Hoe kom je op dat idee?

Zelf ben ik de laatste maanden (met een tiental anderen) druk bezig geweest duizenden besmette machines op te ruimen bij klanten. Iedere dag waren er 5 a 20 nieuwe meldingen. Een aantal PC's konden binnen enkele minuten afgesloten worden. Anderen vergden meer tijd. Tot afgelopen weekend was er geen adequate manier om besmette machines te vinden die zich achter NAT, PNAT, proxies e.d. (dus niet achter netwerken zoals in het artikel vermeld) bevonden. De enige informatie die bekend was, was het IP adres van de bron en soms de source poort. (en de destination poort is natuurlijk altijd 80). Bij proxy-achtige situaties met daarachter een paar duizend PC's is dat niet voldoende om snel een dader te vinden. Soms was het noodzakelijk om met informatie verspreid over enkele dagen de logregels van die dagen door te spitten in de hoop, door correlaties aan te brengen, de dader(s) te vinden. En bij voorkeur voor hij andere PC's kon besmetten.

Peter