Virus bestrijding

[PHO]

De Nederlandse internetprovider BIT heeft een nieuw wapen in de strijd tegen virussen. De provider registreert in een databank alle pc's van klanten die virussen verspreiden. Mails van deze pc's kunnen vervolgens tijdelijk worden geblokkeerd.

Wanneer BIT binnen 24 uur meer dan twee virusmails ontvangt van een pc, wordt het IP-adres van deze computer in een databank geplaatst. E-mails van systemen die op deze blacklist (zwarte lijst) staan, worden vervolgens een etmaal lang geblokkeerd. De eigenaars worden gewaarschuwd, zodat ze maatregelen kunnen treffen.

Bron: ZDNET.BE


Laat dit misschien een hint zijn voor Skynet.

[Tomsworld]

De Nederlandse internetprovider BIT heeft een nieuw wapen in de strijd tegen virussen. De provider registreert in een databank alle pc's van klanten die virussen verspreiden. Mails van deze pc's kunnen vervolgens tijdelijk worden geblokkeerd.

Wanneer BIT binnen 24 uur meer dan twee virusmails ontvangt van een pc, wordt het IP-adres van deze computer in een databank geplaatst. E-mails van systemen die op deze blacklist (zwarte lijst) staan, worden vervolgens een etmaal lang geblokkeerd. De eigenaars worden gewaarschuwd, zodat ze maatregelen kunnen treffen.

Bron: ZDNET.BE


Laat dit misschien een hint zijn voor Skynet.

Het gaat over http://virbl.bit.nl of meer info: http://www.tweakers.net/nieuws/32750

In nederland is het vrij effectief en haalbaar aangezien iedere user daar een fixed ip heeft wat hier niet het geval is.

Zo krijg ik op een van mijn mailservers al weken een 100 mails binnen van een pc vol met wormen in het skynet netwerk, maar iedere keer een ander ip.

Abuse reageert amper of niet, en blocken kan je niet. Zo'n systeem is ideaal als alle isps meedoen & iedere user een fixed ip heeft, dan kun je rustig mensen firewallen.

[ubremoved_539]

Zo krijg ik op een van mijn mailservers al weken een 100 mails binnen van een pc vol met wormen in het skynet netwerk, maar iedere keer een ander ip.

Moest SkyNet outgoing SMTP blokkeren voor zijn users, en hen verplichten via een SMTP relay te gaan (zoals TN doet) dan zou dit probleem zo goed als onbestaande zijn. (al de virussen met een eigen SMTP engine gaan dan gewoon de mist in). Nog beter is wanneer men een virus scan zou doen op de SMTP relay.

Waarom moeilijk als het gemakkelijk ook gaat

[Sensei Zeon]

r2504, omdat niet elke user dat aanvaardt

ik zou het ook niet willen dat mijn isp mij zo'n beperkingen oplegt

[ubremoved_539]

r2504, omdat niet elke user dat aanvaardt

ik zou het ook niet willen dat mijn isp mij zo'n beperkingen oplegt

Da's nonsens... 99% van de mensen weet nog niet eens wat een mail realy is, laat staan dat ze er problemen mee hebben. Trouwens een mail relay beperkt je niet in het versturen van mails.

En voor die 1%... da's pech, daarvoor bezorg je de andere 99% geen problemen met virussen mee. Wil je toch geen beperkingen, dan moet je volgens mij een professioneel abonnement.

Trouwens ik zit zelf bij die 1% (en bij TN), maar mits een VPN tunnel naar een host welke geen restricties heeft is dit zo opgelost. Zo zie je maar dat die 1% verstandig genoeg is om eventuele beperkingen op een creatieve manier op te lossen.

Het zit hier precies vol met professionals die allemaal met een 2 PKtje willen rijden omdat het anders te duur is ?

[wem]

ik denk wel dat 1% enorm overschat is!
Als het is om te experimenteren met mail-servers, kan dit perfect nog op eigen LAN (dat aangesloten is op TN).
Als het is voor mailtjes te sturen: de beperkinen die relay van TN oplegt, zijn echt niet de strengste (tenzij je bv. duizende mails wilt versturen op enkele seconden tijd, maar dan kan je je niet meer een gewone gebruiker noemen denk ik ...)

[Spock]

Gek dat als Blue-sky dit nieuws postte enkele dagen gelden hij commentaar kreeg dat het niet over België ging en dat zijn artikel naar de 'vergeetput' werd verbannen. Nu volgt er geen verbanning.

Ik heb er mijn bedenkingen bij.

[wem]

Ik heb er mijn bedenkingen bij.

PHO's laatste zin lijkt me nogthans de commentaar die ik bij het vorige artikel gepost hebt te zijn (in een iets verkorte notering mss)

[Spock]

Gij zegt het

[Spock]

Geef Caesar wat Caesar toekomt dus:

<img src="http://upload.userbase.be/upload/verspreid_virus.jpg" align="left" width="90" height="120"> Een database met besmette pc's staat aan de basis van een ambitieus project dat de stortvloed aan virusmailtjes moet indammen. Een aantal Nederlandse providers test momenteel een wormblokker op basis van een uitgebreide database met besmette pc's. Dit bestand wordt sinds twee weken bijgehouden door BIT, een zakelijke provider. In deze database is onder meer te zien vanaf welk ip-adres welk virus wordt verspreid.

Andere providers kunnen deze database gebruiken om hun eigen klanten op de hoogte te brengen dat hun computer besmet is en voor overlast zorgt, zo legt Alex Bik van BIT uit. Zichzelf verspreidende virussen (wormen) blijken voor steeds meer overlast te zorgen, zowel bij particulieren als bij providers. BIT zelf heeft het automatische blacklist-systeem sinds vorige week in gebruik om zijn klanten te beschermen tegen de steeds groter wordende stroom aan virusmails. Ook een aantal andere Nederlandse providers, waaronder XS4ALL, Zonnet en IS Internet Services, hebben inmiddels de beschikking over de gegevens.
lees hierover meer

Bron: Webwereld.Nl van 3 juni 2004

[Spock]

Mijn excuses aan de Mods die het verplaatsten maar dit is wat ik denk wat het enige juiste is om te doen. Of je verplaatst dit ook waar je dat van Blue-Sky plaatste of je zet het terug. Dit is dus een compromis-oplossing

[meon]

Gek dat als Blue-sky dit nieuws postte enkele dagen gelden hij commentaar kreeg dat het niet over België ging en dat zijn artikel naar de 'vergeetput' werd verbannen. Nu volgt er geen verbanning.

Ik heb er mijn bedenkingen bij.

Dit staat toch niet in een nieuws-rubriek gepost?

[Tomsworld]

Zo krijg ik op een van mijn mailservers al weken een 100 mails binnen van een pc vol met wormen in het skynet netwerk, maar iedere keer een ander ip.

Moest SkyNet outgoing SMTP blokkeren voor zijn users, en hen verplichten via een SMTP relay te gaan (zoals TN doet) dan zou dit probleem zo goed als onbestaande zijn. (al de virussen met een eigen SMTP engine gaan dan gewoon de mist in). Nog beter is wanneer men een virus scan zou doen op de SMTP relay.

Waarom moeilijk als het gemakkelijk ook gaat

Nee.

Skynet relay scant op virussen, check maar es goed de headers.

Ik gebruik vaak andere relay's (authed smtp) omdat die geen delay's hebben, die van skynet durft wel es iets trager te gaan.

Dichtgooien is zo weer een redenering van niet het echte probleem aan te passen.

Ik zou meer wat zien zitten op een systeem zoals in nederland, fixed ip en dicht alleen via customer care open te zetten mits akkoor verklaring van vwdn, geen open relay enz.

En een veel beter abuse beleid.

[ubremoved_539]

Skynet relay scant op virussen, check maar es goed de headers.

Heb je het hier over outgoing mail... tja, dan moet ik nog het eerste mailtje ontvangen van een Skynetter welke die relay gebruikt. Trouwens virussen met hun eigen SMTP engine zullen hem alvast niet gebruiken... mooie oplossing, al is ze dus nutteloos

Dichtgooien is zo weer een redenering van niet het echte probleem aan te passen.

Bij jij echt zo naief dat je het probleem van virussen en andere rotzooi aan de basis denkt te kunnen oplossen ? Trouwens wat men in Nederland doet is ook niet anders dan een lapmiddel. Een lapmiddel dat men helemaal niet zou nodig hebben moest men gewoon relaying verplichten.

Ik zou meer wat zien zitten op een systeem zoals in nederland, fixed ip

Tja, dat is net wat de providers in Belgie ten alle kost willen vermijden... je moest maar eens zo gek zijn een servertje te draaien met dergelijke belachelijke upload en limieten

[wem]

je moest maar eens zo gek zijn een servertje te draaien met dergelijke belachelijke upload en limieten

server draaien heeft niet meer zoveel met fixed IP te maken, via diensten als No-ip.com er biedt ...

(maar voor de rest ben ik het volledig met je eens ...)

[Spock]

Gek dat als Blue-sky dit nieuws postte enkele dagen gelden hij commentaar kreeg dat het niet over België ging en dat zijn artikel naar de 'vergeetput' werd verbannen. Nu volgt er geen verbanning.

Ik heb er mijn bedenkingen bij.

Dit staat toch niet in een nieuws-rubriek gepost?

Blue-sky had het gepost in Andere Nieuws en Sasuske heeft dit artikel weg gepromoveerd. Ik zie niet in waarom t niet thuis hoort in een nieuwsrubriek. Ik begrijp dit niet. Daarom ben ik geen moderator zeker? Ik post nieuws. Das al hard genoeg om te begrijpen

[PHO]

Ik wist niet dat Blue-Sky al informatie hieromtrent gepost had. (Ik heb het toch niet gezien).

IMHO mag (beter moet) skynet de relay server verplichten. Het is ongehoord dat er zoveel virale mails via hun netwerk de wereld verstuurd worden.
Het is dan uiteraard wel jammer voor diegene die wel weten waarmee ze bezig zijn, en om 1 of andere reden graag poort 25 graag openstaan hebben.
Maar zoals in zowat alles in onze maatschappij zijn de goeien altijd het slachtoffer van het geknoei van anderen.

Als alternatief zou er anderzijds wel kunnen gezocht worden naar een oplossing dat SMTP verkeer wel toegelaten wordt, totdat er klachten op de abuse dienst binnenkomen. Daarna zou dan voor de betreffende account het gebruik van de relay server verplicht worden.
Maar het lijkt me echter praktisch moeilijk haalbaar, omdat die ganse procedure toch wel wat tijd in beslag zou nemen.
(opzoeken in de DHCP logs wie op welk moment welk IP adres had).

[wem]

'k weet niet of het voor hen mogelijk is, maar misschien gewoon mense de keuze geve van poort 25 ope te zette of ni, met standaard instelling dat ze uit staat. Zo kunne die paar honderde gebruikers die dat toch wensen hunne mail-server blijve gebruike, en de normale gebruiker merkt er niks van (buite da hij gene spam/virusse meer kan verzende ...)