Cueball Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Hei Er svært usikker på hvor jeg skal poste denne. så bær over med meg.... Jeg sitter med en 100Mb oppkobling på en studentby i Trondheim. Fikk nettopp en telefon fra de som drifter nettet om at de hadde fått en henvendelse fra Hardware.no (ved Amund) angående min IP adresse. Vistnokk hadde den hatt 55000 treff på en annonse på Hardware.no eller noe slikt (jeg skjønnte ikke noe av det). Hardware.no tolket vistnokk dette som forsøk på sabotasje, og jeg vil nå miste min internettopkoblig dersom jeg ikke slutter. (Noe som vil være helt tragisk) Jeg skjønner som sagt ikke hva det kan være, kan noen der ute hjelpe meg? Jeg har scannet med nyeste NAV og AdAware uten resultat. Jeg bruker Opera nettleser, og ZoneAlarm brannvegg (brannveggen har en innebygd "cookie controll" og pop-up killer, samt at den stopper reklamebannere som bruker mer enn 3sek fra å lastes ned) Jeg har hatt noe rar oppførsel fra maskinen de siste dagene: Komplett.no's annonse som vi finner på framsiden til Hardware.no, har plutselig dukket opp midt i helt andre websider (der den ikke har noe å gjøre). Kan det være noen sammenheng her? Takk for alle tips som kan redde en stakkar fra å bli utestengt fra nettet (verden) Mvh Cueball Lenke til kommentar
SirHartge Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Mail Amund, han kan sikkert hjelpe deg litt på vei. Lenke til kommentar
Cueball Skrevet 10. mai 2002 Forfatter Del Skrevet 10. mai 2002 OK, jeg har gjort det. Tørr nesten ikke være på nett, før jeg får noe svar på dette (noe som naturligvis er umulig hvis jeg skal få svar på dette) Alle tips mottas med takk Lenke til kommentar
pskard Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Saken er at vi i de siste dagene har hatt unormalt stor trafikk fra enkelte IP-adresser (ja, alt logges) på enkelte annonser. Som alle kan se kjører annonsene på sidene våre i <iframe> og det er mulig å hoppe rett inn på selve annonsen om en vil. Problemet er at noen maskiner har bombardert enkelte annonser med mange tusen forespørsler. F.eks. hadde en IP-adresser over 142.000 forespørsler på en dag mot en annonse!! Det meste var gjort i løpet av et par timers tid. Vi anser dette som meget alvorlig og det ødelegger mye for oss når slik aktivitet forekommer. Derfor tar vi alltid kontakt med de som er ansvarlige for IP-adressene og krever at de gjør noe med missbruket. Jeg skal ikke begi meg ut på noen spekulasjoner om hvorfor din IP-adresse dukket opp på våre logger, men den er nå der. Muligens har du et lite virus? Eller du kjører en eller annen tjeneste som scanner siden vår hele tiden som har slått seg vrang? Ikke vet jeg, men det er en grunn for at din IP dukket opp i vår logg. Ville fått noen i IT-avdelingen på skolen til å ta en titt på saken. Lenke til kommentar
Cobos Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Jeg har på en FTP server jeg kjører opplevd det samme, folk hammerer som gale på serveren. Når jeg tar kontakt med dem viser det seg at det er en eller annen tjeneste som har hengt seg opp (gjerne FTP-klienten), men ikke slik at de ser det. En reboot pleier da å fjerne problemet. Cobos Lenke til kommentar
Cueball Skrevet 10. mai 2002 Forfatter Del Skrevet 10. mai 2002 Hei Takk for tilbakemeldinger. Dette høres altså ut som en "mindre bug". Oppgaven min blir da å oppdage når tilstanden inntreffer, slik at jeg kan slå av, reboote, eller aller helst finne kilden å fjerne den. Problemet er hvis dette f.eks pågår nå, uten at jeg vet om det. Da risikerer jeg å miste oppkoblingen min. Finnes det ikke noen mulighet for at Hardware.no kan ta direkte kontakt med meg (jeg kan seff gi de min IP adresse) når problemet oppstår (eller i hvertfall tiden det oppsto i) På denne måten kan jeg forsøke å se gjennom loggene til brannveggen min for å finne ut hvilke tjenester som hadde trafikk på det aktuelle tidspunktet. Mulig jeg snakker nonsens her men... Lenke til kommentar
pskard Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Du kan gjerne få tidsrommet vi noterte din IP mot oss. Dog vet jeg ikke helt hvilken IP som var din, men send meg en mail på [email protected] så skal jeg sende deg tidspunktene. Lenke til kommentar
SnowDOG_ Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 For å være på den sikre siden ville eg ha formatert hele maskinen og installert alt på nytt igjen. Å miste 100mbit forbindelse blir jo som å miste ett barn eller noe. Det høres som et virus. Hadde omtremt samme problem for 1 år siden da eg ble bannet for å "hacke" eller noe slik på IRC. Det viste seg å være virus. Formaterte alle partisjoner og så levde eg happely ever after til idag. Lenke til kommentar
talisar Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Problemet her er vel ikke 140 000 connects fra en ip på en kort periode, men det at enkelte ikke har systemer for å filtrere ut slik trafikk:) Dask på lanken til isp'er som ikke setter opp skikkelig, og hva som kan ha gjort dette? 140 000 hits er for mye til at det er en proxy, kan heller ikke se noen grunn til at et virus (og vet ikke om noen) som ville kjørt masse /get requests mot webservere, spesielt ikke med reklamer. Det virker som bevisst sabotasje, er mye som kan skje med PC-en din når den står på fastlinje, spesielt på ntnu:) Og det er litt dårlig av hardware.no her å ikke ville spekulere i hva som egentlig har skjedd, men bare sier at nei ipen din står i loggen... Et alternativ er at iexplore eller nettleseren din har bugga og at det var en kode feil i bannerannonsen akkurat da som kjørte refresh hele tiden, noe som virker sannsynlig siden det er noe som har skjedd ofte i det siste. om maskina står på en halvtime på siden med rask nok refresh kan man lett komme opp i noen tusen hits. Hva slags os og browser bruker du? hardware.no? hvilke os, browsere og iper er dette fra? er det noen sammenheng? er det noen sammenheng mellom antall hits på de ipene som har getta mye, f.eks båndbredde mot antall hits? Lenke til kommentar
pskard Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Den 2002-05-10 14:17, talisar skrev: >Problemet her er vel ikke 140 000 connects fra en ip på en kort periode, men det at enkelte ikke har systemer for å filtrere ut slik trafikk:)< Annonsesystemet vårt støtter ikke å blokke på IP når en hammrer... Selve lasten er en ting, men det er ikke det som er hovedproblemet. >Dask på lanken til isp'er som ikke setter opp skikkelig, og hva som kan ha gjort dette? 140 000 hits er for mye til at det er en proxy, kan heller ikke se noen grunn til at et virus (og vet ikke om noen) som ville kjørt masse /get requests mot webservere, spesielt ikke med reklamer.< Det er veldig effektivt for å ødelegge all statistikk for annonsører. Spesielt for de som betaler for x antall visninger. Selvsagt retter vi det opp slik at annonsørene ikke blir skadelidende, men det tar tid (og er kjedelig). >Det virker som bevisst sabotasje, er mye som kan skje med PC-en din når den står på fastlinje, spesielt på ntnu:) Og det er litt dårlig av hardware.no her å ikke ville spekulere i hva som egentlig har skjedd, men bare sier at nei ipen din står i loggen...< Vi vil ikke spekulere i der fordi vi ikke vet hvorfor. At det en en rekke muligheter er klart. 1. Sabotasje 2. Virus/orm på maskinen 3. Noen har hengt seg opp på maskinen 4. Feil i vårt system (lite trolig : ) >Hva slags os og browser bruker du? hardware.no? hvilke os, browsere og iper er dette fra? er det noen sammenheng? er det noen sammenheng mellom antall hits på de ipene som har getta mye, f.eks båndbredde mot antall hits? < Det er en klar sammenheng på det lille jeg har sett på det. Alt kommer fra en maskin pr dag og ulike maskiner hver dag. Videre ser alt ut til å komme fra studenthjem med raske linjer (ikke bare NTNU). Browser/OS ser jeg ikke ut av statistikken jeg har sett, men det skal finnes detaljlogger for alt også (tror jeg da). Lenke til kommentar
Cueball Skrevet 10. mai 2002 Forfatter Del Skrevet 10. mai 2002 Hei Loggen i brannveggen viser at den har stoppet "routed traffic" fra "129.241.136.1" til "224.0.0.13" flere hundre ganger hver dag. Jeg er (som dere sikkert har forstått) ganske blank på slike nettverksgreier, men tror dere dette kan ha noe med det overnevnte problem å gjøre? [ Denne Melding var redigert av: Cueball på 2002-05-10 16:26 ] Lenke til kommentar
Ola PeK Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Quote: Den 2002-05-10 16:25, Cueball skrev:Loggen i brannveggen viser at den har stoppet "routed traffic" fra "129.241.136.1" til "224.0.0.13" flere hundre ganger hver dag. Jeg er (som dere sikkert har forstått) ganske blank på slike nettverksgreier, men tror dere dette kan ha noe med det overnevnte problem å gjøre? Trur eigentleg ikkje det. Den første IPen der er Moholt gateway, den andre er ei multicast-adresse. Dvs. at moholt-gw sender ei multicast-pakke til andre rutarar, og og sidan du ikkje er ein rutar vil brannveggen stoppe dei. Desse pakkene blir sendt to gonger i minuttet som default. Lenke til kommentar
Kjetil Lura Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Quote: Den 2002-05-10 16:25, Cueball skrev:HeiLoggen i brannveggen viser at den har stoppet "routed traffic" fra "129.241.136.1" til "224.0.0.13" flere hundre ganger hver dag. Jeg er (som dere sikkert har forstått) ganske blank på slike nettverksgreier, men tror dere dette kan ha noe med det overnevnte problem å gjøre?<font class=editedby>[ Denne Melding var redigert av: Cueball på 2002-05-10 16:26 ]</font> Den går til der du er 129.241.136.1 University Of Trondheim.Kjetil Lenke til kommentar
propel Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Uansett så var det ikke mei :smile: Lenke til kommentar
Kjetil Lura Skrevet 10. mai 2002 Del Skrevet 10. mai 2002 Quote: Den 2002-05-10 23:03, propel skrev:Uansett så var det ikke mei :smile: d var ikke d eg meinte heller.Brukte VisualRoute til å finne d ut.Kjetil Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå