abuse jelentés merre - egyáltalán érdemes?

UNIX haladó

Sziasztok!

A 121.124.127.39 címről tegnap is meg ma is (amíg ki nem tiltottam) próbálkozott valaki - aki úgy tűnik, magyar.

Pedig a whois rekord szerint hananet, kínai.
abuse@hanaro.com-ra küldtem levelet loggal, ez elég bármire?

Starting Nmap 4.20 ( http://insecure.org ) at 2007-12-15 22:03 CET
Interesting ports on 121.124.127.39:
Not shown: 1691 filtered ports
PORT STATE SERVICE VERSION
21/tcp closed ftp
22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99)
80/tcp open http Apache httpd 1.3.37 ((Unix) PHP/4.4.7)
113/tcp closed auth
443/tcp closed https
3306/tcp open mysql MySQL 3.23.58

A bosszantó, hogy az illető programmal próbálkozott ftp-n belépésre root, admin, oracle, ... usernevekkel, és nmap szerint egy MySQL szerver megy a gépén, a 80-as port nyitva és a phpMyAdmin jön be, MAGYARUL!

Mód a megkeresésre? Legalább egy email-t szívesen küldenék neki, megkérdezném, mit akar elérni - ráadásul fix IP-s bérelt szerver gépről (traceroute szerint valahol Sanghai környéki a szerver)?!?

GT

  • 1682 megtekintés

( atlantic | 2007. 12. 15., szo – 22:15 )

Szerintem a böngésződ locale-jából megállapította a phpmyadmin, hogy magyarul kéne megjelenítenie az oldalt. Szerintem nem magyar. De lehet tévedek.

( KoGa v | 2007. 12. 16., v – 03:54 )

Mi az, hogy "probalkozott"? Arra vart hogy megkuld nmap-pal? :)

( csortu v | 2007. 12. 16., v – 07:43 )

Nekem pár hete volt egy pozitív tapasztalatom.

Van egy webformunk, amin bárki jelezheti véleményét egy bizonyos szolgáltatásunkkal kapcsolatban. Egy ideje valaki rászállt, és mindenféle pornhírdetésekkel spammolta ezt a formunkat.

Egy idő után megelégeltem, és mert mindíg ugyanarról az IPről jött a szemét (a rendszerünk logolja, melyik IPről töltötték ki a formot), megnéztem tracerouttal, kitől is kapja az a gép a netet. Aztán a whoissal megnéztem, hogy az utolsó három gépéhez milyen abuse address van. Aztán ment email oda, logokkal. Az abuse egy napon belül megszűnt, azóta nem fordult elő.

Csaba

( gthomas | 2007. 12. 17., h – 07:07 )

Ezt a levelet kaptam válaszul:

안녕하십니까? 하나로 텔레콤 Security 관련 담당자입니다.
해킹 및 바이러스 신고 건은 한국정보보호진흥원 (KISA : WWW.KISA.OR.KR )을
통하여 접수 받고 있으므로 먼저 한국정보보호진흥원의 침해사고 접수/처리( cert@krcert.or.kr )
로 해당 관련 로그 기록을 첨부하여 신고하여 주시기 바랍니다.

■하나로 텔레콤 Security 담당 : Security@hanaro.com

[Message]
Dear Sir:
I am a Security Administrator in hanarotelecom.
The cases of Hacking or Virus accidents are treated by Korea Information Security Agency (http://www.kisa.or.kr).
So please report it preferentially to The KOREA Computer Emergency Response Team and
Coordination Center (KrCERT/CC : cert@krcert.or.kr). We would like to ask you to include the related log in your report.

Thank you.

■Hanaro telecom Inc. Security Admin : Security@hanaro.com

----------------
Tehét nem kínai, hanem koreai :)

( mogorva v | 2007. 12. 17., h – 10:06 )

sztem érdemes. meglepően sok pozitív tapasztalatot gyűjtöttem ilyen ügyekkel kapcsolatban.

( uid_2516 | 2008. 01. 05., szo – 22:42 )

-ra küldtem levelet loggal, ez elég bármire?

Hazankban ez eleg. :o)
Marmint, ha nmap-pal korbeszimatolod, akkor elkovetted...
;-P