Форум Московских Сетей - Possum Forum-Z

[Gluyk]

Код: Выделить всё

Здравствуйте, Отдел.

Вы писали 16 января 2008 г., 20:33:21:

> Добрый день, Николай.
> Ваш компьютер участвовал в распределенной атаке с подделкой исходящего IP
> адреса.
> - антивирус не является гарантией безопасности
>    дырявой ОС, он только снижает вероятность
>    взлома, гарантией может быть только
>    безопасное использование безопасной ОС.
>  - идентификация источника атаки произведена
>    нашими техническими средствами, которые
>    не используют IP для идентификации
>  - именно отключение Вашего ip погасило атаку
> Если от Вас поступит сообщение о предпринятых действиях относительно данной
> проблемы - состоится пробное подключение с обязательным контролем со стороны
> наших технических специалистов.

> 
> С уважением, Данилина Полина
> Отдел абонентского обслуживания КОРВЕТ
> help@corvette-telecom.ru
> +7(495) 644-3300
> 
> В связи с переходом на новые DNS-сервера сообщаем о необходимости изменения
> настроек TCP-IP:
> Для районов Орехово, Ясенево, Коньково, Переделкино новые адреса серверов
> DNS такие:
> 10.108.1.199   -   первичный
> 10.104.40.199  -   вторичный.
> Для районов Строгино, Щукино, Митино, Тушино новые адреса серверов DNS:
> 10.104.40.199  -   первичный
> 10.108.1.199   -   вторичный.
> 

> -----Original Message-----
> From: Николай Тюрин [mailto:turin@ank-realt.ru]
> Sent: Wednesday, January 16, 2008 5:59 PM
> To: Отдел абонентского обслуживания
> Subject: Re[2]:

> Здравствуйте, Отдел.

> Вы писали 16 января 2008 г., 15:49:04:

>> Добрый день, Николай.
>> Ваш договор заблокирован по следующим причинам
>> on 01/14 22:10:19   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 63.206.8.233.38131  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:19   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 81.182.159.140.37303  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:24   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 86.221.53.111.55396  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:27   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 12.217.91.29.23053  ->   85.30.203.172.40020 TIM
>> Mon 01/14 22:10:28   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 72.68.97.93.50924  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:28   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 78.88.98.170.1164   ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:28   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 79.229.99.181.6881   ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:29   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 222.69.120.126.19435  ->   85.30.203.172.40020 TIM
>> Mon 01/14 22:10:30   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 80.196.55.251.55353  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:09:15   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 213.47.65.15.50815  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:32   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 83.99.186.233.44360  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:09:16   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 90.7.53.159.14071  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:09:12   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 90.53.59.94.61001  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:09:00   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 67.171.192.185.14915  ->   85.30.203.172.40020 TIM
>> Mon 01/14 22:07:04   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 76.64.0.150.6881   ->   85.30.203.172.40020 INT
>> Mon 01/14 22:10:35   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 118.90.94.12.20520  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:36   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 217.43.207.169.31802  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:36   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 81.181.82.139.47793  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:37   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 78.113.247.67.55168  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:38   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 83.119.144.51.6881   ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:39   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 84.191.126.181.30231  ->   85.30.203.172.40020 TIM
>> Mon 01/14 22:10:41   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 204.191.199.25.15193  ->   85.30.203.172.40020 TIM
>> Mon 01/14 22:10:42   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 62.140.242.250.43978  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:42   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 75.68.245.63.24011  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:42   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 71.0.217.169.49989  ->   85.30.203.172.40020 TIM
>> Mon 01/14 22:10:43   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 77.201.240.108.55239  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:43   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 41.212.133.145.38230  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:43   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
91.54.41.9.52001  ->>>   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:47   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 83.167.114.136.19255  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:51   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 87.18.126.145.43228  ->   85.30.203.172.40020 TIM
>> Mon 01/14 22:09:05   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 71.161.3.61.50035  ->   85.30.203.172.40020 TIM
>> Mon 01/14 22:09:13   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 88.73.227.218.17987  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:09:20   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 77.123.124.72.39491  ->   85.30.203.172.46218 TIM
>> Mon 01/14 22:10:52   0:18:e7:5:e4:dd   0:4:23:a6:90:9c   M   udp
>> 76.6.233.138.22901  ->   85.30.203.172.46218 TIM
>> Пока Вы не дадите объяснение данных явлений, Интернет будет заблокирован.


>> 
>> С уважением, Данилина Полина
>> Отдел абонентского обслуживания КОРВЕТ
>> help@corvette-telecom.ru
>> +7(495) 644-3300
>> 
>> В связи с переходом на новые DNS-сервера сообщаем о необходимости
> изменения
>> настроек TCP-IP:
>> Для районов Орехово, Ясенево, Коньково, Переделкино новые адреса серверов
>> DNS такие:
>> 10.108.1.199   -   первичный
>> 10.104.40.199  -   вторичный.
>> Для районов Строгино, Щукино, Митино, Тушино новые адреса серверов DNS:
>> 10.104.40.199  -   первичный
>> 10.108.1.199   -   вторичный.
>> 

>> -----Original Message-----
>> From: Николай Тюрин [mailto:turin@ank-realt.ru]
>> Sent: Tuesday, January 15, 2008 8:48 PM
>> To: help@corvette-telecom.ru
>> Subject:

>> Здравствуйте, help.

>> По какой причини меня отключили от интернета?
>> Звонил по телефону. Сказали за спам. проверяйте компьютер антивирусом.
>> Что за хуйня у вас твориться?
>> Почему раз в неделю как, что случаеться вам звонишь от вас одно
>> "проверяйте компьютер антивирусом"
>>  У меня стоит нод 32 и обновляеться ежедневно.
>>   Научите своих сотрудников другим фразам.
>> Договор 02-7918


> А причем тут я?
> Вообще то мой ip
> 85.30.203.242 а, не 85.30.203.172
> + судя по вашему логу пакету идут
> от 63.206.8.233.38131 к 85.30.203.172.46218
> и в чем собственно проблема?
> "Пока Вы не дадите объяснение данных явлений, Интернет будет
> заблокирован."
>  помойму это ваша обязанность - заботиться о пользователе.
>  Как я кофе варю и с кем я сплю вам не рассказать?


"Ваш компьютер участвовал в распределенной атаке с подделкой
исходящего IP адреса."
Т.Е. по вашему я умнее ваших сотрудников, что обошел ваше оборудование
и подменил себе IP ?
Тогда назревает вопрос вел бы я сейчас с вами беседу или сам бы себя и
включил?

мак адресс 0:18:e7:5:e4:dd принадлежит роутеру. По вашему мой роутер
атаковал? Что вы на это скажите?

"гарантией может быть только безопасное использование безопасной ОС."
Стоит лицензионная Win. Vista с последими обновлениями. Обнавляеться
ежедневно. Так же включен фаервол. Так, что атака с моего компьютера
быть не могла.
Это раз.
На вторм компьютере вообще стоит opensuse 10.3. О безопасности этой
системы ни у одного сис. администратора в мире вопросов возникнуть не
может.

В любом случаи ваши действия ко мне (как к пользователю) не
компетентны.

Прошу вас объяснить принцип атаки (которую я по вашим словам провел).
А то написан какой то бред.  80.196.55.251.55353 если последняя часть
- это порты, то просто тырк идет по бредовым портам непонятный. притом по udp
не знаю, какая ЖУТКАЯ атака может быть в таком раскладе
1) ни один ип который был атакован не пингуеться и не открываеться.
Вывод. IP или пустышки или принадлежат персональным пользователям.
(проверять не стал так как сижу с телефона уже сутки)
3) что за странный формат логов? 3 человека Я, Мой сис. админ и
специалист из агавы впервые видят такой формат логов.
4) по логике вещей -> - направление в логе.
Значит атаковал не я, а меня.
Возникает вопрос.
Зачем я атаковал сам себя, на подделанный мной же IP.

Я жду включения интернета.
Если этого не произайдет - завтра возьму свой договор (который мне так
и не был выдан). И Юрист будет составлять иск в суд за нарушение
договора и не оказания услуг.
--
С уважением,
Николай                          mailto:turin@ank-realt.ru

Началось все после очередного пропадания интернета и звонка в корвет. Где ничего толком не сказали.
Кто нибудь сталкивался?
p.s. Обновил лог

[Gluyk]

Отлично. Завтра с юристом бум. составлять договор для судебного разбирательства.

[VladimirS]

А у тебя тариф случайно был не из серии"...-сити"?
Мож,они таким макаром сливают с них,типа,после "восстановления" абонента тока на новые тарифы подключаем?
З.ы.Когда бывали проблемы,иногда звонил им и первое,что слышал:"у Вас компьютер с вирусами,проверьтесь и потом звоните".Рассказывать не буду,как я"предохраняюсь"! Стоит всё,что нужно.
Потом выяснялось,что была"глобальная проблема"...
Уродство и издевательство...

[Gluyk]

Тариф как раз сити) Безграничный.
Если завтра утром интернета не будет - в любом случаи подключаюсь к nbn и иск на корвет

ps Лог обновил

[$volach]

А причем тут я?
Вообще то мой ip
85.30.203.242 а, не 85.30.203.172
+ судя по вашему логу пакету идут
от 63.206.8.233.38131 к 85.30.203.172.46218

ВУАХАХ, неужели до такой степени попутали? Пацталом! Хотя Корвет уже ничем удивить не может, ра$#издяи - ахтунг.

3) что за странный формат логов? 3 человека Я, Мой сис. админ и
специалист из агавы впервые видят такой формат логов.

Вроде на tcpdump тянет

[Gluyk]

2$volach
Ты бы их ответ прочел
"Ваш компьютер участвовал в распределенной атаке с подделкой
исходящего IP адреса."

[$volach]

2$volach
Ты бы их ответ прочел
"Ваш компьютер участвовал в распределенной атаке с подделкой
исходящего IP адреса."

Меня Корвет ничем удивить не сможет, за годы пребывания в этой сетке я видел многое. Что касается подделки IP, то это вообще жесть. Накой тогда, спрашивается, они управляемые длинки вешают с привязкой по маку и как IP можно "подделать"? Из куска лога их tcpdump'а видно, что пакеты шли на 85.30.203.172 и начинать надо именно с 85.30.203.172 или искать связь.

Ответь лучше: Ты какой-нибудь p2p клиент использовал накануне? Мул/торрент/тор/скайп?

[Gluyk]

Торрент )
Он вообще включен круглые сутки на 2 машинках

[Gluyk]

Вспомнился случай. Когда ошибочно вбил вместо шлюза свой IP.
У меня интернет работал.
Через двое суток оказалось, что 2 суток у всего дома нет инета.
А компетенции сотрудников корвета - это многое говорит

[DEmentED]

В даный момент инет тормозит так, что кажется Оку поставили на ручник от БелАЗа, а сзади ракета "Протон" меня тянет в направлении, обратном движению. Зимняя акция - "высокоскоростной инет за 200 с гаком рупий" - явно подкосила возможности Карведа. Если в марте всё продолжится - будем искать альтернативу. До марта смогу потерпеть из-за графика работы.

[VladimirS]

В даный момент инет тормозит так, что кажется Оку поставили на ручник от БелАЗа, а сзади ракета "Протон" меня тянет в направлении, обратном движению.

Странно,у меня пока порядок...т.т.т.

[Gluyk]

Забавно получаться. я в обход супер нового оборудования корвета сменил себе IP. (или пытался сменить, что произошло я так и не понял. сначало был спам, потом меня обвинили в атаке, теперь в попытке атаковать. что будет дальше.)
И атаковал шлюз корвета.
Неплохо бы им разобраться со своим уволенным персоналом. кто собственно и знает такие тонкости в сети.

[VladimirS]

Бардак в стране...

[KoRnEr]

полный пэ... нет слов,)

[Valent-ex]

В своё время меня тоже отрубили от инета по точно такой же причине. Атака, вы буки-бяки, пока атака не прекратится инет не включим... ладно... проверил ноут и комп на вирусы тремя антивирами... пусто... решил посмотреть логи роутера - кто то присосался к моей вай фай точке... вот какая то редиска из моего дома меня подставила :/ Сменил пароль к точке, незванная пиявка отмерла и включили инет...