Safe-Host ? סייף ? מוגן ? ממש לא. - הוסטס

Sindrom · 14-04-07, 15:53

שלום, שמי הוא אבי. אני מתעסק בעיקר באבטחת מידע.
בתאריכים: 13-14/04/07 פנו אליי מספר אנשים, אשר מתלוננים כי יש להם בעיית מהירות, תקיעות במחשב, בקיצור, המלצתי להם לסרוק וירוסים, spys. וזהו.
הם אמרו לי שעשו זאת, אך, עדיין יש תקיעות, ובעיות.
ניגשתי לבן אדם למחשב, הרצתי את הפקודה בדוס, "netstat -ano" בקיצור, גיליתי שרץ על השרת של Safe-Host.co.il תוכנת IRCD, שהוא מחובר אליה בלי לדעת.
בדקתי אצל האדם השני והשלישי, וכן, גם הם.
בדקתי את מספר התהליך(PID), ראיתי שרץ קובץ בשם iis5.exe, גיליתי את המקור שלו, פתחתי אותו עם Explorer PE, ובדקתי את הקובץ.
הקובץ הזה נראה כבוטנט.

* בוטנט - תוכנה זדונית, שמאפשרת לבן אדם מרחוק לשלוט לך על המחשב, לפאקט[DoS], לסרוק מחשבים, לפרוץ מחשבים, והכל אוטומטית.

חפרתי עוד קצת, וגיליתי פרטים נוספים את הכתובת IRC, את הפורט, את החדר.
בקיצור, לקוח של Safe-Host הריץ תוכנת IRCD, ודרכה ביצע את אחסנת הבוטים.

אני כאזרח שומר חוק, פניתי אל נדב, הבעלים של Safe-Host, פניתי אליך בגישה יפה, מכובדת.

אני פניתי אליו עם התלונה הזו, הבאתי לו פרטים של תוכנת ה IRCD שמורצת על השרת שלו, את החדר שהוא משתמש למטרת האביוז ה"לקוח". וגיליתי את זה ע"י שהרצתי להם את הפקודה netstat -ano וגיליתי את התליך, ושזה קשור לשרת שלו, והנה התגובה שלו הייתה בתוכנת המסרים MSN.

קוד:

לא, כמו שאמרתי אני לא יתחיל להיכנס אל זה, אתה באת אליי בתלונות שהשרת מירק שמורץ על השרת שלי מתקיף את המחשב שלך ושל אנשים שאתה מכיר, תראה לי הוכחות ואני ימשיך לבדוק את העניין. כי בנתיים זה מילים כמו חול ואין מה לאכול

הבן אדם רצה פשוט תצלום-מסך[Printscreen] של הדוס עם "netstat -ano" ושהאיפי שלו מופיע שמה.
אחרת, הוא לא מתייחס לתלונה, הסברתי לו, שאין כרגע תצלומי מסך, כי הם לא מעזים להתחבר לאינטרנט אחרי שאמרתי להם את זה. כי הם משתמשים במחשב למטרת כרטיסי אשראי, לקניות וכו' והם לא רוצים להסתכן.

בקיצור, ראיתי שאין עם מי לדבר, פניתי לחבר שלי, מ Expert Serv שהוא בחור אחלה, והוא אמר לי שהוא לא מארח את החברה הזו, אבל הוא יודע, הוא שוחח עם הבחור שמארח אותם שהוא "loads" אבי מחברת LOM, ופניתי אל אבי. ואבי ניגש, וטיפל בבעיה, סגר את השרת ושוחח עם נדב.

תודה רבה ל Expert Serv שאמר לי מי מארח את החברה הזו,
ולאבי, שביצע את הפעולות במקום נדב - "סייף" הוסט.

אז חברה, תחשבו טוב אם ללכת לחברה "Safe" Host, אחסון "בטוח".

נ.ב: גם רואים לפי הידע של הבחור, בציטוט שהבאתי , שרץ על השרת שלו שרת מירק ..

מירק זה קליינט פשוט, שמאפשר להתחבר לשרתי IRC.

Light · 14-04-07, 16:09

חבל שזה ככה..
מקווה שהמצב ישתפר.

Nadav · 14-04-07, 16:15

זה מסביר הכל, היה איזה שרת שמאוחסן שם ויום אחד איזה מישהו Mrtiti פרץ לשם.... (לשרת IRC)
הוא אמר לי שיש לו IRCD Shell על השרת הזה, ולא הבנתי על מה הוא מדבר..
עכשיו אני מבין..
נקווה לטוב...

nanadav · 14-04-07, 16:23

ביקשתי הוכחות, וכאשר קיבלתי הוכחות השרת נסגר.
כמו ששמת לב אין לי ידע נרחב בשרתי IRCD ולכן אני לא מספק את השירות הזה, אבי פנה אליי והציג לי הוכחות שהשרת מירק מריץ דברים לא חוקיים, השרת נסגר והלקוח יטופל.
אם בשביל לבקש ממישהו הוכחה שהלקוח שלו מריץ דברים לא חוקיים פותחים ביקורת אז הגענו למצב לא טוב.
נ.ב אחת החשדות שלי כלפייך היו שהוספת אותי לפני ארבעה-שלושה ימים אני לא זוכר בדיוק ואמרת לי שפרצו לך ולחברייך רק אתמול היום.

מקווה שהבנת, המשך יום טוב.

MoshikB · 14-04-07, 16:25

הייתי שמח לעזור לך והייתי ממליץ לך לא לסיים עם זה ככה, תבדוק במחשבים שבהם העניין של הפריצה קרה, אם נגרם נזק או משהו, ואם צריך, להגיש תלונה כנגד אותו לקוח של סייף-הוסט.

חבל לשמוע עליהם ככה.. אני שמח שבסופו של דבר פתרת את הבעיה.

בהצלחה.

Sindrom · 14-04-07, 16:26

ציטוט:

נכתב במקור על ידי nanadav

ביקשתי הוכחות, וכאשר קיבלתי הוכחות השרת נסגר.
כמו ששמת לב אין לי ידע נרחב בשרתי IRCD ולכן אני לא מספק את השירות הזה, אבי פנה אליי והציג לי הוכחות שהשרת מירק מריץ דברים לא חוקיים, השרת נסגר והלקוח יטופל.
אם בשביל לבקש ממישהו הוכחה שהלקוח שלו מריץ דברים לא חוקיים פותחים ביקורת אז הגענו למצב לא טוב.
נ.ב אחת החשדות שלי כלפייך היו שהוספת אותי לפני ארבעה-שלושה ימים אני לא זוכר בדיוק ואמרת לי שפרצו לך ולחברייך רק אתמול היום.

מקווה שהבנת, המשך יום טוב.

אני לא מכיר אותך בכלל, הוספתי אותך לפני יומיים לתוכנת ה MSN בשבליל לקבל הצעת מחיר,
אך אם לא הייתי פונה לאבי, הבן אדם היה ממשיך לחגוג.

RS324 · 14-04-07, 16:35

אני עדיין לא הבנתי איך אנשים נדבקו מאותו CLIENT...

Sindrom · 14-04-07, 16:56

ציטוט:

נכתב במקור על ידי RS324

אני עדיין לא הבנתי איך אנשים נדבקו מאותו CLIENT...

זה מה שנקרא בוטנט,
בפקודה אחת כמו:

קוד:

scan dcom135 100 0 0 -r -b

סתם דוגמא האיפי שלו זה 212.199.23.23
אז הוא סורק את הטווח: 212.199 ומחפש חורי אבטחה של dcom135.
וככה הוא מפיץ את עצמו.

Nadav · 14-04-07, 17:00

ציטוט:

נכתב במקור על ידי Sindrom

שלום, שמי הוא אבי. אני מתעסק בעיקר באבטחת מידע.
בתאריכים: 13-14/04/07 פנו אליי מספר אנשים, אשר מתלוננים כי יש להם בעיית מהירות, תקיעות במחשב, בקיצור, המלצתי להם לסרוק וירוסים, spys. וזהו.
הם אמרו לי שעשו זאת, אך, עדיין יש תקיעות, ובעיות.
ניגשתי לבן אדם למחשב, הרצתי את הפקודה בדוס, "netstat -ano" בקיצור, גיליתי שרץ על השרת של Safe-Host.co.il תוכנת IRCD, שהוא מחובר אליה בלי לדעת.
בדקתי אצל האדם השני והשלישי, וכן, גם הם.
בדקתי את מספר התהליך(PID), ראיתי שרץ קובץ בשם iis5.exe, גיליתי את המקור שלו, פתחתי אותו עם Explorer PE, ובדקתי את הקובץ.
הקובץ הזה נראה כבוטנט.

* בוטנט - תוכנה זדונית, שמאפשרת לבן אדם מרחוק לשלוט לך על המחשב, לפאקט[DoS], לסרוק מחשבים, לפרוץ מחשבים, והכל אוטומטית.

חפרתי עוד קצת, וגיליתי פרטים נוספים את הכתובת IRC, את הפורט, את החדר.
בקיצור, לקוח של Safe-Host הריץ תוכנת IRCD, ודרכה ביצע את אחסנת הבוטים.

אני כאזרח שומר חוק, פניתי אל נדב, הבעלים של Safe-Host, פניתי אליך בגישה יפה, מכובדת.

אני פניתי אליו עם התלונה הזו, הבאתי לו פרטים של תוכנת ה IRCD שמורצת על השרת שלו, את החדר שהוא משתמש למטרת האביוז ה"לקוח". וגיליתי את זה ע"י שהרצתי להם את הפקודה netstat -ano וגיליתי את התליך, ושזה קשור לשרת שלו, והנה התגובה שלו הייתה בתוכנת המסרים MSN.

קוד:

לא, כמו שאמרתי אני לא יתחיל להיכנס אל זה, אתה באת אליי בתלונות שהשרת מירק שמורץ על השרת שלי מתקיף את המחשב שלך ושל אנשים שאתה מכיר, תראה לי הוכחות ואני ימשיך לבדוק את העניין. כי בנתיים זה מילים כמו חול ואין מה לאכול

הבן אדם רצה פשוט תצלום-מסך[Printscreen] של הדוס עם "netstat -ano" ושהאיפי שלו מופיע שמה.
אחרת, הוא לא מתייחס לתלונה, הסברתי לו, שאין כרגע תצלומי מסך, כי הם לא מעזים להתחבר לאינטרנט אחרי שאמרתי להם את זה. כי הם משתמשים במחשב למטרת כרטיסי אשראי, לקניות וכו' והם לא רוצים להסתכן.

בקיצור, ראיתי שאין עם מי לדבר, פניתי לחבר שלי, מ Expert Serv שהוא בחור אחלה, והוא אמר לי שהוא לא מארח את החברה הזו, אבל הוא יודע, הוא שוחח עם הבחור שמארח אותם שהוא "loads" אבי מחברת LOM, ופניתי אל אבי. ואבי ניגש, וטיפל בבעיה, סגר את השרת ושוחח עם נדב.

תודה רבה ל Expert Serv שאמר לי מי מארח את החברה הזו,
ולאבי, שביצע את הפעולות במקום נדב - "סייף" הוסט.

אז חברה, תחשבו טוב אם ללכת לחברה "Safe" Host, אחסון "בטוח".

נ.ב: גם רואים לפי הידע של הבחור, בציטוט שהבאתי , שרץ על השרת שלו שרת מירק ..

מירק זה קליינט פשוט, שמאפשר להתחבר לשרתי IRC.

ועוד שאלה קטנה, השם של החדר היה mix1 במקרה?
כי הייתי באיזה שרת IRC מזמן של safe host ונכנסו לשם טונה בוטים שפתחו לעצמם חדר :|

Sindrom · 14-04-07, 17:09

ציטוט:

נכתב במקור על ידי Nadav

ועוד שאלה קטנה, השם של החדר היה mix1 במקרה?
כי הייתי באיזה שרת IRC מזמן של safe host ונכנסו לשם טונה בוטים שפתחו לעצמם חדר :|

כן, החדר זה mix1, הם פשוט נכנסים לבד. לאיפי שהוגדר להם.

14-04-07, 15:53	# 1
Sindrom חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2005 הודעות: 337	Safe-Host ? סייף ? מוגן ? ממש לא. שלום, שמי הוא אבי. אני מתעסק בעיקר באבטחת מידע. בתאריכים: 13-14/04/07 פנו אליי מספר אנשים, אשר מתלוננים כי יש להם בעיית מהירות, תקיעות במחשב, בקיצור, המלצתי להם לסרוק וירוסים, spys. וזהו. הם אמרו לי שעשו זאת, אך, עדיין יש תקיעות, ובעיות. ניגשתי לבן אדם למחשב, הרצתי את הפקודה בדוס, "netstat -ano" בקיצור, גיליתי שרץ על השרת של Safe-Host.co.il תוכנת IRCD, שהוא מחובר אליה בלי לדעת. בדקתי אצל האדם השני והשלישי, וכן, גם הם. בדקתי את מספר התהליך(PID), ראיתי שרץ קובץ בשם iis5.exe, גיליתי את המקור שלו, פתחתי אותו עם Explorer PE, ובדקתי את הקובץ. הקובץ הזה נראה כבוטנט. * בוטנט - תוכנה זדונית, שמאפשרת לבן אדם מרחוק לשלוט לך על המחשב, לפאקט[DoS], לסרוק מחשבים, לפרוץ מחשבים, והכל אוטומטית. חפרתי עוד קצת, וגיליתי פרטים נוספים את הכתובת IRC, את הפורט, את החדר. בקיצור, לקוח של Safe-Host הריץ תוכנת IRCD, ודרכה ביצע את אחסנת הבוטים. אני כאזרח שומר חוק, פניתי אל נדב, הבעלים של Safe-Host, פניתי אליך בגישה יפה, מכובדת. אני פניתי אליו עם התלונה הזו, הבאתי לו פרטים של תוכנת ה IRCD שמורצת על השרת שלו, את החדר שהוא משתמש למטרת האביוז ה"לקוח". וגיליתי את זה ע"י שהרצתי להם את הפקודה netstat -ano וגיליתי את התליך, ושזה קשור לשרת שלו, והנה התגובה שלו הייתה בתוכנת המסרים MSN. קוד: לא, כמו שאמרתי אני לא יתחיל להיכנס אל זה, אתה באת אליי בתלונות שהשרת מירק שמורץ על השרת שלי מתקיף את המחשב שלך ושל אנשים שאתה מכיר, תראה לי הוכחות ואני ימשיך לבדוק את העניין. כי בנתיים זה מילים כמו חול ואין מה לאכול הבן אדם רצה פשוט תצלום-מסך[Printscreen] של הדוס עם "netstat -ano" ושהאיפי שלו מופיע שמה. אחרת, הוא לא מתייחס לתלונה, הסברתי לו, שאין כרגע תצלומי מסך, כי הם לא מעזים להתחבר לאינטרנט אחרי שאמרתי להם את זה. כי הם משתמשים במחשב למטרת כרטיסי אשראי, לקניות וכו' והם לא רוצים להסתכן. בקיצור, ראיתי שאין עם מי לדבר, פניתי לחבר שלי, מ Expert Serv שהוא בחור אחלה, והוא אמר לי שהוא לא מארח את החברה הזו, אבל הוא יודע, הוא שוחח עם הבחור שמארח אותם שהוא "loads" אבי מחברת LOM, ופניתי אל אבי. ואבי ניגש, וטיפל בבעיה, סגר את השרת ושוחח עם נדב. תודה רבה ל Expert Serv שאמר לי מי מארח את החברה הזו, ולאבי, שביצע את הפעולות במקום נדב - "סייף" הוסט. אז חברה, תחשבו טוב אם ללכת לחברה "Safe" Host, אחסון "בטוח". נ.ב: גם רואים לפי הידע של הבחור, בציטוט שהבאתי , שרץ על השרת שלו שרת מירק .. מירק זה קליינט פשוט, שמאפשר להתחבר לשרתי IRC. __________________ [Email: NetGamesCSS@Gmail.com] [ICQ: #225651] [MSN(Inactive): syndr0z@nana.co.il]

14-04-07, 16:09	# 2
Light חבר וותיק מיני פרופיל תאריך הצטרפות: Jul 2006 מיקום: חולון הודעות: 1,635	חבל שזה ככה.. מקווה שהמצב ישתפר. __________________ http://oreliaz.com

14-04-07, 16:15	# 3
Nadav חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2006 מיקום: נתניה הודעות: 1,476	זה מסביר הכל, היה איזה שרת שמאוחסן שם ויום אחד איזה מישהו Mrtiti פרץ לשם.... (לשרת IRC) הוא אמר לי שיש לו IRCD Shell על השרת הזה, ולא הבנתי על מה הוא מדבר.. עכשיו אני מבין.. נקווה לטוב... __________________ facebook last.fm

14-04-07, 16:25	# 5
MoshikB הוסטסניון מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: Israel הודעות: 3,200	הייתי שמח לעזור לך והייתי ממליץ לך לא לסיים עם זה ככה, תבדוק במחשבים שבהם העניין של הפריצה קרה, אם נגרם נזק או משהו, ואם צריך, להגיש תלונה כנגד אותו לקוח של סייף-הוסט. חבל לשמוע עליהם ככה.. אני שמח שבסופו של דבר פתרת את הבעיה. בהצלחה. __________________

14-04-07, 16:35	# 7
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	אני עדיין לא הבנתי איך אנשים נדבקו מאותו CLIENT... __________________ כלים לקידום אתרים בלוג PHP למתקדמים


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

14-04-07, 16:23	# 4
nanadav הוסטסניון מיני פרופיל תאריך הצטרפות: Dec 2005 גיל: 33 הודעות: 1,946	ביקשתי הוכחות, וכאשר קיבלתי הוכחות השרת נסגר. כמו ששמת לב אין לי ידע נרחב בשרתי IRCD ולכן אני לא מספק את השירות הזה, אבי פנה אליי והציג לי הוכחות שהשרת מירק מריץ דברים לא חוקיים, השרת נסגר והלקוח יטופל. אם בשביל לבקש ממישהו הוכחה שהלקוח שלו מריץ דברים לא חוקיים פותחים ביקורת אז הגענו למצב לא טוב. נ.ב אחת החשדות שלי כלפייך היו שהוספת אותי לפני ארבעה-שלושה ימים אני לא זוכר בדיוק ואמרת לי שפרצו לך ולחברייך רק אתמול היום. מקווה שהבנת, המשך יום טוב.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)