Re: server irc ddosnetu

Autor: Dominik 'Rathann' Mierzejewski <dominik_at_usenet.rangers.eu.org>
Data: Sun 04 Nov 2007 - 20:40:05 MET
Message-ID: <fgl76l$t9n$1@onizuka.greysector.net>
Content-Type: text/plain; charset=UTF-8

Date: Sun, 04 Nov 2007 19:42:09 +0100
From: Piotr
> Witam,

> Kawal czasu monitoruje zachowanie komputerow klientow - zombies, ktore
> probuja laczyc sie z hostem pod adresem irc.swpower-team.net. Po
> nawiazaniu polaczenia zaczynaja skanowac cale sieci (polecenie
> umieszczone w temacie kanalu), do ktorych sa dolaczone. Oczywiscie od
> czasu do czasu biora udzial w atakach ddos.

> Co ciekawe, wszystko opiera sie na adresie irc.swpower-team.net, dla
> ktorego wpis IN A sie zmienia, po moich doniesieniach do abuse@CERT oraz
> abuse ISP, do ktorego nalezy adres IP serwera irc.

> Dysponuje calym procesem logowania do takiego serwera (kanal, haslo),
> jednak nie publikuje go, ze wzgledu na to, ze jakis scriptkiddie moglby
> to wykorzystac. Na jego postawie mozna spokojnie wbic sie na kanal, na
> ktorym siedza zombies.

> Moje pytanie brzmi: czy mozna jakos dobrac sie do wlasciciela domeny i
> wymusic zablokowanie?

Wg whois:
$ jwhois swpower-team.net
[Querying whois.verisign-grs.com]
[Redirected to whois.melbourneit.com]
[Querying whois.melbourneit.com]
[whois.melbourneit.com]

Domain Name.......... swpower-team.net
  Creation Date........ 2006-12-12
  Registration Date.... 2006-12-12
  Expiry Date.......... 2007-12-12
  Organisation Name.... ADRIAN TOMS
  Organisation Address. 1 THIRD AVENUE BROWNHILLS
  Organisation Address.
  Organisation Address. WEST MIDLANDS
  Organisation Address. WS86JL
  Organisation Address. none
  Organisation Address. UNITED KINGDOM

Admin Name........... ADRIAN TOMS
  Admin Address........ 1 THIRD AVENUE BROWNHILLS
  Admin Address........
  Admin Address........ WEST MIDLANDS
  Admin Address........ WS86JL
  Admin Address........ none
  Admin Address........ UNITED KINGDOM
  Admin Email.......... tina_with_polo@yahoo.com
  Admin Phone.......... +1.079071399395
  Admin Fax............

Tech Name............ YahooDomains TechContact
  Tech Address......... 701 First Ave.
  Tech Address.........
  Tech Address......... Sunnyvale
  Tech Address......... 94089
  Tech Address......... CA
  Tech Address......... UNITED STATES
  Tech Email........... domain.tech@YAHOO-INC.COM
  Tech Phone........... +1.6198813096
  Tech Fax.............
  Name Server.......... ns1.everydns.net
  Name Server.......... ns2.everydns.net

O ile dobrze pamiętam, to nie wolno używać adresów @yahoo.com jako adresów
kontaktowych. Adres pocztowy chyba jest prawdziwy (kod pocztowy zgadza się
z adresem, chociaż powinno być Walsall, a nie Brownhills). Warto by
sprawdzić, czy podany osobnik mieszka pod takim adresem. Telefon (Admin
Phone) się nie zgadza, bo kierunkowy do Brownhills to 01543, a do Walsall
01922. Zresztą w ogóle jest dziwny, bo prefiks kraju ma +1, czyli USA,
a w USA nie ma kierunkowego 079. Z tymi danymi można zgłosić registrarowi,
że rejestrujący podał nieprawdziwe dane.

Pozdrawiam,
R. 

-- 
"I've always wanted to be an executioner, that's why I became a sysadmin."
-- Jim Howes at news.admin.net-abuse.email
Received on Sun Nov 4 21:05:08 2007

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 04 Nov 2007 - 21:40:00 MET