge dem ud på den her måde fordi de ikke lige svarer på en email :)

Jeg må indrømme, at jeg mener det er fair nok, at de ikke tjekker en support mail hver anden time.

Jeg vil antage at man som kunde har deres 24x7 nød nummer, og at man sikkert kan træffe dem der, hvis det er noget der skal løses her og nu.

Med den whois indgang, og uden indgang i in-addr.arpa, hvordan finder man så den ansvarlige hvis ikke fu[zs]ion reagerer?

det der med en alfabetisk liste af navne på mine sshd servere, derfor da det kun er mig der bruger dem er de flytte til nogle andre portnumre og problemet var pist væk

mvh Peter

Kære Poul,

Mange tak for din sviner...
Det er hårde ord. Fuzion driver to store datacentre i Jylland, desuden har vi et landsdækkende DSL og fibernetværk og administrere mange tusinde IP adresser. Derfor er "angreb" fra IP adresser i vores netværk nok uundgåeligt, da hovedparen tilhøre kunder som selv administrere deres eget udtsyr.

Vores 24/7 NOC er ganske tilgængelig og vi har også modtaget din mail kl. 16:55. Dog må det siges et den mail som du sendte ikke giver anledning til action, da den ikke indeholder nogle log informationer af nogen art, blot at den givne IP forsøger at brute-force en maskine du administrere. Det er jo ikke meget at arbejde med.

Det er da beklageligt at vi dumper hos dig, så kan vi blot glæde os over et nogle af landets meget store virksomheder har en anden opfattelse.

Morten Klank
Direktør i Fuzion A/S

Som jeg kan se ud fra en reverse DNS er der ikke tilknyttet noget domæne til adressen.

Hvis man tilsvarende laver en whois på f.eks. en adsl forbindelse hos Siminn hvor der heller ikke er noget tilknyttet domæne er det eneste man kan finde ud af at der er tale om en ip adresse i Siminns netværk.

Vil du mene at det så er Siminns skyld at der sidder en kompromitteret maskine på deres netværk?

Eller korriger mig hvis der er noget jeg har misforstået.

/Christian

Nej, det er ikke Siminns skyld, men jeg mener at det må være deres ansvar at minimere antallet af kompromitterede maskiner...

Jeg tror det hele bunder i den mangel på reaktion der er fra Fuzions side.

-Der kommer ikke en bekræftende mail om at de har modtaget hans rapport og ser på det.
-Der kommer ikke en anmodning om yderligere information.
-Der kommer ikke engang en "vi blander os ikke i hvad vores kunder gør med deres maskiner".

Helt konkret lader det til at en af de maskiner som Fuzion hoster, er blevet hacket/inficeret med virus og nu er igang med at hærge videre. Hvis jeg havde en server hostet, med et sådan problem og min host, var bevidst om det, grundet henvendelser udefra, men bare valgte at ignorere det, så ville jeg sku' nok også føle at de som host havde dumpet.

Klassisk "vi har ikke gjort noget forkert" svar. En mere ydmyg holdning havde måske givet et bedre billede af virksomheden.

Vores 24/7 NOC er ganske tilgængelig og vi har også modtaget din mail kl. 16:55. Dog må det siges et den mail som du sendte ikke giver anledning til action, da den ikke indeholder nogle log informationer af nogen art, blot at den givne IP forsøger at brute-force en maskine du administrere. Det er jo ikke meget at arbejde med.

Hvad skal i da have at arbejde med? Og er det ikke godt nok at i får "afsender" IP adressen, så kunne i jo have chekket dens trafik og set om der var noget underligt?
Desuden, hvis i læste den der klokken 16:55, så har jeres NOC vel skrevet tilbage til PHK og bedt om yderligere oplysninger?

Det er da beklageligt at vi dumper hos dig, så kan vi blot glæde os over et nogle af landets meget store virksomheder har en anden opfattelse.

"bla bla, vi tror ikke at du er en vigtig person Poul". Og lige der tager i så fejl. Jeg tror at PHK er en yderst respekteret dansker når det kommer til hans tekniske evner. Jeg tror der er mange som lytter til PHK.

Jeg synes Fuzion skulle have været gået mere i dialog om hvordan man bedst rapporterer vigtige fejl. Det kunne måske være et betalings telefon nummer som blev besvaret døgnet rundt.

Jeg kender ikke mange firmaer, der svarer på mail til support indenfor to timer udenfor åbningstid.

Om man får en automatisk "vi har modtaget din mail"-besked er for mig ligegyldigt. Jeg regner som regel alligevel med, at den er nået frem. Det, der betyder noget, er snarere, hvor hurtigt de reagerer derefter.

Det eneste, man kan klandre Fuzion for i denne forbindelse er, at de ikke har oplyst en abuse-kontakt på hverken deres hjemmeside eller i RIPE.

".. Dog må det siges et den mail som du sendte ikke giver anledning til action, da den ikke indeholder nogle log informationer af nogen art, blot at den givne IP forsøger at brute-force en maskine du administrere. Det er jo ikke meget at arbejde med."

Morten, det er her, Fuzion dumper. Denne klare og fornuftige besked kunne blot være sendt som svar med et minimum af anstrengelse.

Arrogance kommer man ikke langt med i lille Danmark. Står på side 1 i PR-håndbogen.

Det er ihvertifald meget normalt at der ikke kommer respons!

Jeg tror at de fleste servere dagligt oplever lignende "angreb" og at det bare vil koste for mange ressourcer at følge hvert eneste forsøg på at bryde ind.

Jeg oplever f.eks. også sjældent respons på SpamCop rapporter (spamcop.net - ikke .com). De fleste spam rapporter (flere tusind om dagen) giver ikke nogen reaktion og de få der reagere er enten fordi jeg kender dem eller de kender os - eller nogen der bliver stik hamrende tossede over at jeg anmelder dem for ikke at reagere på indtil flere forsøg på afmelding over en periode på mindst 14 dage! :-)

Google? http://www.google.com/search?q=abuse+fuzion.dk
(første hit - om det er korrekt ved jeg ikke)

En lidt ældre (men stadig relevant) artikel om emnet: http://www.securityfocus.com/infocus/1555

Mvh,
Søren

$whois -h whois.ripe.net -rB -T aut-num AS34932

Er det nødvendigt at chekke igen? For det første du gør når du vil have fat i nogen om misbrug af domainet er vel at sende en email til abuse?

"Det er jo trods alt ikke alle der har deres eget AS#"

Ej heller ikke alle der ved hvad et AS# er.

/Martin