SoBig.F@mm og dreyfing innan Íslands
Ykkur til fróðleiks, amk miðað við það sem við sjáum hjá okkur: Sobig.F dreifing. Við höfum fylgst með því hvaða vélar á Íslandi eru að dreifa Sobig.F, og höfum flokkað þær niður eftir IP tölum. Þessir listar voru síðan sendir á viðkomandi aðila og síðan athugað 1, 2 og 3 dögum síðar hvað hefði gerst. Eftir fyrst daginn voru allar tölvur á RHnet hættar. Eftir annan daginn voru allar vélar hjá Hringiðunni hættar. Við höfum nú ákveðið að birta listann yfir þær IP tölur sem enn eru að dreifa Sobig.F hérlendis, ef einhverjir myndu einfaldlega vilja loka á þær. Hér kemur listinn - talan í fremsta dálki er fjöldi eintaka af Sobig.F sem viðkomandi vél hefur sent okkur síðasta sólarhringinn. Veruleg fækkun varð á vélum hjá LínuNet, en þó standa enn eftir 3 dreifingarvélar. 17 AS15605 213.220.121.120 (raf-a120.raflinan.is ) 323 AS15605 213.220.124.163 (raf-d163.raflinan.is ) 198 AS15605 213.220.73.143 (adsl73-143.du.heimsnet.is ) OG Vodafone svaraði skeytinu sem var sent og sagðist myndu koma því áfram, en svo virðist sem ekkert hafi verið gert. 142 AS12969 194.144.117.218 () 10 AS12969 194.144.36.74 (194-144-36-74.xdsl.is ) 10 AS12969 194.144.8.254 (194-144-8-254.xdsl.is ) 86 AS12969 213.213.133.125 (213.213.133.125.in.is ) 18 AS12969 213.213.137.82 (213-213-137-82.xdsl.is ) 14 AS12969 213.213.140.75 (213-213-140-75.xdsl.is ) 10 AS12969 213.213.141.149 (213-213-141-149.xdsl.is ) 47 AS12969 213.213.147.8 (213-213-147-8.xdsl.is ) 23 AS12969 213.213.149.84 (213-213-149-84.xdsl.is ) Landssíminn sýndi langsamlega lélegustu viðbrögðin - þar hefur ekkert verið gert og engum pósti frá okkur varðandi þetta mál hefur verið svarað. 43 AS6677 157.157.138.190 () 46 AS6677 157.157.143.158 (in3-a-p158.du.simnet.is ) 60 AS6677 157.157.178.85 (adsl-35-85.du.simnet.is ) 152 AS6677 157.157.208.165 (adsl-23-165.du.simnet.is ) 62 AS6677 157.157.208.51 (adsl-23-51.du.simnet.is ) 39 AS6677 157.157.239.61 (adsl-48-61.du.simnet.is ) 15 AS6677 194.105.244.41 (gi-41.gi.is ) 17 AS6677 212.30.195.24 (adsl7-24.simnet.is ) 32 AS6677 212.30.210.98 (secured.homelinux.org ) 14 AS6677 212.30.212.196 (not.efling.is ) 11 AS6677 213.167.135.125 (adsl001.xnet.is ) 54 AS6677 213.167.135.62 (hagi.xnet.is )
Sæll Einar og aðrir listamenn. Þar sem ég starfa nú hjá Símanum er erfitt að láta þessu ósvarað. Frá því Sobig.F fór fyrst af stað erum við búnir að gera fjölda viðskiptavina viðvart um að þeir séu smitaðir og höfum bent þeim á leiðir til að losa sig við óværuna. Í sumum tilvikum höfum við jafnframt þurft að grípa til þess að loka tengingum viðkomandi þó það sé ekki fyrsta úrræði sem gripið er til. Við lokuðum ennfremur á öll samskipti frá okkar netum til hinna 20 svokallaðra "uppfærsluþjóna" vírussins. Það svíður því óneitanlega undan þeirri athugasemd þinni að hér á bæ hafi ekkert verið gert og finnst mörgum ómaklega að okkur vegið. Við munum taka á þessum lista hér fyrir neðan hið bráðasta og þætti mér vænt um að fá upplýsingar um á hvaða póstfang umrætt skeyti var sent því við leggjum það ekki í vana okkar hér í kerfisþjónustu Símans að svara ekki pósti. Póstur er jú eftir allt ein af þeim stoðum sem við byggjum þessa deild á. Með bestu kveðju, Ingvar Ingvar Bjarnason Verkfræðingur Tæknideild Gagnasviðs ----- Original Message ----- From: "Einar Indridason" <einari@f-prot.com> To: <gurus@lists.isnic.is> Sent: Friday, August 29, 2003 1:54 PM Subject: [Gurus] SoBig.F@mm og dreyfing innan Íslands
Ykkur til fróðleiks, amk miðað við það sem við sjáum hjá okkur:
Sobig.F dreifing.
Við höfum fylgst með því hvaða vélar á Íslandi eru að dreifa Sobig.F, og höfum flokkað þær niður eftir IP tölum.
Þessir listar voru síðan sendir á viðkomandi aðila og síðan athugað 1, 2 og 3 dögum síðar hvað hefði gerst.
Eftir fyrst daginn voru allar tölvur á RHnet hættar.
Eftir annan daginn voru allar vélar hjá Hringiðunni hættar.
Við höfum nú ákveðið að birta listann yfir þær IP tölur sem enn eru að dreifa Sobig.F hérlendis, ef einhverjir myndu einfaldlega vilja loka á þær.
Hér kemur listinn - talan í fremsta dálki er fjöldi eintaka af Sobig.F sem viðkomandi vél hefur sent okkur síðasta sólarhringinn.
Veruleg fækkun varð á vélum hjá LínuNet, en þó standa enn eftir 3 dreifingarvélar.
17 AS15605 213.220.121.120 (raf-a120.raflinan.is ) 323 AS15605 213.220.124.163 (raf-d163.raflinan.is ) 198 AS15605 213.220.73.143 (adsl73-143.du.heimsnet.is )
OG Vodafone svaraði skeytinu sem var sent og sagðist myndu koma því áfram, en svo virðist sem ekkert hafi verið gert.
142 AS12969 194.144.117.218 () 10 AS12969 194.144.36.74 (194-144-36-74.xdsl.is ) 10 AS12969 194.144.8.254 (194-144-8-254.xdsl.is ) 86 AS12969 213.213.133.125 (213.213.133.125.in.is ) 18 AS12969 213.213.137.82 (213-213-137-82.xdsl.is ) 14 AS12969 213.213.140.75 (213-213-140-75.xdsl.is ) 10 AS12969 213.213.141.149 (213-213-141-149.xdsl.is ) 47 AS12969 213.213.147.8 (213-213-147-8.xdsl.is ) 23 AS12969 213.213.149.84 (213-213-149-84.xdsl.is )
Landssíminn sýndi langsamlega lélegustu viðbrögðin - þar hefur ekkert verið gert og engum pósti frá okkur varðandi þetta mál hefur verið svarað.
43 AS6677 157.157.138.190 () 46 AS6677 157.157.143.158 (in3-a-p158.du.simnet.is ) 60 AS6677 157.157.178.85 (adsl-35-85.du.simnet.is ) 152 AS6677 157.157.208.165 (adsl-23-165.du.simnet.is ) 62 AS6677 157.157.208.51 (adsl-23-51.du.simnet.is ) 39 AS6677 157.157.239.61 (adsl-48-61.du.simnet.is ) 15 AS6677 194.105.244.41 (gi-41.gi.is ) 17 AS6677 212.30.195.24 (adsl7-24.simnet.is ) 32 AS6677 212.30.210.98 (secured.homelinux.org ) 14 AS6677 212.30.212.196 (not.efling.is ) 11 AS6677 213.167.135.125 (adsl001.xnet.is ) 54 AS6677 213.167.135.62 (hagi.xnet.is )
_______________________________________________ Gurus mailing list Gurus@lists.isnic.is http://lists.isnic.is/mailman/listinfo/gurus
Það var Föstudagur í Ágúst þegar Ingvar Bjarnason sagði:
Sæll Einar og aðrir listamenn.
Þar sem ég starfa nú hjá Símanum er erfitt að láta þessu ósvarað. Frá því Sobig.F fór fyrst af stað erum við búnir að gera fjölda viðskiptavina viðvart um að þeir séu smitaðir og höfum bent þeim á leiðir til að losa sig við óværuna. Í sumum tilvikum höfum við jafnframt þurft að grípa til þess að loka tengingum viðkomandi þó það sé ekki fyrsta úrræði sem gripið er til. Við lokuðum ennfremur á öll samskipti frá okkar netum til hinna 20 svokallaðra "uppfærsluþjóna" vírussins. Það svíður því óneitanlega undan þeirri athugasemd þinni að hér á bæ hafi ekkert verið gert og finnst mörgum ómaklega að okkur vegið.
Ég sendi kvörtun vegna 212.30.195.24 (adsl7-24.simnet.is) sem er hér nefndur að neðan síðasta sunnudagskvöld til bæði tech-c og admin-c fyrir simnet.is (til hverra annara á maður að senda svona kvartanir?) og var nokkrum tímum síðar búinn að fá read receipt frá fimm manns. Ég hef enn ekki fengið neitt svar, en hins vegar hefur adsl7-24.simnet.is dúndrað út nokkur hundruð skeytum í mínu nafni á hverjum degi síðan. Ég er hér með einn lista, úttakið af "grep from= /var/log/maillog |sed 's/^.*relay=//g'|sort|uniq -c|sort -rn|head -15" af secondary MX hi.is: 2374 ppp131-134.in.is [213.176.131.134] 1774 adsl-1-46.du.nh.is [81.15.113.46] (may be forged) 1714 dyna-dsl253.ln.tristan.is [213.220.106.253] 1351 adsl-37-32.du.simnet.is [157.157.180.32] 1061 port18.hafnarfjordur.is [194.144.188.204] 971 213-213-140-75.xdsl.is [213.213.140.75] 899 [213.220.93.195] 818 194-144-36-14.xdsl.is [194.144.36.14] 632 dsl-ls-105-121.du.vortex.is [213.190.105.121] 584 adsl-36-14.du.simnet.is [157.157.179.14] 555 213-213-141-149.xdsl.is [213.213.141.149] 499 nat-8.anza.is [213.167.155.208] 454 adsl-20-223.du.simnet.is [157.157.127.223] 434 ix151.tristan.is [213.220.104.151] 415 213-213-149-84.xdsl.is [213.213.149.84] Þess má geta að engin þessara véla hefur nokkuð að gera með að senda póst í gegnum okkar secondary MX. Það er búið að leysa vandann með port18.hafnarfjordur.is, þar hafði vélin verið vírushreinsuð, en ekki endurræst. Slíkt gæti held ég útskýrt þann fjölda skeyta sem ég hef verið að fá nýlega sem lítur nákvæmlega eins út og vírussmitaður póstur en enginn vírus fylgir með, sem er bagalegt að því leyti að þá stöðvar engin vírusvörn hann ... [KLIPP]
Landssíminn sýndi langsamlega lélegustu viðbrögðin - þar hefur ekkert verið gert og engum pósti frá okkur varðandi þetta mál hefur verið svarað.
43 AS6677 157.157.138.190 () 46 AS6677 157.157.143.158 (in3-a-p158.du.simnet.is ) 60 AS6677 157.157.178.85 (adsl-35-85.du.simnet.is ) 152 AS6677 157.157.208.165 (adsl-23-165.du.simnet.is ) 62 AS6677 157.157.208.51 (adsl-23-51.du.simnet.is ) 39 AS6677 157.157.239.61 (adsl-48-61.du.simnet.is ) 15 AS6677 194.105.244.41 (gi-41.gi.is ) 17 AS6677 212.30.195.24 (adsl7-24.simnet.is ) 32 AS6677 212.30.210.98 (secured.homelinux.org ) 14 AS6677 212.30.212.196 (not.efling.is ) 11 AS6677 213.167.135.125 (adsl001.xnet.is ) 54 AS6677 213.167.135.62 (hagi.xnet.is )
-- Elías Halldór Ágústsson Unix Kerfisstjóri Reiknistofnun Háskóla Íslands
Elias Halldor Agustsson skrifaði þann 29. Ágúst 2003 eitthvað á þessa leið:
Ég sendi kvörtun vegna 212.30.195.24 (adsl7-24.simnet.is) sem er hér nefndur að neðan síðasta sunnudagskvöld til bæði tech-c og admin-c fyrir simnet.is (til hverra annara á maður að senda svona kvartanir?) og var nokkrum tímum síðar búinn að fá read receipt frá fimm manns. Ég hef enn ekki fengið neitt svar, en hins vegar hefur adsl7-24.simnet.is dúndrað út nokkur hundruð skeytum í mínu nafni á hverjum degi síðan.
Ditto hér: From: Bjorn Davidsson <bjossi@snerpa.is> Subject: (fwd) Re: Approved (ormur frá ADSL-notanda) To: postmaster@simnet.is Date: Wed, 20 Aug 2003 11:41:44 +0000 User-Agent: Mutt/1.2.5.1i Þessi notandi hjá ykkur er að ausa út Sobig.F kk, -B- ----- Forwarded message from 55679@bbn.COM ----- Return-Path: <55679@bbn.COM> Received: from REIKNINGAR (adsl7-24.simnet.is [212.30.195.24]) by snerpa.is (8.12.9/8.12.1/BD2/NO SPAM allowed) with ESMTP id h7KAg5CW016866 for <dul-list@isp.is>; Wed, 20 Aug 2003 10:42:06 GMT Message-Id: <200308201042.h7KAg5CW016866@snerpa.is> From: <55679@bbn.COM> To: <dul-list@isp.is> Subject: Re: Approved Date: Wed, 20 Aug 2003 10:35:20 -0000 X-MailScanner: Found to be clean Importance: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 -- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = -Björn Davíðsson- - Snerpa ehf. Tölvu og netþjónusta. bjossi@snerpa.is - 520-4000 - Mánagata 6 - 400 Ísafjörður.
Fékk hann líka, en af hverju nota postmaster? -GSH
Ditto hér:
From: Bjorn Davidsson <bjossi@snerpa.is> Subject: (fwd) Re: Approved (ormur frá ADSL-notanda) To: postmaster@simnet.is Date: Wed, 20 Aug 2003 11:41:44 +0000 User-Agent: Mutt/1.2.5.1i
Þessi notandi hjá ykkur er að ausa út Sobig.F
kk, -B-
Guðbjörn, Þann 29. ágúst 2003, ritaði Guðbjörn S. Hreinsson eitthvað á þessa leið:
Fékk hann líka, en af hverju nota postmaster? -GSH
Ég nota venjulega alltaf abuse@ nema ég viti fyrir víst að það virki ekki, en ég get gert mér í hugarlund að postmaster@ hafi verið valið þar sem það er eina póstfangið sem ISNIC gerir kröfu um að sé virkt á öllum .is lénum. Eins kemur postmaster@simnet.is upp við uppflettingu í abuse.net gagnagrunninum: http://www.abuse.net/lookup.phtml?DOMAIN=simnet.is /Óli -- Ólafur Osvaldsson Kerfisstjóri Internet á Íslandi hf. Sími: 525-5291 Email: oli@isnic.is
Eins kemur postmaster@simnet.is upp við uppflettingu í abuse.net gagnagrunninum: http://www.abuse.net/lookup.phtml?DOMAIN=simnet.is
Það er ekki frá okkur komið reyndar, sbr. vefsíðuna postmaster@simnet.is (default, no info) sem mér sýnist þýða að þeir gefi sér postmaster sem def. netfang ef ekkert annað er til staðar. Er þetta mikið notað? mbk, -GSH
Guðbjörn, Þann 30. ágúst 2003, ritaði Guðbjörn S. Hreinsson eitthvað á þessa leið:
Það er ekki frá okkur komið reyndar, sbr. vefsíðuna postmaster@simnet.is (default, no info) sem mér sýnist þýða að þeir gefi sér postmaster sem def. netfang ef ekkert annað er til staðar.
Það kemur fram á vefsíðunum að postmaster sé default.
Er þetta mikið notað?
Frekar mikið, já /Óli -- Ólafur Osvaldsson Kerfisstjóri Internet á Íslandi hf. Sími: 525-5291 Email: oli@isnic.is
Bjorn Davidsson wrote:
Elias Halldor Agustsson skrifaði þann 29. Ágúst 2003 eitthvað á þessa leið:
Ég sendi kvörtun vegna 212.30.195.24 (adsl7-24.simnet.is) sem er hér nefndur að neðan síðasta sunnudagskvöld til bæði tech-c og admin-c fyrir simnet.is (til hverra annara á maður að senda svona kvartanir?) og var nokkrum tímum síðar búinn að fá read receipt frá fimm manns. Ég hef enn ekki fengið neitt svar, en hins vegar hefur adsl7-24.simnet.is dúndrað út nokkur hundruð skeytum í mínu nafni á hverjum degi síðan.
Og enn er hann að: Return-Path: <postmaster@hi.is> X-Original-To: paranoia@xiph.org Delivered-To: paranoia@xiph.org Received: from REIKNINGAR (adsl7-24.simnet.is [212.30.195.24]) by motherfish-II.xiph.org (Postfix) with ESMTP id 8B80F5337E6 for <paranoia@xiph.org>; Tue, 2 Sep 2003 09:05:08 -0400 (EDT) From: <postmaster@hi.is> To: <paranoia@xiph.org> Subject: Re: Thank you! Date: Tue, 2 Sep 2003 12:58:16 -0000 Og í gær líka, þónokkur stykki í nafni elias@BOFH.is
Ditto hér:
From: Bjorn Davidsson <bjossi@snerpa.is> Subject: (fwd) Re: Approved (ormur frá ADSL-notanda) To: postmaster@simnet.is Date: Wed, 20 Aug 2003 11:41:44 +0000 User-Agent: Mutt/1.2.5.1i
Þessi notandi hjá ykkur er að ausa út Sobig.F
kk, -B-
----- Forwarded message from 55679@bbn.COM -----
Return-Path: <55679@bbn.COM> Received: from REIKNINGAR (adsl7-24.simnet.is [212.30.195.24]) by snerpa.is (8.12.9/8.12.1/BD2/NO SPAM allowed) with ESMTP id h7KAg5CW016866 for <dul-list@isp.is>; Wed, 20 Aug 2003 10:42:06 GMT Message-Id: <200308201042.h7KAg5CW016866@snerpa.is> From: <55679@bbn.COM> To: <dul-list@isp.is> Subject: Re: Approved Date: Wed, 20 Aug 2003 10:35:20 -0000 X-MailScanner: Found to be clean Importance: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Elías, geturðu staðfest að þetta sé vegna vírussmitaðra skeyta? Þessum notanda var lokað en síðan opnað aftur 26.08 þar sem hann sagðist hafa hreinsað vélina... Ég held að það sé óþarfi að láta svona stök mál fara á listann, betra að senda mér eða á abuse@simnet.is. mbk, -GSH ----- Original Message ----- From: "Elías Halldór Ágústsson" <elias@bofh.is> To: <gurus@lists.isnic.is> Sent: Tuesday, September 02, 2003 1:44 PM Subject: Re: [Gurus] SoBig.F@mm og dreyfing innan Íslands
Bjorn Davidsson wrote:
Elias Halldor Agustsson skrifaði þann 29. Ágúst 2003 eitthvað á þessa leið:
Ég sendi kvörtun vegna 212.30.195.24 (adsl7-24.simnet.is) sem er hér nefndur að neðan síðasta sunnudagskvöld til bæði tech-c og admin-c fyrir simnet.is (til hverra annara á maður að senda svona kvartanir?) og var nokkrum tímum síðar búinn að fá read receipt frá fimm manns. Ég hef enn ekki fengið neitt svar, en hins vegar hefur adsl7-24.simnet.is dúndrað út nokkur hundruð skeytum í mínu nafni á hverjum degi síðan.
Og enn er hann að:
Return-Path: <postmaster@hi.is> X-Original-To: paranoia@xiph.org Delivered-To: paranoia@xiph.org Received: from REIKNINGAR (adsl7-24.simnet.is [212.30.195.24]) by motherfish-II.xiph.org (Postfix) with ESMTP id 8B80F5337E6 for <paranoia@xiph.org>; Tue, 2 Sep 2003 09:05:08 -0400 (EDT) From: <postmaster@hi.is> To: <paranoia@xiph.org> Subject: Re: Thank you! Date: Tue, 2 Sep 2003 12:58:16 -0000
Og í gær líka, þónokkur stykki í nafni elias@BOFH.is
Ditto hér:
From: Bjorn Davidsson <bjossi@snerpa.is> Subject: (fwd) Re: Approved (ormur frá ADSL-notanda) To: postmaster@simnet.is Date: Wed, 20 Aug 2003 11:41:44 +0000 User-Agent: Mutt/1.2.5.1i
Þessi notandi hjá ykkur er að ausa út Sobig.F
kk, -B-
----- Forwarded message from 55679@bbn.COM -----
Return-Path: <55679@bbn.COM> Received: from REIKNINGAR (adsl7-24.simnet.is [212.30.195.24]) by snerpa.is (8.12.9/8.12.1/BD2/NO SPAM allowed) with ESMTP id
h7KAg5CW016866
for <dul-list@isp.is>; Wed, 20 Aug 2003 10:42:06 GMT Message-Id: <200308201042.h7KAg5CW016866@snerpa.is> From: <55679@bbn.COM> To: <dul-list@isp.is> Subject: Re: Approved Date: Wed, 20 Aug 2003 10:35:20 -0000 X-MailScanner: Found to be clean Importance: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000
_______________________________________________ Gurus mailing list Gurus@lists.isnic.is http://lists.isnic.is/mailman/listinfo/gurus
On Fri, Aug 29, 2003 at 08:41:23PM -0000, Ingvar Bjarnason wrote:
Sæll Einar og aðrir listamenn.
Sæll vertu.
Þar sem ég starfa nú hjá Símanum er erfitt að láta þessu ósvarað. Frá því Sobig.F fór fyrst af stað erum við búnir að gera fjölda viðskiptavina viðvart um að þeir séu smitaðir og höfum bent þeim á leiðir til að losa sig við óværuna. Í sumum tilvikum höfum við jafnframt þurft að grípa til þess að loka tengingum viðkomandi þó það sé ekki fyrsta úrræði sem gripið er til. Við lokuðum ennfremur á öll samskipti frá okkar netum til hinna 20 svokallaðra "uppfærsluþjóna" vírussins. Það svíður því óneitanlega undan þeirri athugasemd þinni að hér á bæ hafi ekkert verið gert og finnst mörgum ómaklega að okkur vegið.
Með bestu kveðju,
Rétt er málið. Hafi ég stuðað fólk, með þessu skeyti, þá langar mig að biðjast forláts á því. (Kannski þyrfti ég að fá mér einhvern filter á svona skeyti...) Þetta skeyti er meira svona upplifun notenda hér innandyra, sem ég áframsendi á gurus-listann. En, það er engu að síður gott að vita að viðbrögð eru í gangi gagnvart þessari pest, og það er gott mál. Með bestu kveðju, og vinsemd -- Einar Indriðason einari@f-prot.com
participants (7)
-
Bjorn Davidsson -
Einar Indridason -
Elias Halldor Agustsson -
Elías Halldór Ágústsson
-
Guðbjörn S. Hreinsson -
Ingvar Bjarnason -
Olafur Osvaldsson