Thomas Hochstein
2010-06-22 21:36:21 UTC
[Crosspost de.admin.net-abuse.mail und de.admin.net-abuse.misc, mit
Followup-To nach de.admin.net-abuse.misc, weil nicht nur für Mail
relevant.]
Moin.
Seit gestern versucht offenbar ein Botnetz, per Brute Force
SMTP-Auth-Credentials zu erraten (gestern waren es rund 26.000
Versuche von rund 1.290 individuellen IPs, China, Türkei, Israel,
...), und heute geht die Sache weiter (allerdings verlangsamt, weil
ich mittlerweile fail2ban darauf angesetzt habe).
Es wäre ja sicher durchaus dienlich, wenn man die Nutzung dieses
Botnets dazu verwenden würde, die bekannten befallenen Rechner zu
melden, damit diese gesäubert werden können. Allerdings stelle ich mir
das eher aufwendig vor, weil das mutmaßlich Dialups sind, die
inzwischen schon wieder eine ganz andere IP haben - und vor allem habe
ich nicht annähernd die Zeit, für jede IP den Ansprechpartner zu
suchen und eine entsprechende Mail zu generieren.
Womit sich mir die Frage stellt, ob es nicht vielleicht Organisationen
gibt, die so etwas tun, und sei es nur deshalb, weil sie das ohnehin
schon für eigene Zwecke automatisiert generieren, und wo man solche
IPs melden kann, quasi eine Clearingstelle, die die Weiterleitung an
die Provider übernimmt. Gibt's sowas?
Die zweitbeste Lösung wäre ein Script, das für die IPs Kontaktadresse,
notfalls aus dem IP-Whois, extrahiert und eine Standardmail generiert.
Wenn jemand so etwas kennt (und vielleicht gar einen Beispieltext
hätte), würde das auch gerne genommen.
Oder gibt's sonst irgendwelche sinnvollen Vorschläge, was man damit
tun kann? (Außer ignorieren natürlich - das kann ich auch alleine. ;))
-thh
Followup-To nach de.admin.net-abuse.misc, weil nicht nur für Mail
relevant.]
Moin.
Seit gestern versucht offenbar ein Botnetz, per Brute Force
SMTP-Auth-Credentials zu erraten (gestern waren es rund 26.000
Versuche von rund 1.290 individuellen IPs, China, Türkei, Israel,
...), und heute geht die Sache weiter (allerdings verlangsamt, weil
ich mittlerweile fail2ban darauf angesetzt habe).
Es wäre ja sicher durchaus dienlich, wenn man die Nutzung dieses
Botnets dazu verwenden würde, die bekannten befallenen Rechner zu
melden, damit diese gesäubert werden können. Allerdings stelle ich mir
das eher aufwendig vor, weil das mutmaßlich Dialups sind, die
inzwischen schon wieder eine ganz andere IP haben - und vor allem habe
ich nicht annähernd die Zeit, für jede IP den Ansprechpartner zu
suchen und eine entsprechende Mail zu generieren.
Womit sich mir die Frage stellt, ob es nicht vielleicht Organisationen
gibt, die so etwas tun, und sei es nur deshalb, weil sie das ohnehin
schon für eigene Zwecke automatisiert generieren, und wo man solche
IPs melden kann, quasi eine Clearingstelle, die die Weiterleitung an
die Provider übernimmt. Gibt's sowas?
Die zweitbeste Lösung wäre ein Script, das für die IPs Kontaktadresse,
notfalls aus dem IP-Whois, extrahiert und eine Standardmail generiert.
Wenn jemand so etwas kennt (und vielleicht gar einen Beispieltext
hätte), würde das auch gerne genommen.
Oder gibt's sonst irgendwelche sinnvollen Vorschläge, was man damit
tun kann? (Außer ignorieren natürlich - das kann ich auch alleine. ;))
-thh