Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Malware hoster Atrivo terug online

  • Door
  • Arnout Veenman
  • geplaatst op
  • 24 september 2008 08:02 uur

Het netwerk van malware hoster Atrivo ging veranderen in een prachtig Local Area Network (LAN), doordat alle carriers die Atrivo had de stekker uit de uplink trokken. Het duurde echter iets langer dan verwacht, doordat Atrivo het toch weer voor elkaar kreeg om Pacific Internet Exchange (PIE) zo gek te krijgen om hun van een uplink te voorzien. Na gesprekken tussen SpamHaus en PIE trok de laatste de stekker weer uit de uplink van Atrivo, waardoor het Atrivo netwerk daadwerkelijk in een LAN veranderde.

Helaas was deze volledige isolatie van Atrivo maar van korte duur, want na zo’n 36 uur had Atrivo alweer een nieuwe carrier gevonden die bereid was om het bedrijf van een nieuwe uplink te voorzien. De uplink is geleverd door UnitedLayer, dat wel als voorwaarde heeft gesteld dat Atrivo alle banden verbreekt met haar beruchte klant Estdomains. Daarnaast zal UnitedLayer zodra er maar één internetter met bewijzen komt waaruit blijkt dat Atrivo doorgaat met haar malafide praktijken, de stekker van de uplink er weer uittrekken.

Om af te sluiten met twee spreekwoorden:
Eerst zien dan geloven, want een vos verliest zijn haren, niet zijn streken.

Update 11:55 uur:
Een ISPam.nl lezer merkte op dat Estdomains, dat als klant door Atrivo de deur was gewezen, een nieuw onderkomen heeft gevonden in het netwerk van het Nederlandse Ecatel.

Uiteraard heb ik Ecatel gevraagd of ze op de hoogte zijn van het feit dat Estdomains in hun netwerk staat en of dat ze Estdomains de deur zullen wijzen. Ecatel antwoordde als volgt:

Gister zijn wij op de hoogte gebracht door een andere partij dat het domein Estdomains binnen ons netwerk gehost staat. Deze partij is in-direct klant van ons en neemt dus geen directe diensten van ons af.

Wij kunnen een klant niet zomaar afsluiten op basis van horen en zien. Als wij abuse messages krijgen waaruit blijkt dat de partij illegale praktijken verricht vanuit ons netwerk zullen wij direct de servers blokkeren.

Daar heeft Ecatel een punt, dus mail naar Ecatel zodra Estdomains één verkeerde stap zet!

Update 12:15 uur: De beheerders van Nederlandse netwerken zijn ook niet blij met de komst van Estdomains in het netwerk van Ecatel en discussiëren daar ook druk over op de NLNOG mailinglijst. Een  bron meldde aan ISPam.nl dat Estdomains ondertussen is genullroute door Ecatel. En inderdaad de IP-adressen van Estdomains bij Ecatel zijn niet meer bereikbaar.

Update 12:30 uur: Op de NLNOG mailinglijst verscheen zojuist het volgende stuk chat-logfile, waarop een medewerker van Ecatel laat zien dat de IP-adressen van Estdomains genullroute worden:

12:10 < esoh> [edit routing-options static]
12:10 < esoh> reinier at br1.ams1.nl# set route 94.102.49.2/32 discard
12:10 < esoh> [edit routing-options static]
12:10 < esoh> reinier at br1.ams1.nl# set route 94.102.49.3/32 discard
12:10 < esoh> [edit routing-options static]
12:10 < esoh> reinier at br1.ams1.nl# commit
12:10 < esoh> commit complete

Reacties

Arjan, 24 september 2008 10:35 am

Zo te zien heeft estdomains ook al een nieuw onderkomen gevonden:

Bezig met het traceren van de route naar estdomains.com [94.102.49.3]
via maximaal 30 hops:
planet-10g.private.openpeering.nl [82.150.153.253]
6 16 ms 17 ms 17 ms openpeering.ecatel.net 82.150.154.154]
7 16 ms 17 ms 16 ms 94.102.49.3

Glenn, 24 september 2008 11:09 am

Mooi dat ze Atrivo nu op de huid zitten. En dankzij Ecatel staat Nederland binnenkort weer hoog in de malware top 10.

Teun, 24 september 2008 11:11 am

Linkup/iQarus/Ecatel (Allemaal hetzelfde, of niet Reinier?) staan toch al bekend als spammers :)

Arnout Veenman, 24 september 2008 11:12 am

Glenn, daar zal OPTA wel voor (op)passen. Ik heb zojuist een e-mail gestuurd naar Ecatel (hoor-wederhoor). Ik wacht tot het einde van de middag, daarna vul ik het artikel aan. Als Ecatel de klant niet zelf de deur wijst neem ik contact op met OPTA en die lusten partijen als Estdomains rauw. :)

Tim Vollebregt, 24 september 2008 11:12 am

Het kan er ook maar eentje zijn.

Helaas gaat de-peeren lastig gezien ecatel gebruik maakt van openpeering. Massale null-route dan maar (met juiste prefix filters/access lists uiteraard :P)

Arjan, 24 september 2008 11:22 am

@Tim, kwestie van het AS in je blackhol-community gooien? :)

Sebas, 24 september 2008 12:46 pm

Moest dat nou?

Teun, 24 september 2008 1:25 pm

Ecatel bestaat hier iig niet meer op onze servers :)

Thomas Wouters, 24 september 2008 2:05 pm

Teun: mag ik vragen van welke provider jij bent?

Thomas Wouters, 24 september 2008 2:08 pm

ow en de rede dat ik het vraag is dat ik het behoorlijk dramatisch vindt dat er zo maar een provider in nederland een andere provider blackholt omdat een of andere malot (wie weet zelfs een klant van een klant) een site gaat hosten op het netwerk van een concollega. Je zal maar met beide partijen zaken doen en in eens niet meer bij je backup server komen om dat je netwerk provider zo arrogant was om even iets te blackhollen...

Sebas, 24 september 2008 2:14 pm

Mwah,

Ik geloof dat de gedachtengang cq redenering achter deze AS filter wel wat dieper ligt dan alleen de issue's van Estdomains.

Jean-Paul, 24 september 2008 2:33 pm

Dat je het misschien niet eens bent met de werkwijze van Ecatel is prima, dat is je goedrecht. Maar om nou gelijk het hele ecatel netwerk te nullrouten vind ik ook wat ver gaan. Er zijn ook andere aanbieders die gebruik maken van het ecatel netwerk, die worden hier nu de dupe van.

Wat te denken van je eigen klanten, die misschien indirect gebruik maken van het ecatel netwerk? Die kunnen nu niks meer...

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.

Op ISPam.nl worden met ingang van 1 februari 2017 geen nieuwe berichten meer geplaatst. Het platform is daarmee een digitaal museum geworden dat ruim 10 jaar geschiedenis van de branche toont (2006-2017). xCAT.nl Publishing is tegenwoordig als juridische uitgeverij actief op het gebied van wetgeving.

Copyright 2006-2017 individuele auteurs en xCAT.nl Publishing. Alle rechten voorbehouden.
Overname van berichten is alleen toegestaan na toestemming van de auteur en uitgever.