Nieuws
image

Nederlandse autoriteiten halen botnet-servers offline

dinsdag 17 juli 2012, 11:31 door Redactie, 5 reacties

De kritiek van een Amerikaans beveiligingsbedrijf dat de Nederlandse autoriteiten laks zijn met de aanpak van botnets heeft effect gehad, want een paar dagen later zijn verschillende Command & Control (C&C) servers van het Grum-botnet offline gehaald. Atif Mushtaq van FireEye ontdekte tijdens zijn onderzoek naar het Grum-botnet dat een aantal belangrijke servers in Nederland waren ondergebracht. Volgens Mushtaq een verstandige keuze, omdat de Nederlandse autoriteiten traditioneel laks met abuse-meldingen zouden omgaan.

Grum is voor ruim 17% van alle spam op het internet verantwoordelijk. De botnetbeheerders hadden de belangrijkste servers in Rusland, Panama en Nederland ondergebracht. Na de blogposting van Mushtaq zijn de C&C-servers op het IP-adres 94.102.51.226 en 94.102.51.227 offline gehaald. "Ik bedank de Nederlandse autoriteiten voor hun snelle actie", zo laat de botnetjager weten.

Providers
Het botnet is nog niet geheel verslagen, omdat twee servers in Panama en Rusland nog altijd operationeel zijn, ondanks alle waarschuwingen en meldingen aan de hostingproviders. "Dit betekent dat via deze twee servers de botnetbeheerders mogelijk gaan proberen om hun botnets via een wereldwijde update terug te krijgen." Toch hebben die nog altijd geen teken van leven vertoond.

Reacties (5)
17-07-2012, 13:40 door Anoniem
Ja, met weghalen spoor je de criminelen op. Sublieme strategie.
17-07-2012, 14:02 door Security Scene Team
Door Redactie: "Ik bedank de Nederlandse autoriteiten voor hun snelle actie", zo laat de botnetjager weten


Ze waren toch laks? hmm...
17-07-2012, 14:09 door Bitwiper
94.102.51.* is van Ecatel.net (met postbus in Den Haag). Ecatel staat bekend als een bulletproof hoster. Oftewel een hoster die illegale praktijken niet alleen tolereert maar ervan profiteert en haar klanten beschermt. En dat is niet sinds gisteren (zie http://www.ispam.nl/archives/16552/ecatel-heeft-met-meest-kwaadaardige-netwerk/ van 9 april 2010).

Een reseller stelt in http://topicworld.net/showthread.php/586815-Elite-offshore-hosting-NL-Ecatel:
Not allowed: Spam, DDoS, Child porn
Allowed: Everything else
Echter, een paar simpele zoekopdrachten op Internet wijzen uit dat Ecatel vaak met kinderporno, spam en DoS attacks in verband is gebracht, en daar niet of lax op reageert. In http://www.webhostingtalk.com/showthread.php?t=1169812 stelt een gebruiker met de naam "Ecatel" dat je je klachten maar in http://helpdesk.ecatel.net/index.php?_m=tickets&_a=submit moet posten (abuse@ lezen ze kennelijk niet daar).

Naast veel klachten kun je ook malloten vinden die vragen of servers bij Ecatel "echt bulletproof" zijn (zie bijv. https://webcache.googleusercontent.com/search?q=cache:WLZkNEMKFqgJ:http://www.hackforums.net/showthread.php%3Ftid%3D679464%2Becatel+botnet+2012&sclient=psy-ab&hl=en&site=&ct=clnk, Google cached, zonder account kom je er niet in).

Recente info in http://www.spamhaus.org/sbl/listings/ecatel.net (let vooral op de herhaalde listings, 94.102.51.237 al voor de 4e keer - een sterke aanwijzing dat Ecatel hier geen ruk aan doet):
17-Jul-2012 05:07 GMT Forum/Comment spam source @80.82.64.25 [2nd listing]
15-Jul-2012 17:23 GMT DDoS botnet controller @89.248.174.37
15-Jul-2012 17:21 GMT Malware distribution @94.102.51.83
13-Jul-2012 08:17 GMT Forum/Comment spam source @93.174.93.85 [2nd listing]
11-Jul-2012 10:18 GMT Forum/Comment spam source @80.82.66.112
10-Jul-2012 10:07 GMT ZeuS botnet controller @80.82.65.99
08-Jul-2012 11:31 GMT Fake-AV botnet controller @94.102.51.237 [4th listing]
07-Jul-2012 08:04 GMT Fake-AV botnet controller @93.174.88.223
07-Jul-2012 04:14 GMT Work at home scammer site (click through redirector to www.simpleprofitfromhome.com)
04-Jul-2012 17:53 GMT Dofoil botnet controller @89.248.172.10
Waarom tolereren we bedrijven als Ecatel überhaupt in Nederland?
17-07-2012, 14:41 door Anoniem
Kennelijk gebruiken ze Spamhaus zelf ook ;-)

http://noc.ecatel.net/ecatel-abuse.html
18-07-2012, 09:02 door Anoniem
Het was niet de NL authoriteit die hier iets gedaan heeft, maar een abusedesk medewerker van een andere ISP die de hoster heeft aangesproken adhv de postings by Security.nl en het Fireeye blog.

De takedown was daarna binnen 4 uur een feit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search