Ok mag ik de resultaten van virustotal even zien? :)

Ik vraag me nu af hoeveel mensen dit IP adres gaan blokkeren...

De volgende keer is er een fake persbericht waarin de IP nummers van WIndows Update vermeld staan,
en dan gaan mensen dit misschien ook blokkeren???

Het zou niet eens zo'n gek idee zijn om eens een artikel te wijden aan hoe men een IP-adres blokkeert daar menig gebruiken dit absoluut niet weet.

Beetje googlen kan geen kwaad. http://www.ehow.com/how_7534138_use-host-files-block-websites.html
Dus 127.0.0.1 184.22.246.252.

Volgens mij accepteert de hostfile geen IP-adres alleen een domeinnaam, dus 127.0.0.1 184.22.246.252 werkt niet.

Maak gewoon gebruik van de ingbouwde windows firewall advanced settings, meteen van het hele gerotzooi met hostfiles af.

Ja hoor werkt prima bij mij (XP prof en 2003 server).

Natuurlijk kun je dat wel in je hosts file zetten, dus het host file accepteert wel IP-adressen, maar 't heeft geen enkel nut.
Wanneer een programma verbinding wil maken met 184.22.246.252 dan wordt de informatie in het hosts file helemaal niet gebruikt.

https://www.virustotal.com/file/F42E71F3E5121412E2C82D7AC982E5036F63D39C1C6591C3630F6B3FD8A48180/analysis/

Daarom zal het eens nuttig zijn als er een artikel verscheen van hoe je IP-adressen kunt blokkeren.
Nu heeft het advies tot het blokkeren van een IP-adres geen enkel nut; daar men niet weet hoe.

Je kunt nog altijd Windows Firewall gebruiken ( overigens in Win7 erg geavanceerd ).

Werkt perfect deze extra blokkering van de hosts file,maar Avira Internet Security blokkeerde het .
Dat zal ook wel met jouw hosts file gebeuren.

Beter is het met je firewall of router de adapter regels van inkomend en uitgaand verkeer te veranderen ,daar kan je I.P adressen blokkeren.

Als een machine besmet is, dan wordt vaak de ene na de andere besmetting toegevoegd. Voor de enkele machines thuis zou ik zelf dan ook kiezen om deze volledig opnieuw te installeren.

Whitelisting is een goed idee. Een lijst maken, met IP-adressen waar verbinding mee gemaakt mag worden.

Mijn Tele2-router heeft niet de mogelijkheid tot het blokkeren van IP-adressen en mijn firewall (Zone Alarm) ook niet.
Op de Mac (Little Snitch) kan het IP-blokken wel, maar dat heeft weinig zin.

http://www.peerblock.com/ werkt perfect om IP adressen te blokkeren.

iptables -A INPUT -s 184.22.246.252 -j DROP

Dat is alleen voor P2P verkeer.

Gewoon je ISP lief aankijken en hopen dat ze malware IPs op hun routers will blokkeren, door de data van de verschillende security firms to gebruiken (bijvoorbeeld die van Spamhaus: http://www.spamhaus.org/bgpf/).

184.22.246.252 is overigens al de nek omgedraaid zo te zien.

Nee, voor al het verkeer. Dus ook voor o.a. je browser.

Index of /rabo
184.82.107.87/rabo/ - In cache
[TXT], sig1.txt.crypt, 28-Jun-2012 10:50, 1.0K. [ ], sig2, 08-May-2012 07:12, 1.1K. [ TXT], sig2.txt.crypt, 28-Jun-2012 10:50, 1.1K. [ ], sig3, 08-May-2012 07:16, 1.2K ...
Index of /sns
184.82.107.86/sns/ - In cache
[TXT], sig1.txt.crypt, 28-Jun-2012 10:50, 1.0K. [ ], sig2, 08-May-2012 07:12, 1.1K. [ TXT], sig2.txt.crypt, 28-Jun-2012 10:50, 1.1K. [ ], sig3, 08-May-2012 07:16, 1.2K ...

Deze waren ook al bekend toch?

184.82.107.86 wordt geleid naar Nederland en is momenteel dood.

46.28.71.19 (dire.org) is het ip van van "ITL Company"
http://ipvoid.com/isp/itl-company/

Er zit dus nog meer...

Goed idee, 1 probleem echter, er zijn net zo vele howto's mogelijk als dat er firewall oplossingen zijn, en dat zijn er nogal wat... Mijns inziens is het beter om de theorie goed uit te leggen, zodat mensen dan met de theorie in hun achterhoofd kunnen googlen hoe ze die instellingen in hun specifieke product in te voeren.

Hij zal het best slikken, echter zal het niet werken. De Hosts file wordt gebruikt om een DNS server voor een bepaalde dns naam te omzeilen, ik gebruik de hosts file bijvoorbeeld om servers op het interne bedrijfsnetwerk te kunnen bereiken op dns naam als ik op de vpn ingelogd ben vanaf thuis, mijn pc krijgt immers de DNS servers van mijn provider toegewezen, waar onze interne dns namen niet in staan, ik routeer alleen gericht bedrijfsmatig verkeer over de tunnel, en dus niet mijn gewone surfverkeer van mijn browser op mijn laptop, dit gaat gewoon via mijn eigen lijntje naar buiten, en niet via een tunnel vervolgens door de firewall van de zaak.

Als er een ip bekend is, is er geen DNS request nodig, en zal er dus ook niet naar de hosts file worden gekeken, maar direct geconnect worden. Er kan dus wel een domeinnaam op deze wijze geblokkeerd worden, maar geen ip.

Beetje lezen kan geen kwaad.Er staat niks over rechts een IP-adres.

EN TERECHT WANT DAT WERKT NIET.

Als ik aan m'n hosts file (XP-SP3) toevoeg:en ik open http://213.156.0.140/ in Firefox (of MSIE, zelfde resultaat) dan wordt er gewoon verbinding gemaakt met genoemd IP adres en krijgt mijn webbrowser ik als antwoord:waarna m'n webbrowser gewoon http://www.security.nl/ opent.

Daarentegen, als ik aan m'n hosts file (XP-SP3) toevoeg:en ik open http://www.security.nl/ in Firefox (of MSIE, zelfde resultaat), dan krijg ik een foutmelding (geen verbinding).

Overigens moet je die ehow pagina ook niet meer dan een beetje lezen:Inderdaad moet je GEEN http of http:// prefix toevoegen, maar met in je hosts file wordt UITSLUITEND genoemde FQDN geblokkeerd en NIET bijvoorbeeld www.unwantedsite.com, ftp.unwantedsite.com, wiki.unwantedsite.com etcetera.

Check: met in hosts (in plaats van 127.0.0.1 www.security.nl) opent http://www.security.nl/ wel gewoon, maar (zoals verwacht) http://security.nl/ niet.
Nb. je zult bij dit soort tests (na wijzigingen in hosts) wel Ctrl-F5 moeten drukken (of de webbrowser geheel sluiten en opnieuw starten), de reden hiervoor is dat (in elk geval Firefox) een eigen DNS cache heeft.

Los van dit alles is er geen enkele garantie dat de hosts file altijd geraadpleegd wordt voordat een DNS request wordt uitgevoerd. Bijv. nslookup.exe doet altijd direct een DNS request; op je PC draaiende malware kan dat ook (die hosts file bypassen dus).

Voor meer info over de hosts file, zie mijn (eveneens uitgebreide) bijdrage van 2012-08-15 00:20 in http://www.security.nl/artikel/42659/1/Host_file_is_GEEN_firewall!.html.

Daarnaast, als malware op je PC de waarde van "DataBasePath" onder "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" gewijzigd heeft, kun je in C:\Windows\System32\Drivers\etc\hosts wijzigingen aanbrengen tot je een ons weegt - zonder enig effect. Een rootkit kan genoemde registerwaarde spoofen of je (deels) de inhoud van een andere file voorschotelen als je denkt de "echte" hosts file te openen. Als je PC grondig gecompromitteerd is heeft het totaal geen zin om op die PC zelf allerlei "blokkerende" maatregelen te nemen, ook personal firewalls worden dan eenvoudig omzeild (bijv. door kwaadaardige code in -door de firewall- vertrouwde processen te injecteren).

Last but not least: niet alles wat op internet staat is correct. Helaas hebben jij en john west vandaag de hoeveelheid onjuiste informatie op internet uitgebreid.