en zoals altijd..
worden de betroffende IP's niet afgesloten..

Hoe kom je op dat idee?

Zelf ben ik de laatste maanden (met een tiental anderen) druk bezig geweest duizenden besmette machines op te ruimen bij klanten. Iedere dag waren er 5 a 20 nieuwe meldingen. Een aantal PC's konden binnen enkele minuten afgesloten worden. Anderen vergden meer tijd. Tot afgelopen weekend was er geen adequate manier om besmette machines te vinden die zich achter NAT, PNAT, proxies e.d. (dus niet achter netwerken zoals in het artikel vermeld) bevonden. De enige informatie die bekend was, was het IP adres van de bron en soms de source poort. (en de destination poort is natuurlijk altijd 80). Bij proxy-achtige situaties met daarachter een paar duizend PC's is dat niet voldoende om snel een dader te vinden. Soms was het noodzakelijk om met informatie verspreid over enkele dagen de logregels van die dagen door te spitten in de hoop, door correlaties aan te brengen, de dader(s) te vinden. En bij voorkeur voor hij andere PC's kon besmetten.

Peter

Dit kan ook niet echt. Dan zou je een bedrijf met 5000+ PCs afsluiten omdat er ergens een rogue laptop in het netwerk hangt.

Ik heb conficker op mijn systemen, cool
ik laat het lekker zitten

opvallend weinig rode blokjes in frankrijk, hoe komt dat?

En waarom zou je IP's afsluiten dan? Denk je nou echt dat een ISP klanten gaan afsluiten om een virus? Dat gaat ze flink geld kosten. En een hoop gezeik aan de helpdesk.

Ze zouden dat juist moeten doen, alleen al voor het gezeik aan de helpdesk. 10cent per minuut ; )

Maar ik denk persoonlijk dat dit niet zal werken, om al dat internet af te sluiten.
Het grote probleem is dan ook contractbreuk. (of je moet al een contract hebben getekend waarin staat dat ze je internet mogen afsluiten als je een virus hebt)

Zolang de vervuiler niet betaalt gaat dit probleem nooit opgelost worden. In plaats van die vervuiler, betalen nu anderen waaronder jij de rekening: mensen die gespammed worden, mensen wiens email adres als afzenderadres in spam gespoofed wordt, bedrijven en instellingen wiens domainname in het afzenderadres in spam gespoofed wordt, de Internet bandbreedte die door spam, virussen en portscans vanaf geinfecteerde hosts verprutst wordt, de dikkere mailservers en spamfilters die bedrijven, instelingen en ISP's moeten neerzetten (en die wij met z'n allen betalen) om ook alle spam te kunnen verwerken, bedrijven (en uiteindelijk hun klanten) die ge-DoS-ed worden en zo is er ongetwijfeld nog meer te bedenken.

Er zijn 2 opties om de vervuiler te laten betalen: [list] [*] We maken voortaan alle eigenaren van IP-adressen publiekelijk bekend, zodat elke derde, die last heeft van de onkunde of opzettelijke wandaden van de eigenaar van een IP-adres, die eigenaar er persoonlijk (cievielrechtelijk) voor aansprakelijk kan stellen
[*] We zorgen ervoor dat een derde een ISP aansprakelijk kan stellen voor rotzooi vanaf de door die ISP beheerde IP-adressen, waarna die ISP dat weer op de klant kan verhalen (deze optie zal ISP's zeker stimuleren om vervuilers af te sluiten).
[/list]
Interessant is altijd dat de meerderheid van de Nederlanders zegt niks te verbergen te hebben. De meesten staan gewoon in het telefoonboek en hebben een naamplaatje naast de deurbel. Maar owee als iemand hun IP-adres te weten komt... (Breinvrees anyone?)

Er is een provider en die doet dat wel, namelijk Xs4all

De vervuiler betaalt? De werkelijke vervuilers zijn de makers van virussen, spyware etc. Die worden op deze manier niet aangepakt. Het is natuurlijk zo dat veel mensen te weinig verstand hebben van de beveiliging van hun computer en door hun domheid in de problemen komen en ook anderen in de problemen brengen. Maar sinds wanneer is domheid strafbaar?

Vraagje tussendoor :)

Hoe kan ik mijn interne netwerk scannen op conficker??

bij voorbaat dank

Fransen weten niet wat een computer is. Zelfde in Spanje

Of ze steken de kop in het zand en willen niet weten of ze wel of niet besmet zijn :)

Vanzelfsprekend moeten de malwaremakers ook worden aangepakt, maar ik reageerde op root die kennelijk hetzelfde vindt als jij. Bovendien kost het malwaremakers vet aan inkomsten als ze minder PC's kunnen overnemen, dus ook zij worden hierdoor indirect aangepakt (een botnetje van enkele i.p.v. miljoenen PC's is nou niet bepaald een gevaarlijk DDoS wapen).

Ik heb het niet over straffen maar ik geef aan dat ik het onacceptabel vindt dat derden er de dupe van worden dat velen hun computer niet of nauwelijks beveiligen, en daar vaak ook totaal niet in geïnteresseerd zijn. Te vaak heb ik gehoord "ik doe er toch niks belangrijks mee". Nogmaals, nu betalen we deze ellende met z'n allen, en dus worden mensen die hun PC wel beveiligen nu effectief gestraft door de mensen die dat niet doen.

Met de aantallen besmette systemen kan er in de meeste gevallen geen sprake zijn van domheid. Het gaat hier om laksheid en desinteresse. Mensen die wel "dom" zijn en toch willen computeren moeten maar hulp van familie of vrienden inroepen, of ervoor in de buidel tasten. Door APK-keuringen e.d. zie je in NL nog nauwelijks halve wrakken op de weg - waarom kunnen we niet voor veilige PC's zorgen?

Met de laatste beta van nmap in combinatie met lua (script engine) krijg je er een check scriptje bij die dat doet.
Zo heb ik ook e.e.a. gescanned, werkt ok;

nmap -PN -T4 -p 139,445 -n -v --script=smb-check-vulns --script-args
safe=1 [target]

http://seclists.org/nmap-dev/2009/q1/0870.html

Als je gaat spelen wel safe=1 laten staan en niet unsafe=1 doen want dan kan er wat omvallen wat niet de bedoeling is.... ;)
D'r zijn overigens meer van dat soort leuke scriptjes voor nmap.

Dat scannen gaat wel heel erg snel.
Klik pagina aan en meteen melding : There are no signs for an infection.