RSS
 

Posts Tagged ‘spamhaus’

Heihachi bättre än sitt rykte

19 Dec

Wikileaks.info ligger nu på en server hos Heihachi Ltd. Deras IP-serie är blockerad av Spamhaus för ”Hosting and routing for well known cybercriminals who use malware to infect the computers of thousands of Russian citizens.” Beskrivningen avser främst Webalta som man beskriver som värd för Heihachi. Heihachi står dock själva som ägare för ip-serien 92.241.190.0 – 92.241.190.255. Spamhaus berättar också att Heihachis servrar har ”malware, Zeus/SpyEye and other botnet command and control (C&C) servers, phish sites and ”backends”, child pornography sites, and other types of abusive web sites”.

Jag hittade 255 com/net-domäner som ligger hos Heihachi och använder deras DNS-servrar. Av dessa domäner är ingen rapporterad av Google för att ge malware. Två av domänerna rapporteras av Google som phishingsidor, dhl24-servicecenter.com och pixel-banner.com. För ögonblicket går den första domänen inte att nå medan den andra är avstängd. Clean-mx rapporterar fyra adresser som hanteras av Heichachi (övriga på listan ligger på IP-nummer som tillhör Webalta men inte Heihachi). Malwaredomainlist rapporterar om tre adresser på en domän.

Det är alltså svårt att hitta några bevis för att Heihachi är så hemska som Spamhaus menar. Däremot bör man se upp för Webalta som helhet. Enligt Google har åtta procent av de kontrollerade sidorna använts för att sprida malware. Det ser ut som att Webalta gärna hostar företag som vill sprida malware, men Heihachi är inte ett av dessa.

92.241.190.0 - 92.241.190.255
 
 

DDOS mot Spamhaus, en förvirrad attack

19 Dec

Igår blev Spamhaus utsatta för en DDOS-attack efter att ha varnat för wikileaks.info. Eftersom deras hemsida blev svår att nå valde de att skicka ett öppet brev till Nanog.orgs mailinglista där de ber mottagarna att sprida varningen för wikileaks.info.

Attacken mot Spamhaus visar att både personerna bakom attacken och de ansvariga för wikileaks.info saknar en del teknisk kompetens. Wikileaks info har publicerat ett svar på Spamhaus varning där de menar att Spamhaus blockerat wikileaks.info, för att sedan lägga till en uppdatering efter att Spamhaus sagt att de inte blockerar domänen.

Spamhaus blockerar inte några servrar alls. De erbjuder listor över ip-nummer och ip-serier som används för att skicka ut spam. Dessa listor kan administratörer av mailservrar använda för att stoppa spam. Listorna är inte tänkta att användas på något annat sätt, till exempel för att blockera tillgång till hemsidor. Spamhaus har själva inte möjlighet att blockera någon att nå wikileaks.info och försöker inte heller få någon att blockera domänen.

Spamhaus har heller aldrig varnat för att wikileaks.info skulle vara farlig eller innehålla malware just nu. Däremot har de sagt att servern kontrolleras av personer som tidigare hjälpt till att sprida malware och att man därför bör vara försiktig. Attacken mot Spamhaus hjälper inte Wikileaks på något sätt, däremot har företaget som äger ip-serien och har kunder som vill skicka spam mycket att vinna på att Spamhaus misskrediteras.

Man bör även vara försiktig med wikileaks.org, den skickar vidare till mirror.wikileaks.info som ligger på samma server som wikileaks.info.