W32.Sober.G@mm - vandamál sem þarf ekki að vera ...
Sælt veri fólkið. Undanfarið hefur ormurinn W32.Sober.G@mm verið að grassera yfir Netið og þar sem tiltekið eintak af honum virðist hafa valið sér sendandanetfangið webmaster@snerpa.is hef ég undanfarið verið að sjá villumeldingar frá póstþjónum sem hefur ekki verið að takast að koma orminum í pósthólf notanda, t.d. vegna þess að það hefur verið fullt, ekki til lengur eða ýmissa annarra ástæðna heldur en þeirra að viðkomandi pósthús sé með veiruvörn. Það hefur mest komið mér á óvart að flest þessi pósthús eru á Íslandi og raunar nær allir ormberarnir líka. Ég hef sent kvartanir til hlutaðeigandi um leið og ég hef fengið þessar villumeldingar og beðið þá að stöðva sendingar frá viðkomandi. Í tveimur tilfellum (Landssíminn) hef ég fengið staðfestingu á að notandinn hafi verið látinn vita af vandanum. Flestum virðist ganga illa að stoppa þetta vegna þess að þeir leyfa sjálfgefið umferð frá porti 25 hjá öllum eða flestum notendum. Hér að neðan eru staðtölur yfir þennan eina orm síðustu daga eins og þær verða til hjá mér: Í talnadálkunum til hægri eru uppl. um fjölda tenginga frá þessum IP-tölum, fyrri dálkurinn sýnir sl. mánuð, sú seinni sl. 2 daga. Ef báðar eru 0 þá hef ég einungis fengið villumeldingu. dags. kvartað IP-tala nafn sendingar sl. 2 daga 10.5.2004 157.157.148.18 adsl1-8-18.du.simnet.is 22234 2658 18.5.2004 213.220.106.69 dyna-dsl69.ln.tristan.is 9539 1986 18.5.2004 213.220.126.193 raf-f193.raflinan.is 3172 199 19.5.2004 157.157.158.7 adsl-12-7.simnet.is 1046 180 20.5.2004 157.157.251.138 adsl5-7-138.du.simnet.is 1723 159 25.5.2004 157.157.236.44 adsl4-4-44.du.simnet.is 78 52 18.5.2004 213.213.134.251 213-213-134-251.hysing.is 11 5 18.5.2004 157.157.125.160 adsl1-4-160.du.simnet.is 11354 0 25.5.2004 157.157.153.145 adsl1-12-145.du.simnet.is 4507 0 15.5.2004 194.105.225.30 in2b-p30.du.simnet.is 288 0 22.5.2004 212.30.222.94 adsl6-94.simnet.is 225 0 18.5.2004 157.157.160.114 adsl2-14-114.du.simnet.is 78 0 10.5.2004 157.157.153.229 adsl1-12-229.du.simnet.is 70 0 11.5.2004 157.157.148.66 adsl1-8-66.du.simnet.is 27 0 15.5.2004 157.157.152.181 adsl1-11-181.du.simnet.is 0 0 5.4.2003 157.157.152.248 adsl1-11-248.du.simnet.is 0 0 23.5.2004 212.220.126.193 NXDOMAIN 0 0 5.4.2004 157.157.94.101 adsl1-1-101.du.simnet.is 0 0 18.5.2004 212.30.203.152 adsl8-152.simnet.is 0 0 Eins og tölurnar bera með sér þá gengur misjafnlega að losna við þennan ófögnuð og er ekki að sjá að viðkomandi netþjónustum hafi tekist að hemja nema sumt af því sem þeir vita af. -B- -- =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=-= Snerpa ehf. - Tölvu- og netþjónusta. S: 520-4000 bjossi@snerpa.is - www.snerpa.is - GSM: 840-4008
Undanfarið hefur ormurinn W32.Sober.G@mm verið að grassera yfir Netið og
Þeir sem ekki nota DUL-listann (http://www.isp.is/efni/dul-list.phtml) eru eindregið hvattir til þess til að m.a. verja sig fyrir þessum ófögnuði. Prófið 'grep relay= /var/log/maillog | egrep "[.]du[.]|dsl|dyn|mod|cli" | cut -d' ' -f 9-10 | sort | uniq -c | sort -rn | grep relay= | head -50' (getur valdið álagi þannig að etv. rétt að afrita logskrána á aðra vél..) Þetta er mín útkoma (fjöldi tenginga frá endanotendum sl. 3 sólarhringa). 10850 relay=adsl2-13-8.du.simnet.is [157.157.194.8], 6447 relay=dsl-ls-107-50.du.vortex.is [213.190.107.50], 5453 relay=adsl1-5-128.du.simnet.is [157.157.126.128], 5025 relay=adsl5-10-162.du.simnet.is [157.157.164.162], 2830 relay=dyna-dsl69.ln.tristan.is [213.220.106.69], 2025 relay=adsl1-4-244.du.simnet.is [157.157.125.244], 1593 relay=adsl1-13-206.du.simnet.is [157.157.213.206], 1449 relay=adsl1-8-18.du.simnet.is [157.157.148.18], 1379 relay=adsl1-7-253.du.simnet.is [157.157.147.253], 993 relay=adsl5-4-212.du.simnet.is [157.157.211.212], 600 relay=adsl1-3-220.du.simnet.is [157.157.124.220], 589 relay=adsl1-14-207.du.simnet.is [157.157.214.207], 560 relay=adsl1-3-85.du.simnet.is [157.157.124.85], 550 relay=adsl1-6-94.du.simnet.is [157.157.127.94], 489 relay=adsl2-13-175.du.simnet.is [157.157.194.175], 462 relay=adsl2-13-206.du.simnet.is [157.157.194.206], 432 relay=raf-f195.raflinan.is [213.220.126.195], 404 relay=adsl2-9-227.du.simnet.is [157.157.183.227], 394 relay=adsl1-6-191.du.simnet.is [157.157.127.191], 389 relay=adsl2-2-178.du.simnet.is [157.157.174.178], 375 relay=adsl2-9-214.du.simnet.is [157.157.183.214], 368 relay=adsl2-3-130.du.simnet.is [157.157.175.130], 362 relay=adsl2-5-66.du.simnet.is [157.157.177.66], 362 relay=adsl2-15-39.du.simnet.is [157.157.159.39], 350 relay=adsl2-3-6.du.simnet.is [157.157.175.6], 327 relay=adsl2-1-190.du.simnet.is [157.157.155.190], 310 relay=adsl2-14-21.du.simnet.is [157.157.160.21], 308 relay=adsl2-12-168.du.simnet.is [157.157.193.168], 291 relay=adsl2-7-147.du.simnet.is [157.157.179.147], 281 relay=adsl2-8-107.du.simnet.is [157.157.180.107], 281 relay=adsl2-12-131.du.simnet.is [157.157.193.131], 256 relay=adsl4-3-227.du.simnet.is [157.157.233.227], 208 relay=adsl4-4-171.du.simnet.is [157.157.236.171], 200 relay=adsl1-13-17.du.simnet.is [157.157.213.17], 175 relay=adsl1-5-188.du.simnet.is [157.157.126.188], 166 relay=adsl4-7-172.du.simnet.is [157.157.240.172], 127 relay=adsl4-4-166.du.simnet.is [157.157.236.166], 127 relay=adsl4-2-174.du.simnet.is [157.157.232.174], 127 relay=adsl4-1-86.du.simnet.is [157.157.231.86], 123 relay=adsl5-10-141.du.simnet.is [157.157.164.141], 100 relay=in2b-p21.du.simnet.is [194.105.225.21], 100 relay=adsl2-3-77.du.simnet.is [157.157.175.77], -- =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=-= Snerpa ehf. - Tölvu- og netþjónusta. S: 520-4000 bjossi@snerpa.is - www.snerpa.is - GSM: 840-4008
participants (1)
-
Björn Davíðsson