Chello dreigt met afsluiten Code Red klanten

Op de service pagina van Chello (alleen te bekijken via Chello) wordt melding gemaakt van het feit dat een groot aantal chello klanten nog steeds last heeft van een Code Red infectie. Chello Abuse is op dit moment druk bezig met het verzamelen van alle meldingen die binnenkomen over HTTP(D) portprobes/portscans en registreert alle IP-adressen die vermoedelijk geïnfecteerd zijn met het virus. Vervolgens worden deze geverifieërd en de mensen wiens computer daadwerkelijk geïnfecteerd is worden verzocht dit direct op te lossen vanwege de overlast die het veroorzaakt voor mede-internetgebruikers.

Als klanten mochten besluiten het virus niet te verwijderen en als de klachten betreffende het virus blijven aanhouden, dan zal UPC de stekker van desbetreffende klant er (tijdelijk) uittrekken.

awraeven tipte ons.

Lees meer

IT-banen

Reacties (123)

123

118

Wijzig sortering

knakworst 15 augustus 2001 09:48

Ik heb continu 6 a 7 kb/s downloadverkeer door al die prutsers. Je mag niet eens een IIS server draaien van de algemene voorwaarden...

Hier het complete verhaal:

Dinsdag 14 augustus 2001

Het is gebleken dat een groot aantal chello klanten last heeft ondervonden of nog steeds ondervinden van de Code Red Worm infectie op de computer. Alleen computers waarop Windows NT of Windows 2000 met de ISS webserver software geïnstalleerd is kunnen geïnfecteerd worden door dit virus. Dit virus kan veel schade veroorzaken bij andere computer gebruikers.

Meer over het verwijderen van het Code Red Virus kunt u vinden op de pagina van Microsoft:

Windows NT
Windows 2000

Dit virus is een worm die zich verspreidt via Windows NT en Windows 2000 met daarop de IIS-software van Microsoft geïnstalleerd. Zodra het virus zich naar binnen heeft gewerkt op een systeem dan start het met het scannen van andere computers. Als er een machine wordt gevonden met dezelfde software dan nestelt het virus zich daar ook en gaat ook vanuit die machines weer verder het internet afscannen naar potentiële slachtoffers.

Begrijpelijk is dat verspreiding hierdoor erg snel kan gaan en op dit moment zijn er wereldwijd dan ook al enkele tienduizenden computers besmet met dit virus, waaronder dus ook chello abonnees.

Dit 'scannen' kan meldingen van poort 80 (httpd) veroorzaken in uw firewall. Chello Abuse is daarom op dit moment ook druk doende met het verzamelen van alle meldingen die binnenkomen over HTTP(D) portprobes/portscans en registreert alle IP adressen die vermoedelijk geïnfecteerd zijn met het virus. Deze worden vervolgens geverifieerd en de mensen wiens computer daadwerkelijk geïnfecteerd is worden vervolgens door ons geïnformeerd en verzocht dit direct op te lossen vanwege de overlast die het veroorzaakt voor mede-internetgebruikers.

Wij willen u er tevens op wijzen dat het aan particuliere gebruikers niet toegestaan is om server-software te draaien (zie artikelen 16.1 en 16.3 van onze algemene voorwaarden en onder 2 van de Acceptable Use Policy). Om deze redenen verzoeken wij u vriendelijk doch dringend om servers af te sluiten en uw computer virus vrij te maken.

Mocht u besluiten het virus niet te verwijderen en houden de klachten betreffende de door het virus veroorzaakte activiteiten aan, dan ziet UPC Nederland zich genoodzaakt om de internetverbinding (tijdelijk) af te sluiten. Wij hopen dat het niet zover zal komen

Verwijderd @knakworst • 15 augustus 2001 11:54

> Ik heb continu 6 a 7 kb/s downloadverkeer door al die prutsers.

Dat komt niet door code red, dit zijn broadcasts die je altijd op een kabelnetwerk tegenkomt.
Als je echt 6 a 7 kb/s verkeer kwijt zou raken aan code red zou dat in houden dat je tientallen requests per seconde binnenkrijg, wat me sterk lijkt.

*CableGuy* @knakworst • 15 augustus 2001 12:02

Ik neem aan dat dit komt uit een brief oid die knakworst van Chello heeft gekregen:

Alleen computers waarop Windows NT of Windows 2000 met de ISS webserver software geïnstalleerd is kunnen geïnfecteerd worden door dit virus.

ISS webserver? Klink meer als International Space Station! Internet Information Server lijkt er meer op.

Geef mij maar apache...

Nakebod

@*CableGuy* • 15 augustus 2001 16:45

Houd alleen niet in dat je met apache de hack atempts van CR en CR2 niet krijg,
me hele logs staan er zowat vol van, en het opvallendste is, alles, voor zover ik gezien heb, komt allemaal uit me eigen ip range...

knakworst @Nakebod • 15 augustus 2001 18:04

Volgens mij zijn de routers van Chello zelf besmet

_JGC_ @Nakebod • 15 augustus 2001 21:22

Als dat zo is, weet ik ook waarom er telkens routers voor Friesland down zijn...

heb dat ene scriptje draaien op mijn server om IIS uit te schakelen en het systeem te rebooten. Werkt perfect, heb nooit meer dubbele entries in mijn logfiles >

Murtceps @knakworst • 15 augustus 2001 10:01

Dit 'scannen' kan meldingen van poort 80 (httpd) veroorzaken in uw firewall.

Ik heb @Home en ik krijg de laatste tijd steeds portprobe meldingen in m'n firewall. Dat zijn dus gasten die Code Red hebben? Heeft dat nog een oorzaak voor mijn PC? Wat doet die Port scan?

ThaDude @Murtceps • 15 augustus 2001 11:32

Die portscan is opzoek naar een IIS server die reageert op poort 80, hierna kan het virrus toeslaan

Als je geen IIS hebt (webserver draaien) dan is er voor alsnog niks aan de hand

Verwijderd 15 augustus 2001 11:39

Beetje late reactie niet ? Bij Telenet (

is begin vorige week al iedereen afgesloten met Code Red. Bellen naar de helpdesk om terug online te raken...
Dat is gewoon de enige manier om die plaag weg te krijgen. (800 probes op een halve dag

)

Anti Code Red script voor Apache:
www.dasbistro.com/default_ida_info.html

*marco* 15 augustus 2001 12:42

Als Chello nou's zelf een virus scanner op z'n server zetten ? gewoon als service naar de klant.
Zou volgens mij niet eens zo ' n raar idee zijn.

Verwijderd @*marco* • 15 augustus 2001 12:44

kunnen ze beter de patch van microsoft op hun servers zetten

Yoda 15 augustus 2001 09:44

Tja wat moeten ze anders hè? Je moet ergens beginnen het op te lossen.

Maar hoe zit dat dan tegenwoordig met het wel of geen server mogen draaien?

Want als je IIS niet mag draaien kan je ook geen code red krijgen,...

CARman @Yoda • 15 augustus 2001 10:09

Er bestaan ook nog zakelijke klanten hoor. En die mogen dus wel IIS draaien. Daar betalen ze ook "ietsje" meer voor. En eigenlijk is het al triest, dat Chello actie moet ondernemen. Een beetje beheerder heeft de patches toch al lang gedraaid ?

Het zijn niet allemaal van die hobbyisten, die de gestelde regels aan hun laars lappen

EdwinB @CARman • 15 augustus 2001 10:20

Chello heeft geen zakelijke klanten op de kabel zitten. Wij echter wel, maar wij zijn accoord gegaan met de thuisgebruiker policy. Dus storingen etc. zouden kunnen voorkomen. Wij worden niet anders behandeld dan een thuisklant.
Opvallend genoeg is de snelheid hier wel

heerlijk

Verwijderd @EdwinB • 15 augustus 2001 13:10

Chello heeft geen zakelijke klanten op de kabel zitten.

Echt wel, je kunt niet voor niets een business account afsluiten bij Chello. Daarvoor krijg je oa hogere up- en download snelheden en storingen worden vrijwel meteen opgelost.

sorted.bits @Yoda • 15 augustus 2001 11:01

Ze kunnen je toch ook niet beperken tot het draaien van software? Als je geen HTTP server mag draaien , dan kan ik me voorstellen dat je hem alleen op een intern IP draait, maar bijvoorbeeld Visual Studio 7 heeft IIS nodig, en dan zal Chello zeggen dat ik dat niet mag draaien? mm denk niet dat ze dat helemaal bedoelen.

Verwijderd @sorted.bits • 15 augustus 2001 12:49

>Visual Studio 7 heeft IIS nodig, en dan zal Chello zeggen dat ik dat niet mag
draaien?

Dat zegt Chello dus wel... Of de soep zo heet gegeten wordt als 'ie wordt opgediend denk ik niet.

Ronald @Verwijderd • 15 augustus 2001 17:47

Dan vuurmuur je hem toch zodat je geen connecties van buiten af kan maken op iis

Roland684

Bedrijfsnieuws

@Verwijderd • 16 augustus 2001 04:37

Je mag ook geen firewall draaien van ze... Ik heb vanmiddag mijn firewall moeten uninstallen (uitzetten was niet voldoende, ik moest hem echt uninstallen)
Ze kunnen de pot op wat mij betreft, ik ga een computer met een vrijwel statisch IPadres niet 24/7 aan het internet hangen zonder firewall

Verwijderd @Verwijderd • 16 augustus 2001 18:16

Heh? waarom in hemelsnaam ?
Wat hebben ZIJ nou met JOUW firewall te maken.

Ikke nie begrijpe

Verwijderd @sorted.bits • 15 augustus 2001 12:12

dan is het toch geen probleem om hem alleen naar het interne netwerk te laten luisteren ik heb ook apache op mijn gateway staan en die staat op listen 192.168.1.1:80 geen probleem dus met chello

EdwinB @Yoda • 15 augustus 2001 10:18

Chello klanten mogen geen server-software draaien.
Een quote van de support pagina van Chello:

Wij willen u er tevens op wijzen dat het aan particuliere gebruikers niet toegestaan is om server-software te draaien (zie artikelen 16.1 en 16.3 van onze algemene voorwaarden en onder 2 van de Acceptable Use Policy). Om deze redenen verzoeken wij u vriendelijk doch dringend om servers af te sluiten en uw computer virus vrij te maken

Verwijderd @EdwinB • 15 augustus 2001 16:36

Mwah.. wat is nou "server software" ?

Al die vage termen en bepalingen wordt je niet goed van.

Ze kunnen bedoelen :

A. Intern netwerk aansluiten op je kabelmodem NIC - mag sowieso niet (staat ook ergens anders in de bepalingen), maar via een 2e NIC en dan met Sygate of zo sharen mag ook niet. Da's server software (met the machine met kabelmodem als server).

B. Web servers ? Duidelijk zat.

C. FTP servers ? Zal dan toch ook wel niet mogen neem ik aan, anders zet je gewoon een website op die draait op FTP. Dat wil prima.

En nu gaan we echt moeilijk doen.

D. Napster e.d.. Napster? Ja, Napster. Als jij Napster 24/7 aan hebt staan en mensen leechen als een gek je MP3tjes, dan ben jij dus gewoon een file_server_.
( edit : ehh..

dan is jouw computer dus gewoon een file_server_ - jijzelf niet

)

E. IRC Fileserver - Ja, dit dus ook.

F. Fingerserver - daar gaan je .plans.

"niet toegestaan [is] om server-software te draaien" is gewoon te vaag/algemeen, want je kan er in principe onder verstaan dat elke software die een externe gebruiker, anders dan jezelf, toestaat om data op te halen van jouw systeem, zonder dat jij expliciet toestemming geeft voor overdracht van die data, "server-software" is.

Ze kunnen niet alles blocken, dus zullen ze specifiek moeten gaan aangeven wat ze nu precies bedoelen.

En dan krijg je meteen ook het actie=reactie effect van het volk.
Want wat voor logica zit erachter dat jij geen webserver mag draaien die hooguit 200 MB op een dag haalt, wanneer een ander 2 gig aan DiVX filmpjes loopt te sharen via P2P software ?

( Even terug on-topic - goede zet van Chello, want andere providers hebben het wel geflikt om poort 80 gewoon voor iedereen uit te schakelen. (Zo ook voor Splutterfish, die nu via http://splutterfish.dyndns.org:443/ zit - ja, poort 443 ja) )

Olaf van der Spek @Verwijderd • 16 augustus 2001 01:25

> Intern netwerk aansluiten op je kabelmodem NIC - mag sowieso niet

Als je dat doet, waar sluit je dan je kabelmodem op aan?

> dat elke software die een externe gebruiker, anders dan jezelf, toestaat om data op te halen van jouw systeem, zonder dat jij expliciet toestemming geeft voor overdracht van die data, "server-software" is.

Als je zelf remote inlogt valt dat volgens mij ook onder het draaien van een server hoor.

Roland684

Bedrijfsnieuws

@Verwijderd • 16 augustus 2001 04:12

je kabelmodel sluit je aan op de hub/switch die je ook voor het interne netwerk gebruikt. Dit werkt prima. De eerste PC die je aanzet krijgt verbinding, de rest niet. En die verbinding houdt hij totdat je het ipadres released. Dus moet je niet vergeten dat te doen voordat je je pc uit zet, anders kun je de verbinding niet gebruiken op een andere pc en dat is lastig als je die laatste PC die de verbinding had niet meer hebt

Verwijderd 15 augustus 2001 10:33

// on-topic

Pluim voor chello, goed dat ze dit doen. Hopelijk volgen er meer providers.

Hetzelfde mogen ze wat mij betreft doen voor bv. sub-seven geinfecteerden etc.

// off-topic

Je mag best IIS draaien van Chello hoor, sterker nog dit _kan_ chello je helemaal niet verbieden. Wat niet mag is het draaien van extern toegankelijke services en da's heel wat anders.

Overigens (na aanleiding van het virusscanner verhaaltje hierboven):
een besmette machine is NIET gefixxed met een windowsupdate of een viruscanner. De bewuste machine heeft nl. een behoorlijke tijd open gestaan voor hackers/crackers en het wordt erg moeilijk na te gaan wat er mee uitgespookt is in de tussentijd. De enige juiste oplossing is een backup van eventuele belangrijke gegevens en een schone herinstallatie.

Zpottr @Verwijderd • 15 augustus 2001 15:34

* 786562 Zpottr

BigRonnyV 15 augustus 2001 09:44

Tja, zo zie je maar een goede (lees up 2 date) virusscanner is echt noodzakelijk !

Verwijderd @BigRonnyV • 15 augustus 2001 09:46

zo zo.. een virusscanner die Code Red (=worm die port probe doet) ziet ??

euh.. clou is: Zolang je de patch niet installeert van pappa MicroSoft.. blijf je keer op keer 'vulnerable' voor Code Red... daar kan een virusscanner niet zo veel tegen doen..

wildhagen

Bedrijfsnieuws

@Verwijderd • 15 augustus 2001 09:50

Inderdaad. Iedere zichzelf respecterende virusscanner kan Code Red detecteren en verwijderen, dat klopt. Van McAfee weet ik het zeker, van andere weet ik het niet.

Verwijderd @wildhagen • 15 augustus 2001 10:23

Dan nog is het een onzinopmerking uiteraard. Ja, een viruscanner zal code-red wel verwijderen (mits hij geupdate is) maar je server blijft gewoon kraakbaar.

1 persoon die een virusje schrijft wat je HD formatteerd oid en je geupdate viruscanner gaat enorm de boot in.

[]InTeR[] @wildhagen • 15 augustus 2001 11:10

Server?
Da mag nie van meneer chello.

*knip* stekker door. Weg

Olaf van der Spek @Verwijderd • 16 augustus 2001 01:20

Je vergeet erbij te zeggen dat je wel IIS moet draaien.

Verwijderd @BigRonnyV • 15 augustus 2001 10:32

Dit zal me wel niet in dank afgenomen worden, maar het is gewoon waar.

Tja, zo zie je maar een goede (lees up 2 date) virusscanner is echt noodzakelijk !

Voor microSoft windows wel ja.

Ik heb toch echt geen virusscanner nodig voor mijn linux servers en workstations.

Remenic @Verwijderd • 15 augustus 2001 11:21

Hoezo in dank afgenomen? Het is een puur statistisch feit!

Maaruhm, vergeet niet, voor linux zijn er ook wormen he... Alleen geen zo extreem als die we nu voor MS hebben

Maar idd, ik lag me iedere keer weer een krul in me lul als ze zeggen dat ik moet oppassen voor 1 of ander vaag email virus, omdat ze zelf ook 1 hebben gehad (familie, vooral).

Een hoop mensen denken dat Windows de computer is, en dat outlook de enige email client is. Eigenlijk, ze denken dat dat er geen andere wereld dan MS is. Ach, als dat ze blij maakt... Ik hou er iig niet zo van iedere maand me virusscanner te updaten, of me systeem vers te herinstalleren omdat 1 of ander virus me windows (enge term) vern..kt heeft.

En call this a troll, het is gewoon een FEIT.

* 786562 Remenic

edit:
typo....

Verwijderd @Remenic • 15 augustus 2001 15:29

Jaja allemaal goed en wel maar als doorsnee tweakers hebben we het al allemaal duizend keer gehoord -> -1 overbodig

wzzrd 15 augustus 2001 09:50

Dit is goed nieuws! De kwaliteit van Chello internet is namelijk (bij mij) een stuk slechter geworden sinds die Rooie Worm onzin.

Er zit alleen één tegenstrijdigheidje in: Chello staat het draaien van servers thuis niet toe. Rooie Worm infecteert alleen Windows NT. Servers dus. En dan ook nog alleen die servers die IIS draaien. Dat mag dus bij Chello eigenlijk sowieso niet. Waarom dan zo moeilijk doen door die mensen eruit te trappen vanwege die worm? Ze doen tóch al iets wat ze niet mogen volgens de algemene voorwaarden...

edit:
Misschien moet dit ook eens worden uitgelegd: een dubbelpost is één post (!) die twee keer (!) is gepost. Als ik dit dus nóg een keer zou hebben gepost, dán is het een dubbelpost. Nu op zijn hoogst overbodig, maar dat bleek achteraf pas. Lees www.tweakers.net/reviews/164/4 voor je gaat modereren!

LiGHtNiNG! @wzzrd • 15 augustus 2001 10:28

Niks alleen servers. ALLE Windows NT/2000 versies die Inetinfo.exe (=IIS) hebben draaien als proces. Dat kan dus net zo goed 2000 Professional zijn, en die gebruiken ERG veel mensen.

wzzrd @LiGHtNiNG! • 15 augustus 2001 10:32

Als je NT draait én IIS (dat kun je uitzetten) of een SMTP of POP service, dan heb je een server. NT zonder IIS is idd. geen server, maar dat wordt dan ook niet besmet.

basb @LiGHtNiNG! • 15 augustus 2001 10:44

Als je geod gelezen had hier boven erens, win2000 Professional installeerd standaard geen IIS.
Dus dat is in tegenspraak met jou stelling dat win 2000 het zou veroorzaken

Edit: iemand pissed hierzo?? 70% van alle post zijn first tpic/overbodig

Felicia @RG • 15 augustus 2001 11:26

Het is de upstream waar je problemen mee krijgt als je een webserver draait. Als die afgeknepen is en je verstuurd iets wat je volledige afgeknepen upstream gebruikt dan wek je 3 tot 4 keer zoveel data op dan dat je verstuurt. Dit komt omdat de window size van de packets vaak een stuk groter is als dat er verstuurd wordt (dus er worden er zeg maar 4 per sec verzonden en 1 per sec doorgelaten).

Dit is ook de reden waarom je soms heel erg snel aan je data limiet zit als je constant op de maximaal afgeknepen snelheid zit.

Verwijderd 15 augustus 2001 09:45

Aangezien in de voorwaarde staat dat je geen webserver (dus bv. IIS) mag draaien hebben staan ze volledig in hun recht.
Niet meer dan terecht lijkt me. Afsluiten die gasten.

raptorix @Verwijderd • 15 augustus 2001 09:48

Punt is dat het veelal mensen betreft die windows 2000 proffesional draaien en niet eens beseffen dat ze een webserver hebben, kijk maar eens op de ip adressen van hun, meestal betreft het nog de default installatie.

NiPeng @raptorix • 15 augustus 2001 09:58

Pro heeft bij een default install geen iis draaien.
Alleen server heeft dat.

eymey

@NiPeng • 16 augustus 2001 01:46

Precies, en als je Win2k Server draait, dwz, als je uberhaupt meent het nodig te hebben (en op het moment dat je dat weet, ben je iemand die verstand van zaken hoort te hebben), hoor je ook te weten wat daar allemaal mee geïnstalleerd wordt. En hoor je dus ook te weten dat IIS erbij geïnstalleerd wordt.

Maar goed, ik ken zelfs beheerders die te lui zijn om ff goed te kijken wat er in hun systeem draait...

we_are_borg 15 augustus 2001 10:48

16.3 Het is de Klant niet toegestaan om de dienst, of onderdelen daarvan, door te verkopen aan, of te delen met derden, te verspreiden, of anderszins commerciële activiteiten met behulp van de chello Service te ontwikkelen. Dit wordt nader uitgewerkt in de Acceptable Use Policy.

Verboden activiteiten zijn (onder andere):
• het aanbieden van inbeltoegang tot het Internet via het chello netwerk;
• het aanbieden van shell-accounts, e-mail- of nieuwsservices of newsfeeds, het draaien van mail-, http-, ftp-, irc-, en dhcp-servers en interactieve multi-user forums;
• het aansluiten van meerdere PC's en of servers op een account.

Dit is dus die beruchte algemene voorwaarde. Je mag dus geen FTP, HTTP, IRC enz aanbieden dus anderen mogen niet op jouw computer gebruik maken van diensten. Als ik dus in IIS die diensten uitzet en alleen maar kaal IIS draait voor MS Proxy dan kunnen ze me niets maken. Nu weet ik niet wat er gebeurd als je met code red geinfecteerd wordt als je geen HTTP heb draaien kan code red dan toch nog een poortscan uitvoeren vanaf de geinfecteerde computer. Als code red toch poortscans uitvoerd dan kan Chello me niets maken aangezien ik geen diensten aanbied. Chello kan namelijk niet verplichten op een bepaald OS te werken.

Skimmer @we_are_borg • 15 augustus 2001 11:02

Als ik dus in IIS die diensten uitzet en alleen maar kaal IIS draait voor MS Proxy dan kunnen ze me niets maken

Ligt het nou aan mij of ben jij jezelf een beetje aan het tegenspreken??
Joe qoute uit de algemene voorwaarden als iets dat niet is toegestaan

het aansluiten van meerdere PC's en of servers op een account

Waar gebruik jij MS proxy dan voor?

Chello heeft dan imho zeker recht om ook jou verbinding dicht te gooien.

Redje @Skimmer • 15 augustus 2001 11:52

Hij kan toch op een server OS werken met MS Proxy voor eigen gebruik zodat deze de websites cached...

Lijk me niet tegen de policy...

Als je geen MS Proxy mag hebben is het al taboe om een Linux bak te gebruiken met alles erop en aan

Verwijderd @Skimmer • 15 augustus 2001 12:01

Je mag best een intern netwerk hebben, zolang de extra computers intern niet gebruik maken van de chello verbinding. Of een proxy zuiver voor intern gebruik nuttig is betwijfel ik, maar het _kan_ niet verboden worden op basis van de algemene voorwaarden.

BikkelZ 15 augustus 2001 10:38

portstancs

stinkende typo of ben ik hier niet van op de hoogte?

Het is natuurlijk wel handig voor Chello om te zien wie er een webserver draait. Natuurlijk draaien er ook een hoop mensen Linux of een gepatchte versie, maar toch?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (123)

Sorteer op:

Weergave: