Date: Sun, 04 Nov 2007 19:42:09 +0100
From: Piotr
> Witam,
> Kawal czasu monitoruje zachowanie komputerow klientow - zombies, ktore
> probuja laczyc sie z hostem pod adresem irc.swpower-team.net. Po
> nawiazaniu polaczenia zaczynaja skanowac cale sieci (polecenie
> umieszczone w temacie kanalu), do ktorych sa dolaczone. Oczywiscie od
> czasu do czasu biora udzial w atakach ddos.
> Co ciekawe, wszystko opiera sie na adresie irc.swpower-team.net, dla
> ktorego wpis IN A sie zmienia, po moich doniesieniach do abuse@CERT oraz
> abuse ISP, do ktorego nalezy adres IP serwera irc.
> Dysponuje calym procesem logowania do takiego serwera (kanal, haslo),
> jednak nie publikuje go, ze wzgledu na to, ze jakis scriptkiddie moglby
> to wykorzystac. Na jego postawie mozna spokojnie wbic sie na kanal, na
> ktorym siedza zombies.
> Moje pytanie brzmi: czy mozna jakos dobrac sie do wlasciciela domeny i
> wymusic zablokowanie?
Wg whois:
$ jwhois swpower-team.net
[Querying whois.verisign-grs.com]
[Redirected to whois.melbourneit.com]
[Querying whois.melbourneit.com]
[whois.melbourneit.com]
Domain Name.......... swpower-team.net
Creation Date........ 2006-12-12
Registration Date.... 2006-12-12
Expiry Date.......... 2007-12-12
Organisation Name.... ADRIAN TOMS
Organisation Address. 1 THIRD AVENUE BROWNHILLS
Organisation Address.
Organisation Address. WEST MIDLANDS
Organisation Address. WS86JL
Organisation Address. none
Organisation Address. UNITED KINGDOM
Admin Name........... ADRIAN TOMS
Admin Address........ 1 THIRD AVENUE BROWNHILLS
Admin Address........
Admin Address........ WEST MIDLANDS
Admin Address........ WS86JL
Admin Address........ none
Admin Address........ UNITED KINGDOM
Admin Email.......... tina_with_polo@yahoo.com
Admin Phone.......... +1.079071399395
Admin Fax............
Tech Name............ YahooDomains TechContact
Tech Address......... 701 First Ave.
Tech Address.........
Tech Address......... Sunnyvale
Tech Address......... 94089
Tech Address......... CA
Tech Address......... UNITED STATES
Tech Email........... domain.tech@YAHOO-INC.COM
Tech Phone........... +1.6198813096
Tech Fax.............
Name Server.......... ns1.everydns.net
Name Server.......... ns2.everydns.net
O ile dobrze pamiÄtam, to nie wolno uĹźywaÄ adresĂłw @yahoo.com jako adresĂłw
kontaktowych. Adres pocztowy chyba jest prawdziwy (kod pocztowy zgadza siÄ
z adresem, chociaĹź powinno byÄ Walsall, a nie Brownhills). Warto by
sprawdziÄ, czy podany osobnik mieszka pod takim adresem. Telefon (Admin
Phone) siÄ nie zgadza, bo kierunkowy do Brownhills to 01543, a do Walsall
01922. ZresztÄ
w ogĂłle jest dziwny, bo prefiks kraju ma +1, czyli USA,
a w USA nie ma kierunkowego 079. Z tymi danymi moĹźna zgĹosiÄ registrarowi,
Ĺźe rejestrujÄ
cy podaĹ nieprawdziwe dane.
Pozdrawiam,
R.
-- "I've always wanted to be an executioner, that's why I became a sysadmin." -- Jim Howes at news.admin.net-abuse.emailReceived on Sun Nov 4 21:05:08 2007
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 04 Nov 2007 - 21:40:00 MET