[Nlnog] Virbl, de NLWhitelist en telefoontjes

Raymond Dijkxhoorn raymond at prolocation.net
Wed Sep 10 20:54:32 UTC 2008


Hi Erik,

> Als je ook kijkt op de VIRBL lijst, zal je ook zien dat de meeste IP's 
> die op de lijst staan in dit soort netwerken staan ivm virii / backdoors 
> op home PC's die vrijelijk staan te mailen op het boze internet.
> Deze drone PC's zijn meestal redelijk 'dom' in hun mail patroon, maken 
> geen gebruik ( meestal ) van ISP hosted mailservers maar localhost en 
> volgen niet echt de standaarden zoals retries.. ( vandaar dat 
> greylisting hoe irritant het ook is, zo effectief is tegen dit soort )
>
> Klopt dit idee globaal nog steeds met waarom VIRBL nog steeds loopt of 
> zijn er momenteel ook andere motieven ?

De laastste tijd zijn juist de joomla achtige hosters het haasje, die 
worden niet alleen gebruikt/misbruikt om de mails te versturen maar ook 
als hoster van de payload. Je kent ze wel :

http://www.eenhelelegitiemesite.nl/./exploitshierneerzetten.exe

Daar zien we een trend in.

Onder andere het storm botnet is hier nu mee bezig, en die besmettingen 
gaan als een lopend vuurtje omdat men eenhelelegitiemesite.nl weer niet in 
lijsten als SURBL en URIBL neerzet.

De toename van het aantal virus mails, zegmaar de nieuwe outbreak komt 
daar ook het grootste deel vandaan op het moment. Dit keer dus veel minder 
van de infected domme user <tm>. Maar juist van de hoster die die nu geen 
raad meer weet... Biertje?

Bye,
Raymond.




More information about the NLNOG mailing list