CERTsrapport/V2014

Rundt 26. oktober ble PVV svartelistet i SpamCop. Grunnen var at en kompromittert bruker hadde sendt ut store mengder spam. Årsaken til at brukeren ble kompromittert er ukjent, men det er sannsynlig at det var snakk om SSH-bruteforce. Cert noterer at vi nok bør fikse noe ratelimiting og varsling når enkeltbrukere begynner å sende farlig mye epost.

tim (brukerweb) har vært en god del nede denne perioden, stort sett på grunn av buggy PHP-programvare som får alle indianerbarna til å løpe i sirkel rundt totempælen uten å klare å stoppe. Det er noe usikkert hvorfor PHP-scriptene ikke timer ut som de skal, men det er mulig de faktisk gjør det, men at ymse crawlere bare setter dem i gang igjen med en gang.

PVV ble brukt som forsterkende ledd i noen DDoS-angrep i januar, på grunn av en feilkonfigurering i NTP. Dette ble fikset, men et par uker senere kom det inn klager på dvask. dvask er ikke i rdist, og hadde derfor glidd under radaren. Det er nok tvilsomt at en 4MHz µVAX II fra 1985 klarte å bidra særlig mye i det aktuelle angrepet, men det var tydeligvis nok til å bli lagt merke til.

Californiafilialen av CERT er fremdeles den mest aktive, og den eneste med tilgang til loghost. Cert er som vanlig særdeles mottakelige for nominasjoner til nye medlemmer. CERT oppfordrer også drift til å sette opp sin egen loghost, slik at visse ting kan feilsøkes litt lettere uten å måtte innom CERT.