ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Aleksey Barabanov                    2:5020/400     20 Mar 2003  11:55:29
 To : Andrey Tapkin
 Subject : Re: Hacked!
 -------------------------------------------------------------------------------- 
 

 Andrey Tapkin wrote:
 
 > Помогите, плиз, разобраться:
 > Компьютер нашей компании подключен через выделенный
 > HomeVPN у провайдера одного московского, у которого стоит squid,
 > который и позволяет нам пользоваться интернетом. Хотя может
 
 ХоумВиПиЭн через сквид ? Видал такое только в АББ. Hо каких только чудес не 
 бывает ;)
 
 > это и не имеет значения. Hа нашем компьютере стоит также Вингейт,
 > который позволяет остальным офисным компам в этой локальной
 > сети выходить в интернет.
 
 М-м-м ? Что такое "выходить в интернет" ? А ! Это бровзить по http Интернет 
 ! Hу так бы сразу и написали ;)
 
 > Сегодня провайдер наш сообщил, что через нас ночью прокачали
 > большое кол-во информации, и хочет выставить счет за это дело.
 > Прокачка, будто бы была через 1080порт (сокс), и дальше на 25-ый.
 > Возможно ли это и что вообще можно сделать?
 
 Все возможно. Самое возможное, что кто-то по наводке вашего провайдера это и 
 сделал. Ибо ISP обязаны проверять оупен-реллеи и оупен-прокси. Hо после 
 проверки они должны вас поставить в извествность и предложить перекрыть 
 дыру под угрозой принудительного блокирования. А в вашем случае решили 
 сначала попользоваться , а потом уже еще и за ваш счет оплатить свой аудит.
 
 > Также еще информация есть:
 > компьютер не перезагружался в течение суток, и есть данные про трафику
 > с нашего компьютера:
 > sent 14074500 пакетов
 > recv 10450500 пакетов.
 > Можно быть это поможет как-то.
 > P.S. Чему равен размер пакета? Как он определяется?
 > 
 > Вот несколько строчек провайдерских логов из tcpdump (xxx.xxx.xxx.xxx -
 
 То что вам предъявили логи tcpdump говорит о том, что провайдер знал о 
 ситуации и контролировал ее. А меры к перекрытию не предпринял.
 
 > наш айпи):
 > 11:31:46.340422 xxx.xxx.xxx.xxx.4330 > 205.188.156.122.25: P
 > 4057249939:4057249945(6) ack 1836123580 win 16672 (DF)
 > 11:31:46.341841 xxx.xxx.xxx.xxx.3210 > 64.12.137.121.25: P
 > 71660585:71660591(6) ack 237317146 win 16864 (DF)
 > 11:31:46.343738 207.253.106.170.25 > xxx.xxx.xxx.xxx.4717: R 0:0(0) ack
 > 237413383 win 0 (DF)
 > 11:31:46.346813 208.186.64.75.3305 > xxx.xxx.xxx.xxx.1080: P
 > 314101637:314101671(34) ack 4259051456 win 17056 (DF)
 
 Вот здесь на ваш проксевый порт поступает запрос из Интернета. С какого это 
 вдруг у вас открыт этот сервис наружу ?
 
 > 11:31:46.355312 66.28.236.92.46468 > xxx.xxx.xxx.xxx.1080: S
 > 2650014674:2650014674(0) win 5840 <mss 1460,sackOK,timestamp 752587916
 > 0,nop,wscale 0> (DF)
 > 11:31:46.355967 xxx.xxx.xxx.xxx.1080 > 66.118.180.9.3016: P
 > 228160216:228160266(50) ack 3784127914 win 17380 (DF)
 > 11:31:46.356916 xxx.xxx.xxx.xxx.3119 > 218.4.61.50.25: . ack 28294688 win
 > 16233 (DF)
 
 А вот здесь через вашу дырку кого-то начинаю иметь спамом. Очень это 
 некрасиво !
 
 > 11:31:46.357364 xxx.xxx.xxx.xxx.1080 > 157.156.1.140.42267: . ack
 > 490443873 win 16531 <nop,nop,timestamp 948968 159264843> (DF)
 > 11:31:46.360326 xxx.xxx.xxx.xxx.4184 > 64.12.138.152.25: P
 > 4259922528:4259922562(34) ack 864124577 win 17064 (DF)
 > 11:31:46.363567 xxx.xxx.xxx.xxx.1080 > 66.28.236.92.46468: R 0:0(0) ack
 > 2650014675 win 0
 
 Ваше письмо не имеет никакого отношения к данной эхе. Hо тем не менее, 
 позвольте дать вам маленький совет. Hа мой взгляд вами грубо 
 воспользовались. Ваш провайдер нечистоплотен. Hезависимо от того, есть и у 
 этого ISP лицензия или нет, соберите все протоколы (а если не хватает их у 
 вас, прикиньтесь чайником и попросите у вашего ISP) и вместе со всем этим 
 шитом в то , во что теперь превратилось "управление Р". Может вы и 
 потеряете чистоту отношений с вашим ISP (может его просто закроют), но 
 платить вам всяко ничего не придется ! Это я вам гарантирую. Со стороны 
 провайдера в явном виде обнаруживается непрепятствованию преступлению. А 
 фактически предоставление технической возможности для такого преступления. 
 Потому что не вы должны выполнять полиси Интернета а тот кто дал вам 
 подключение. Свяжитесь с 64.12.138.152.25 и другими жертвами и они вам 
 добавят фактического материала.
 
 Bye.
 ------------------------
 Aleksey Barabanov <alekseybb@mail.ru>
 
 PS:Правда я думаю все ограничится просто увольнением того оператора, который 
 запустив tcpdump для сбора статистики не отключил ваше соединение после 
 первого десятка мегов.
 
 --- ifmail v.2.15dev5
  * Origin: home (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Hacked?   Andrey Tapkin   19 Mar 2003 20:14:05   Re: Hacked?   Dmitri A. Martynoff   19 Mar 2003 20:21:48   Re: Hacked?   Sergey_Afonin   20 Mar 2003 12:10:28   Re: Hacked?   Alexander   19 Mar 2003 20:30:33   Re: Hacked?   Michael de\'OZ   19 Mar 2003 20:44:19   Re: Hacked?   Alexander   19 Mar 2003 21:29:05   Re: Hacked?   Sergey_Afonin   20 Mar 2003 12:09:54   Re: Hacked!   Aleksey Barabanov   20 Mar 2003 11:55:29   Re: Hacked!   Sergey_Afonin   20 Mar 2003 12:08:52   Re: Hacked!   Aleksey Barabanov   20 Mar 2003 12:39:18   Re: Hacked!   Sergey_Afonin   20 Mar 2003 12:57:18   Re: Hacked!   Aleksey Barabanov   20 Mar 2003 13:28:03   Re: Hacked!   Vladimir Goncharov   20 Mar 2003 15:29:42   Re: Hacked!   Sergey_Afonin   20 Mar 2003 15:54:28   Re: Hacked!   Oleg   25 Mar 2003 19:31:43   Re: Hacked!   Oleg   25 Mar 2003 19:10:42