Autor: Racz_at_okapi.ict.pwr.wroc.pl
Data: Fri 27 Feb 2004 - 11:16:17 MET
Piotr KUCHARSKI <chopin_at_sgh.waw.pl> nakibordził(a):
>od kilku dni obserwujemy ataki na serwery IRC.pl i całe sieci klientów
Potwierdzam. Na tepsianym dslu:
09:52:10.776113 IP 149.156.119.1.6667 > 80.53.167.221.17991: . ack
4063649333 win 65535
09:52:10.776845 IP 149.156.119.1.6667 > 80.53.167.222.17992: . ack
4046937653 win 65535
09:52:12.829049 IP 149.156.119.1.6667 > 80.53.167.218.44614: . ack
1697288566 win 65535
09:52:12.829803 IP 149.156.119.1.6667 > 80.53.167.220.44618: . ack
1630441846 win 65535
Więc leci po różnych ipkach... oczywiście caly czas się to powtarza.
Jak zauważył Przemek Popielarski ID jest wszędzie identyczne:
09:55:47.503499 IP (tos 0x0, ttl 47, id 39426, offset 0, flags [none],
^^^^^^^^
>Uprzejmie proszę o przyjrzenie się swoim sieciom i zgłaszanie
>takich przypadków swoim providerom, dobrze by było z kopią do
>CERT Polska.
Poszło do abuse'a i certu.
ATSD - jak będzie najlepiej się tym zająć? DROPować 6667 port? Na razie tak
zrobiłem...
-- "Exec powinien działać, mazać partycje, uruchamiać jakieś fizdrygałki a mój mi nie działa i tylko denerwuje." /K. Puchatek/
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:14:37 MET DST