# DoS mal wieder - DoS "Arnold"



## Heiko (23 Dezember 2005)

Wir stehen mal wieder unter dem Antispam-DoS.
Wie üblich werden wir alles tun um den Server erreichbar zu halten und wie üblich ist mit Verzögerungen und gelegentlichen kurzen Ausfällen zu rechnen.
Wie üblich wird der DoS nix bringen und wie üblich arbeiten wir während und nach dem DoS weiter wie zuvor.
Wie üblich merken die Evolutionsverweigerer, die den DoS angezettelt haben, das nicht und wie üblich geht uns das Ganze am Arsch vorbei.


----------



## Heiko (23 Dezember 2005)

So, nachdem ich die Sicherheitsarchitektur mal etwas angepasst habe sind wir wieder da.
Machts Euch im Forum bequem und diskutiert fleißig mit...


----------



## Der Jurist (23 Dezember 2005)

:thumb:  :thumb:  :thumb:  :thumb:  für Heiko

Nach neun Stunden Ausfall läuft das Ding wieder richtig rund.

Antispam scheint noch in der Kurve zu hängen.


----------



## Heiko (23 Dezember 2005)

Achja, ich vergaß:


----------



## Heiko (23 Dezember 2005)

Der Jurist schrieb:
			
		

> :thumb:  :thumb:  :thumb:  :thumb:  für Heiko
> 
> Nach neun Stunden Ausfall läuft das Ding wieder richtig rund.


Die gabs aber auch nur weil ich Nachtschicht hatte und irgendwann auch mal schlafen muß...


----------



## dvill (23 Dezember 2005)

Von mir dann mal 5 Sterne für den Programmier-Koch:  :tannenbaum:  :tannenbaum:  :tannenbaum:  :tannenbaum:  :tannenbaum: (Natürlich auf der Spitze)

Der längerfristige Wert besteht wohl in der Sachkompetenz, die hier nachgewiesen wird.

Dietmar Vill


----------



## Der Jurist (23 Dezember 2005)

Da glaubte wohl jemand, er könne Heiko überlisten.


----------



## sascha (23 Dezember 2005)

BTW: Auch Dialerschutz.de ist diesmal in die Schusslinie des DoS geraten. Aber auch wir sind wieder erreichbar. Unsere Arbeit im Hintergrund, die ohnehin 90 Prozent ausmacht, war davon natürlich nicht berührt - die Telefone haben weiter funktioniert   .  Danke aber trotzdem allen für das Verständnis.


----------



## tuxedo (23 Dezember 2005)

Ich konnte folgende Seiten in der DDOS-Phase nicht erreichen:

forum.computerbetrug.de
www.dialerschutz.de
www.dialerhilfe.de
www.antispam-ev.de

Zuerst dachte ich auch, ich hätt mir auf dem rechner was eingefangen, was die Verbindungen zu Verbraucherschutz-Foren sabotiert.

Gruß
Matthias


----------



## dotshead (23 Dezember 2005)

*Re: DoS mal wieder*



			
				Heiko schrieb:
			
		

> Wir stehen mal wieder unter dem Antispam-DoS.


Verbraucherschutzseiten-DDoS, würde es IMHO besser treffen. 
Immerhin ist es ein Novum, dass auch Dialerschutz.de betroffen war.

Ein frohes Weihnachtsfest
wünscht

Stephan Görs
Antispam e.V. (i.Gr.)


----------



## Aka-Aka (24 Dezember 2005)

Frohe Weihnachten Euch allen und Heiko einen virtuellen Ritterschlag!
Darf ich ausnahmsweise zu Weihnachten die DDos-Truppe als [...] bezeichnen?


_[Zu Weihnachten aud auch sonst dürfen alle NUB-konformen Bezeichnungen verwendet werden. (bh)]_


----------



## Anonymous (24 Dezember 2005)

Wie immer werden die Ganoven mit ihrer Aktion nichts erreichen; jedenfalls nicht das, was sie sich erhoffen. Im Gegenteil: jeder dieser Angriffe zeigt, dass man den richtigen Leuten auf die Hühneraugen tritt. Wer so reagiert beweisst doch, dass die Nerven blank liegen. Jeder weitere DoS wird daher die Mehrzahl der Nutzer davon überzeugen, dass die öffentliche Beschäftigung mit den hier diskutierten Themen rund um Computerbetrug, Dialer und Co. weiterhin notwendig ist. Auch 2006 wird es dazu voraussichtlich genug Anlässe geben. Also: nicht locker lassen und weiter so!

Herzliche Grüße aus Hamburg, 
frohe Weihnachtsfeiertage und 
ein glückliches, neues Jahr

Michael Boettcher


----------



## corlis (24 Dezember 2005)

Ich nehme diesen erneuten DDoS-Angriff mit Lächeln und Genugtuung zur Kenntnis. Fragt man sich als "antispammer" manchmal, ob das Ganze überhaupt einen Sinn macht oder ob man gegen Windmühlen kämpft, zeigt der DDoS nur eines: Ja, man kann was erreichen. Man kann die richtigen Leute an der richtigen Stelle treffen und sie erzürnen. Genugtuung ist in diesem Falle ein schönes Weihnachtsgeschenk.

An dieser Stelle möchte ich allen ein besinnliches und gesegnetes Weihnachtsfest wünschen und Ihnen zurufen: "Keep fighting!"


----------



## stieglitz (24 Dezember 2005)

Schööööne Weihnachtsbescherung.
Das Forum ist immer noch sehr langsam. Antispam geht zumindestens gerade auch nicht. Aber was solls, unterkriegen lassen wir uns nicht.
Schöne Weihnachten trotzdem allen zusammen.
Gleich gibts Weihnachtsessen und Bescherung mit Familie, da können mich die ganzen Gauner und Betrüger im Internet kreuzweise!
 :lol:  :lol:  :lol:  :lol:  :lol:


----------



## Antispam (24 Dezember 2005)

Hallo und vorweg auch ein frohes Fest!

Ich fürchte, der Schaden bei Antispam.de ist ein bißchen ernster, daher halte ich es für unwahrscheinlich, daß wir vor Dienstag wieder erreichbar sein werden.

Immerhin haben die Bösewichte(TM) mit der Wahl des Zeitpunktes ein klitzekleines bißchen Raffinesse bewiesen!  :roll:


----------



## stieglitz (24 Dezember 2005)

Ich schau nebenher noch mit einem Auge eine Gaunerkomödie im Fernsehen, die sind richtig sympatisch dagegen


----------



## Stalker2002 (24 Dezember 2005)

Antispam schrieb:
			
		

> Hallo und vorweg auch ein frohes Fest!
> 
> Ich fürchte, der Schaden bei Antispam.de ist ein bißchen ernster, daher halte ich es für unwahrscheinlich, daß wir vor Dienstag wieder erreichbar sein werden.


Na dann lass gut sein und erhol dich erst mal. Wenn gerade beim Hoster der Gehsteig hochgeklappt ist, dann ist eh nix zu holen.


			
				Antispam schrieb:
			
		

> Immerhin haben die Bösewichte(TM) mit der Wahl des Zeitpunktes ein klitzekleines bißchen Raffinesse bewiesen!  :roll:


Das schließt schon mal einige Vollpatienten aus der Verdächtigenliste aus, die eher für das Gegenteil berühmt sind. 

Mit festlichen Grüßen
:tannenbaum: L. :tannenbaum:


----------



## Sven Udo (25 Dezember 2005)

:tannenbaum: ...ich schließe mich den guten Wünschen an. Angenehme "Rest"-Weihnachten. 
Ich gehöre warscheinlich zu den "Verückten" die auch über die Feiertage arbeiten = müssen!
Verbunden mit der Hoffnung, antispam.de funzt bald wieder :lupe:! 
:tannenbaum: 
Ja, und einen guten Rutsch ins Jahr 2006!


----------



## Axiom (25 Dezember 2005)

*Ja, da sind se ja Alle *

Auch ich war etwas verwundert über die Nichterreichbarkeit von Antispam....dachte mir aber das da wieder ein paar vonm Leben enttäuschte Würstchen ihre Finger im Spiel hatten. 
Na ja, wer Weihnachten nüscht anderes zu tun hat, als irgendwas kaputt zu machen, der ist schon ein bedauernswertes Häufchen Elend  :cry: 

Aber nun gut, sollen ja auch ihre Erfolgserlebnisse haben... zumindest für ein paar Stunden....wenn schon sonst nirgendwo Erfolg *fg*

Lieben Gruß an alle und frohe Weihnachten!
Holger


----------



## trekkie (26 Dezember 2005)

Hmm. Da wollte Euch wohl jemand das Weihnachtsfest vermiesen...  :evil: 

Man müßte eine Möglichkeit finden, die angreifenden Rechner automatisiert von ihrem Trojaner zu befreien. Das würde DDOS-Angriffe schnell im Sand verlaufen lassen und gleich auch noch das jeweilige Botnetz mit vernichten...

Schade, daß sich sowas nicht realisieren läßt...  :roll:


----------



## Heiko (26 Dezember 2005)

trekkie schrieb:
			
		

> Schade, daß sich sowas nicht realisieren läßt...  :roll:




```
if ($trojaner == TRUE)
{
$network = "300V";
}
```
So in der Art?


----------



## advisor (26 Dezember 2005)

Heiko schrieb:
			
		

> ```
> if ($trojaner == TRUE)
> {
> $network = "300V";
> ...


Bitte keine Großbrände im IP Netz der Telekom legen. Danke!  :holy:


----------



## corlis (26 Dezember 2005)

trekkie schrieb:
			
		

> Hmm. Da wollte Euch wohl jemand das Weihnachtsfest vermiesen...  :evil:
> 
> Man müßte eine Möglichkeit finden, die angreifenden Rechner automatisiert von ihrem Trojaner zu befreien. Das würde DDOS-Angriffe schnell im Sand verlaufen lassen und gleich auch noch das jeweilige Botnetz mit vernichten...
> 
> Schade, daß sich sowas nicht realisieren läßt...  :roll:



Sowas wie ein "White Bot"? Die Idee hatte ich auch schon...


----------



## Anonymous (26 Dezember 2005)

naja ... gibts unter windoof nicht so einen Messaging Service über den man zumindest die Rechner benachrichtigen könnte was sich bei denen so tut?


----------



## Heiko (26 Dezember 2005)

Die Künstler halten das dann auch noch für SPAM...


----------



## trekkie (26 Dezember 2005)

Heiko schrieb:
			
		

> trekkie schrieb:
> 
> 
> 
> ...



Ääähh... Ganz so radikal dann doch nicht...    :abgelehnt: 



			
				corlis schrieb:
			
		

> Sowas wie ein "White Bot"? Die Idee hatte ich auch schon...



Ja, so meinte ich das. Ein Bot, der beim DDOS jeden Rechner ermittelt und von Ferne säubert. Theoretisch ginge das ja sogar, praktisch scheitert es denke ich dran, daß der Bot ja nie weiß, was für eine Infektion er vor sich hat. 

Vielleicht könnte man aber die Rechner in den Bluescreen zwingen...? Wenn das oft genug passiert, sollte auch ein DAU mal aufmerksam werden...


----------



## Heiko (26 Dezember 2005)

Du willst also mit einem Trojaner den Trojaner vom Rechner löschen?


----------



## lyrikologiker (26 Dezember 2005)

Heiko schrieb:
			
		

> Du willst also mit einem Trojaner den Trojaner vom Rechner löschen?



sowas wäre schon denkbar .... aber auch das wäre nicht legal denk ich mal

wär ja nix anderes als ein virenscanner .... der allerdings unaufgefordert was tut ... und was wenn da ein bug drinnen ist und der was zerstört ... ziemlich heikel das ganze


----------



## Stalker2002 (26 Dezember 2005)

lyrikologiker schrieb:
			
		

> wär ja nix anderes als ein virenscanner .... der allerdings unaufgefordert was tut ... und was wenn da ein bug drinnen ist und der was zerstört ... ziemlich heikel das ganze



Wenn es die Systeminstallation auf der Drohne desintegriert, dann ist das schon mal ein Rechner weniger in Deppenhand, der unschuldige Netzbürger terrorisiert. Mein Mitleid würde sich da in höchst überschaubaren Grenzen bewegen.

IMHO ist da eher derjenige schuld, der aufgrund Netztechnischer Merkbefreiung so eine "Fernwartung" überhaupt erst notwendig macht. Derjenige, der den Mist aufräumt, sollte (im Geiste von Notwehr/Nothilfe) von sämtlichen Folgen freigestellt bleiben. Im Gegenzug wird auf Schadenersatzforderungen gegen den Betreiber der verwurmten Kiste verzichtet, so das es letztendlich nur Gewinner gibt.

MfG
L.


----------



## Wembley (26 Dezember 2005)

trekkie schrieb:
			
		

> Ja, so meinte ich das. Ein Bot, der beim DDOS jeden Rechner ermittelt und von Ferne säubert.



Ist nicht ganz neu. Ähnliches gab es schon. Zumindest bei den Würmern.

Vergesst aber bei aller Kritik an sorglosen Computerbesitzern bitte nicht, wer die wirklichen Bösewichte sind: Trojanerschreiber, Botnetzbetreiber und ihre Auftraggeber.

Trotzdem würde eine *breit angelegte* Aufklärungskampagne nicht schaden. Denn es ist erschreckend, wie viele langjährige Computerbesitzer nicht wissen, was ein Windows-Update ist.

Gruß
Wembley


----------



## Anonymous (26 Dezember 2005)

Stalker2002 schrieb:
			
		

> lyrikologiker schrieb:
> 
> 
> 
> ...



naja da stimm ich dir schon zu .... nur wenn leute wie ich dir recht geben bringt das nix ... :-D ...


recht haben ist das eine .... recht bekommen is eine andere geschichte ... ich mein nur das ich mit sowas vorsichtig wäre ....


----------



## Stalker2002 (27 Dezember 2005)

Anonymous schrieb:
			
		

> recht haben ist das eine .... recht bekommen is eine andere geschichte ... ich mein nur das ich mit sowas vorsichtig wäre ....



Drum schrubtete ich ja auch im Konjunktiv. Auch ich habe nicht vor, mich für den kriminellen Drecksack, der so einen Wurm schreibt und in Umlauf bringt, rechtlich anpinkeln zu lassen, geschweige denn, für $DAU, der sein Wurm-Biotop nicht im Griff hat.
Bei letzteren gärt bei mir aber immer mehr der Wunsch hoch, diese Leute per Anzeige, als Mitstörer in den Bürokratie-Kreislauf einzuspeisen. Manch einer lernt halt leider nur noch durch Schmerz...

MfG
L.


----------



## Anonymous (27 Dezember 2005)

@stalker2002

leute wie dich ,hab ich richtig lieb.narzisstisch auf dem hohen ross sitzen und andere leute runtermachen.
es ist eben nicht jeder so genial wie du und hat seinen rechner immer in top-zustand.
ich mache alle windows updates, hab ne firewall und einen aktuellen virenscanner. trotzdem fang ich mir hinundwieder irgendwelchen mist ein.
ob ich es dann wieder runterbekomme, da bin ich mir dann auch nicht sicher.
kannst dich aber gerne melden und meinen rechner immer sauber halten.


----------



## dvill (27 Dezember 2005)

Golem berichtet.

Das Forum wird viel Zulauf gewinnen und gestärkt aus dieser Attacke hervorgehen. Bessere Werbung für das Forum und den Administrator, der sein Forum trotz Angriff weiter betreibt, kann es nicht geben.

Er scheint zu wissen, wie man mit dem Problem umzugehen hat.

Dietmar Vill


----------



## Anonymous (27 Dezember 2005)

OFF TOPIC:
Mit dem "White Bot" meinte ich übrigens nur einen kleinen Miniwurm, der nichts anderes tut, als einen Virenscanner zu installieren... Dass das ganze eher Megaillegal ist, war mir bewusst.

Ich selbst hatte vor nicht allzulanger Zeit eine "Drohne" vor meiner Nase. Ein Bekannter bemängelte, sein "Internet sei so langsam" und er müsse erst einen Haufen Fenster zumachen jedesmal wenn er den Rechner anschaltet, damit er sein Word starten kann. Nett wie ich bin, habe ich mir das mal angeschaut und meinen Augen kaum trauen können. Ich habe selten einen so offensichtlich übertrieben brutalst infizierten Rechner gesehen. Manch Virenarchäologen hätten sicherlich noch das ein oder andere seltene Fundstück gemacht. Erst nach langer Erklärung und gut zureden war es mir möglich, den guten Mann davon zu überzeugen, er hätte da ein doch etwas größeres Problem, das am Besten durch eine radikale Neuinstallation gelöst wird. Sein bisheriger "Experte", ein Vollhorst mit ungesundem und fehlerhaftem "Halbwissen", hatte sich das angesehen und gemeint, das müsse so sein. Nun denn, spaßeshalber einen Virenscanner installiert, ihn aber nicht durchlaufen lassen - war einfach zuviel. 

Ich denke, nicht die Rechner sind problematisch, die sich mal einen Virus einfangen, trotz Firewall und Antivirus - sowas kommt sicher vor. Das Problem sind solche Rechner, wie ich ihn beschrieben habe. Davon ein paar 10.000 Stück weltweit und ein schönes Botnet ist beisammen, und ein DDoS wird "lustig"...


----------



## Stalker2002 (27 Dezember 2005)

scharnhorsthb schrieb:
			
		

> ich mache alle windows updates, hab ne firewall und einen aktuellen virenscanner. trotzdem fang ich mir hinundwieder irgendwelchen mist ein.



Das ist schon mal ein Vorteil gegenüber vielen anderen privaten Computernutzern. Wenn du mal eine Zeit lang dein Brötchen "an der Privatkundenfront" verdient hast, dann wirst du feststellen, das ein Problembewusstsein oft nicht vorhanden ist. Ich gehe davon aus, das du einen sicherheitsrelevanten Fehler nicht wiederholen wirst, wenn man dich darauf hinweist. Das ist leider nicht selbstverständlich.

MfG
L.


----------



## Captain Picard (27 Dezember 2005)

dvill schrieb:
			
		

> Golem berichtet.



http://www.dialerschutz.de/aktuelles.php?action=output&id=316

cp

es spricht sich rum: 
Google News


----------



## sascha (27 Dezember 2005)

Die Schweiz ist nun ebenfalls informiert.


----------



## stieglitz (27 Dezember 2005)

Lanu berichtet auch darüber.

Und Antispam ist leider immer noch offline.
Über den/die Urheber kommt man da schon ins spekulieren.


----------



## trekkie (27 Dezember 2005)

stieglitz schrieb:
			
		

> Lanu berichtet auch darüber.
> 
> Und Antispam ist leider immer noch offline.
> Über den/die Urheber kommt man da schon ins spekulieren.



Scheint, als läuft der DDOS auch noch, die Adresse löst noch immer auf den Localhost auf - das war ja wohl eigentlich als DDOS-Abwehr gedacht...  :bigcry: 

Läuft eigentlich der Angriff hier auf's Forum noch? Bei mir ist die Performance im Moment nämlich vergleichsweise mies...


----------



## lyrikologiker (27 Dezember 2005)

Antispam schrieb:
			
		

> Hallo und vorweg auch ein frohes Fest!
> 
> Ich fürchte, der Schaden bei Antispam.de ist ein bißchen ernster, daher halte ich es für unwahrscheinlich, daß wir vor Dienstag wieder erreichbar sein werden.
> 
> Immerhin haben die Bösewichte(TM) mit der Wahl des Zeitpunktes ein klitzekleines bißchen Raffinesse bewiesen!  :roll:



  

wie ernster?


----------



## sascha (27 Dezember 2005)

> Läuft eigentlich der Angriff hier auf's Forum noch?



Der Angriff läuft weiter auf alle Seiten - mit unverminderter Stärke.


----------



## Aka-Aka (27 Dezember 2005)

Es wurde auch in UK schon gemeldet, wenn auch nur als Randnotiz


----------



## Sven Udo (27 Dezember 2005)

sascha schrieb:
			
		

> Der Angriff läuft weiter auf alle Seiten - mit unverminderter Stärke.


Ich komme ja von "Antispam", und euer Forum gibt uns freundlicher- weise Asyl.
...OK, nun erlebe ich - leider - schon den zweiten DDoS Angriff mit. Letzter war im Aug./Sep.'05

Meine (eventuell laienhafte) Frage ist nun, wenn der Angriff mit voller Stärke  weiter läuft, 
wie lange kann man so ein Bot-System "bei der Stange halten"? 
Denn dort "muss" ja auch mal was "aus dem Ruder laufen", oder nicht?

Und, warum können einige Seiten (trotz Angriff) weiter arbeiten, und andere nicht?


----------



## lyrikologiker (27 Dezember 2005)

> Und, warum können einige Seiten (trotz Angriff) weiter arbeiten, und andere nicht?



in dem sie die requests von den bots vorneweg herausfiltern ...



> wie lange kann man so ein Bot-System "bei der Stange halten"?



bitte korrigiert mich ... aber ich denke theoretisch ewig oder  
im gegenteil .. für mich stellt sich eher die frage .... wie macht man einen bot der nicht ausser kontrolle gerät ...


----------



## technofreak (27 Dezember 2005)

Sven Udo schrieb:
			
		

> wie lange kann man so ein Bot-System "bei der Stange halten"?


unbegrenzt


			
				Sven Udo schrieb:
			
		

> Denn dort "muss" ja auch mal was "aus dem Ruder laufen", oder nicht?


nö, warum?  
http://www.heise.de/newsticker/meldung/67644


> steigt weiterhin die Zahl der Bot-Netze, bei denen infizierte PCs als Spam-Zombies
> oder für DoS-Angriffe missbraucht werden. Hier bestimmt weitestgehend Geld die Szene:
> Bot-Netze werden vermehrt vermietet und verkauft;





			
				Sven Udo schrieb:
			
		

> Und, warum können einige Seiten (trotz Angriff) weiter arbeiten, und andere nicht?


ist von verschiedenen  Faktoren abhängig, die "skills" des Sysadmin und  Leistung des/der
 Server  spielen  u.A   entscheidende Rollen 

tf


----------



## Sven Udo (27 Dezember 2005)

Danke für die hilfreichen Infos!
Ich bin eigentlich der geborene Optimist.

Aber bei diesen "Ausichten" kann einem schon übel werden.
Und der *heise.de-newsticker,* gibt auch keinen Anlass zur Freude!


----------



## drboe (27 Dezember 2005)

Sven Udo schrieb:
			
		

> Aber bei diesen "Ausichten" kann einem schon übel werden.
> Und der *heise.de-newsticker,* gibt auch keinen Anlass zur Freude!


Aber nicht doch! Bei Heise heisst es auch: _Hier bestimmt weitestgehend Geld die Szene: Bot-Netze werden vermehrt vermietet und verkauft._ Entweder nimmt jemand also Geld in die Hand, um kritische Foren eine Zeit lang beschiessen zu lassen, oder aber der Umsatz beim Bot-Netzbetreiber ist derzeit so mau, so dass die Kapazität im Prinzip ungenutzt ist und man den Beschuss quasi zu Werbezwecken betreibt. In beiden Fällen macht man das aber sicher nur, wenn man sich von den Foren ziemlich genervt fühlt bzw. das den Angriff wert ist. Da kommt eigentlich schon Freude auf, denn ein besseres Kompliment ist von den Gegner wohl kaum zu erwarten. *Viel Feind, viel Ehr!* Also Glückwunsch!

Schöner Nebeneffekt: Werbung für die attackierten Foren, wann und wo immer man über das Problem berichtet. So erfahren auch viele Internetbenutzer, die aktuell keinen Rat benötigen, was es an Hilfestellungen im Netz gibt. Im Vergleich zu den paar Punkten, die diese Ganoven ggf. bei der potentielle Klientel gutmachen, ist das gewiß deutlich mehr Gewinn an Popularität. Etablierte Nutzer der Einrichtungen sind eh kaum zu erschüttern, was das kriminelle Potential angeht. Was will man mehr? Zumal den Angreifern hier ja noch vorgeführt wird, wie vergänglich ihr "Erfolg" ist.

M. Boettcher


----------



## Sven Udo (27 Dezember 2005)

Danke für die ausführliche Erklärung!
Ich sage mal - ja, aber IMHO:

Mit Sicherheit hast Du Recht, drboe - was Du schreibst bezüglich, der Bot-Netze und der Auswirkungen auf die (jetzt) betroffenen Verbraucher-Portale und deren Foren. 

Bei Heise lese ich aber auch viel Besorgnis heraus. Weil ja der Schwerpunkt (und Zweck) aller Schadprogramme (einschließlich Bot-Netze) nicht im blockieren von Foren liegt. Das wird - leider - allenfalls "mal mit genutzt, um unliebsame/unbequeme Foren" zeitweise zu ärgern. Denn mehr kommt ja nicht dabei heraus. Eher das Gegenteil, wie Du richtig bemerkst.

Das eigentliche Problem liegt doch in der im Hintergrund/Verborgengen ablaufenden Prozesse. Heise: _"Bei modernen Schädlingen steht eine möglichst gute Tarnung immer weiter oben auf der Prioritätenliste"_...Ende Zitat. Dort liegt das Zukünftige, was mir/uns Sorgen machen sollte. Z.B. 100.000 infizierten Computer, bedeutet doch - fast nichts anderes - als fast 100.000 DAU's, oder?
Und dieses Potential - welcher immer mehr verfeinert wird - macht mir Sorgen.


----------



## Der Jurist (27 Dezember 2005)

Das Netz nimmt Kenntnis:

http://www.virenschutz.info/beitrag_Vier+Virenschutzseiten+durch+Hacker+zeitweise+offline_751.html

http://www.computerhilfen.de/news-10066068592910662/ddos-angriff-auf-sicherheitsseiten.html

und erneut aufgegriffen

http://www.teltarif.de/arch/2005/kw52/s19922.html


----------



## Heiko (27 Dezember 2005)

> Damit die eigene Webseite nach einen solchen Angriff schnell wieder am Netz ist, sollte regelmäßig ein Backup gemacht und die Virenschutzsoftware sowie Firewall und eventuell SSL aktiviert werden.


:gruebel:
Aha...


----------



## Anonymous (27 Dezember 2005)

Heiko schrieb:
			
		

> > Damit die eigene Webseite nach einen solchen Angriff schnell wieder am Netz ist, sollte regelmäßig ein Backup gemacht und die Virenschutzsoftware sowie Firewall und eventuell SSL aktiviert werden.
> 
> 
> :gruebel:
> Aha...



man lernt nie aus was?


----------



## Heiko (27 Dezember 2005)

Anonymous schrieb:
			
		

> man lernt nie aus was?


Davon bin ich überzeugt.


----------



## technofreak (27 Dezember 2005)

es gibt noch mehr zu lernen:


> Die vier Virenschutzseiten dialerschutz.de, computerbetrug.de, antispam.de und gulli.com...
> ..
> Die vier Virenschutzseiten sind seit kurzer Zeit wieder erreichbar.


soso....
(Verbraucherschutz fängt auch mit "V" an..)


----------



## sturmbringer (27 Dezember 2005)

Wie antispam ist wieder erreichbar ? 
Fuer mich leider nicht ...


----------



## Anonymous (27 Dezember 2005)

sturmbringer schrieb:
			
		

> Wie antispam ist wieder erreichbar ?
> Fuer mich leider nicht ...



nö ... kannste knicken


----------



## Stalker2002 (27 Dezember 2005)

sturmbringer schrieb:
			
		

> Wie antispam ist wieder erreichbar ?
> Fuer mich leider nicht ...



Auf Antispam.de geht derzeit wirklich noch nix. Offizielle Infos was da im Detail los ist und wann es weitergeht, habe ich leider auch noch nicht.

MfG
L.


----------



## Captain Picard (27 Dezember 2005)

es spricht sich weiter rum

http://www.pc-magazin.de/common/nws/einemeldung.php?id=42377

cp


----------



## Antispam (28 Dezember 2005)

Stalker2002 schrieb:
			
		

> Auf Antispam.de geht derzeit wirklich noch nix. Offizielle Infos was da im Detail los ist und wann es weitergeht, habe ich leider auch noch nicht.



Dazu bin ich doch da!  :roll: 

Im Moment zickt unser Server ein bißchen rum und er wirkt ein bißchen eingeschnappt, um das mal so zu sagen. Wir versuchen ihn gerade zu überreden sich weiterhin mit stumpfsinnigen Ausbrüchen von moralisch zweifelhaften Gestalten rumzuschlagen.

Ich kann's ihm nicht übel nehmen, gut Ding will Weile haben! Aber keine Sorge, wir tun, was wir können.


----------



## stieglitz (28 Dezember 2005)

Von wann bis wann war das Forum schon wieder offline.
Jetzt flutsch es jedenfalls wieder schnell. 
Antispam geht jedenfall immer nocht nicht.


----------



## Heiko (28 Dezember 2005)

stieglitz schrieb:
			
		

> Von wann bis wann war das Forum schon wieder offline.
> Jetzt flutsch es jedenfalls wieder schnell.
> Antispam geht jedenfall immer nocht nicht.


Ja, hatte aber nix mit dem DoS zu tun. Da hatte sich was gefressen.


----------



## exe (28 Dezember 2005)

So jetzt bin ich auch mal wieder hier angekommen. Ist schon ärgerlich der Ausfall von Antispam, aber was solls. 



			
				lyrikologiker schrieb:
			
		

> in dem sie die requests von den bots vorneweg herausfiltern ...



Mal eine technische Frage: Sind die Absender-IPs nicht gefälscht. Zumindest habe ich gehört, dass ein Großteil der Bots für solche DDoS-Angriffe die Absender-IP fälschen. Ich dachte genau dass ist das Problem bei solchen Angriffen?


----------



## lyrikologiker (28 Dezember 2005)

das kann heiko sicher besser beantworten als ich ...

aber ich denke mal an die ips sind nicht gefälscht, aber anhand der ips kann nicht gefiltert werden weil das ja ips von verschiedenen ländern und verschiedenen provider sind .... ausserdem würde man so gültige requests auch aussperren ...


ich denke mal das die packete von den bots anhand bestimmter kriterien im packet selber gefiltert werden ... bitte korrigier mich heiko wenn das blödsinn ist


----------



## dvill (28 Dezember 2005)

Siehe z.B. Informationsbulletin DIB-2000:01 vom 5. Juni 2000

Die jetzt laufende Aktion senkt den "Wert solcher Attacken". Wenn sie nur stört, aber nicht wirkt, machen sich die Angreifer eher lächerlich.

Dietmar Vill


----------



## advisor (28 Dezember 2005)

dvill schrieb:
			
		

> Die jetzt laufende Aktion senkt den "Wert solcher Attacken". Wenn sie nur stört, aber nicht wirkt, machen sich die Angreifer lächerlich.


Und für diesen Schuß nach hinten wurde vermutlich auch ein wenig Geld umsonst hingeblättert...


----------



## drboe (28 Dezember 2005)

Sven Udo schrieb:
			
		

> 100.000 infizierten Computer, bedeutet doch - fast nichts anderes - als fast 100.000 DAU's, oder?


Nein! Mark Russinovich von sysinternals.com ist bestimmt kein DAU. Auch er brauchte ziemlich, um Sonys Rootkit zu indentifizieren und zu beseitigen. Kann man solche Kenntnisse von jedem PC-Benutzer verlangen? M. E. nicht. Das Loch in den Virenscannern, dass sich dadurch auftut, wird gewiß noch Ärger machen.

Heute lese ich bei Heise, dass manipulierte Bilder im WMF-Format einen PC mit Spyware und Trojanern infizieren können. Muss man (computer-)blöd sein, dass einem so etwas passiert? Sicher nicht. Man nutzt einfach nur das falsche System zur falschen Zeit am falschen Ort. Ist das Loch gestopft, findet sich morgen eine andere Lücke. 

Es ist m. E. ein Gerücht, dass man nur fachkundig genug sein muss, dass einem nichts passiert. Andernfalls wären Computer nur einer elitären Minderheit vorbehalten und wir würden uns in dem Fall über das Problem sicher nicht austauschen können.

M. Boettcher


----------



## Aka-Aka (28 Dezember 2005)

nice to see you, CB-Forum 
hats off, Heiko!
	

	
	
		
		

		
			




(CB&DS gleichzeitig wieder da?)


----------



## Heiko (28 Dezember 2005)

Die Firewall hat sich als Engstelle gezeigt wenn zu viele Regeln beachtet werden mußten.
Ich hab also mal "schnell" eine neue Firewall in die Kernelsourcen gepatcht, einen neuen Kernel kompiliert und installiert und alle Filterskripte auf die neuen Gegebenheiten angepasst.
Scheint gut zu skalieren.


----------



## Aka-Aka (28 Dezember 2005)

Verstehe nix, lupfe Hut trotzdem :bussi:


----------



## Heiko (28 Dezember 2005)

In deutsch: quasi alles neu, was im Hintergrund so dafür sorgt, dass wir hier surfen dürfen.


----------



## sascha (28 Dezember 2005)

Gut gemacht!  :bussi:


----------



## Aka-Aka (28 Dezember 2005)

Heiko = Durchblicker
--> Wie funktioniert das Internet?


----------



## Heiko (29 Dezember 2005)

Ich darf bei der ganzen Aufregung freundlich um Beachtung unseres Werbepartners Google bitten. Das hat teilweise schon etwas gelitten.


----------



## tuxedo (29 Dezember 2005)

Ich ziehe auch meinen Hut vor Heiko, dem Internet-Versteher. :respekt: 

Und wer es auch mal so gut verstehen können will, wie der Heiko, der wartet die nächste Maus ab, und klickt dann hier.  :schreiben: 
Heiko, meine Hochachtung vor Deinem Einsatz und Deiner Kompetenz.

Viele Grüße aus einem verschneiten Karlsruhe
Matthias

P.S.: Bezüglich DDos: Durchhalten! Wir ... ähmmm Ihr schafft die früher oder später.


----------



## Heiko (29 Dezember 2005)

tuxedo schrieb:
			
		

> P.S.: Bezüglich DDos: Durchhalten! Wir ... ähmmm Ihr schafft die früher oder später.


*Wir.*
Wir sind eine Community und genau das macht uns stark.
Mit mir oder dem Team allein wäre niemand auf die Idee gekommen, einen DoS zu starten. Gemeinsam sind wir stark.


----------



## lyrikologiker (29 Dezember 2005)

die filterregeln scheinen bisschen hart zu sein ...

wenn ich paar mal die seite aktualisiere krieg ich einen 403er ...

is aber wohl angesichts der derzeitigen situation auch besser so  :-? 

hat die intensität noch nicht nachgelassen?

lg


----------



## Heiko (29 Dezember 2005)

Ich hab mal was geändert.
Teste bitte nochmal.


----------



## lyrikologiker (29 Dezember 2005)

Heiko schrieb:
			
		

> Ich hab mal was geändert.
> Teste bitte nochmal.



perfekt!  :thumb:


----------



## Heiko (29 Dezember 2005)

Na also...


----------



## Stalker2002 (29 Dezember 2005)

Während Heiko "geschraubt" hat, war gulli.com auch wieder weg. Als er fertig war, ist auch gulli wieder hochgekommen.
Ist es möglich, das der Angreifer mit einer Art dynamischer Lastverteilung agiert und die während der CB/DS-Downtime in's leere hämmernden Drohnen, auf gulli.com umgeschaltet wurden?

MfG
L.


----------



## Sven Udo (29 Dezember 2005)

Heiko schrieb:
			
		

> tuxedo schrieb:
> 
> 
> 
> ...


An dieser Stelle, auch meinen Dank! :wave:  :thumb:  :wave:  :flower:


----------



## Wembley (29 Dezember 2005)

Da draußen sitzt zumindest einer, der ist ziemlich verzweifelt, schießt daher aus allen Rohren (oder besser gesagt: er lässt schießen), aber erreicht damit gar nichts. Aber Verzweifelte denken nicht mehr logisch und machen daher Fehler.......    

Gruß
Wembley


----------



## sascha (29 Dezember 2005)

> aber erreicht damit gar nichts.



Doch, er leert sein Konto. Bot-Netze zu mieten ist nicht ganz billig


----------



## dvill (29 Dezember 2005)

Große Fortschritte basieren oft auf ganz einfachen Ideen.

Einen DDoS einfach herauszufiltern und auf /dev/null zu lenken ist so eine einfache Idee. Vermutlich nicht so einfach umzusetzen, aber man sieht, dass ein guter Admin das so regelt.

Faszinierend.

Dietmar Vill


----------



## Heiko (29 Dezember 2005)

Stalker2002 schrieb:
			
		

> Während Heiko "geschraubt" hat, war gulli.com auch wieder weg. Als er fertig war, ist auch gulli wieder hochgekommen.
> Ist es möglich, das der Angreifer mit einer Art dynamischer Lastverteilung agiert und die während der CB/DS-Downtime in's leere hämmernden Drohnen, auf gulli.com umgeschaltet wurden?


Ich stehe mit Gulli in engem Kontakt.
Wir haben quasi gemeinsam geschraubt.
Insofern haben die jetzt auch nen neuen Kernel


----------



## Der Jurist (29 Dezember 2005)

:tach: vor der


----------



## Anonymous (29 Dezember 2005)

sascha schrieb:
			
		

> > aber erreicht damit gar nichts.
> 
> 
> 
> Doch, er leert sein Konto. Bot-Netze zu mieten ist nicht ganz billig



nunja ... oder der die das hat sich sein eigenes bot-netzwerk aufgebaut .... was dann?


----------



## Heiko (29 Dezember 2005)

Anonymous schrieb:
			
		

> sascha schrieb:
> 
> 
> 
> ...


Kann sein, aber eher unwahrscheinlich.
Wir können beides abwarten.


----------



## lyrikologiker (29 Dezember 2005)

ich glaub ich sollt auch mal das autologin aktivieren


----------



## dvill (29 Dezember 2005)

Gast schrieb:
			
		

> nunja ... oder der die das hat sich sein eigenes bot-netzwerk aufgebaut .... was dann?


Dann kann er es sich jetzt an den Hut stecken.

Ein Bot, der sich zu erkennen gegeben hat, ist dann für den gleichen Zweck wertlos, weil ausgefiltert. Wenn Provider die Bot-IP-Listen austauschen, sind sie insgesamt wertlos.

Dietmar Vill


----------



## technofreak (29 Dezember 2005)

Heiko schrieb:
			
		

> tuxedo schrieb:
> 
> 
> 
> ...


Ohne das überragende Fachwissen und den  Einsatz von Heiko und das unerschütterliche gegenseitige 
Vertrauen und den Zusammenhalt des Teams gäbe es dieses Forum nicht mehr. Viele haben schon auf 
unterschiedlichste  Weise  versucht  CB/DS und das gemeinsame Forum zu torpedieren oder eliminieren. 
Alle sind gescheitert.

tf


----------



## advisor (29 Dezember 2005)

drboe schrieb:
			
		

> Man nutzt einfach nur das falsche System zur falschen Zeit am falschen Ort.


Wobei auch infizierte Linux-Kisten eine gewisse Rolle in den Botnetzen spielen:





> Insbesondere als IRC-Server, und somit als Kernstück jeden Botnetzes fungieren zumeist kompromittierte Linux-Server, auf denen ein IRC-Server aufgesetzt wird.


http://cert.uni-stuttgart.de/doc/netsec/bots.php


----------



## Heiko (29 Dezember 2005)

Ich hab etliche Rechner gescannt, da war keine einzige Linux-Kiste dabei.


----------



## Avor (29 Dezember 2005)

TF schrieb



> Viele haben schon auf
> unterschiedlichste Weise versucht CB/DS und das gemeinsame Forum zu torpedieren oder eliminieren.
> Alle sind gescheitert.



Eigentlich fast schon zu bedauern diese armseligen Kreaturen. Statt sich offen zu zeigen und um ihr Anliegen zu streiten verstecken sie sich in der Anonyminität des Internets um zerstören zu können.

Aber Kriminellen ist jedes Mittel recht, auch wenn nicht nur eine ungeliebte Seite, sondern das gesamte Internet in seinem Ruf  geschädigt wird. Aber sie werden entdeckt werden und müssen dann auch hoffenhtlich bezahlen.


Gruß Avor


----------



## Sirius (29 Dezember 2005)

Heiko schrieb:
			
		

> Ich hab etliche Rechner gescannt, da war keine einzige Linux-Kiste dabei.


Vermutlich hast du nur die Drohnen gescannt.
Die Agents (welche die Drohnen steuern), können durchaus Linux-Kisten sein.

Per HTTP  und veralteter Programme läßt sich unter Linux relativ einfach ein Steuerscript einschleusen: http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=7346215&forum_id=73119


----------



## Anonymous (29 Dezember 2005)

Sirius schrieb:
			
		

> Heiko schrieb:
> 
> 
> 
> ...



Wo du das schon so schön ausführst, hast du sicher auch eine Idee, wie er die scannen soll, die senden kein einziges Paket an deinen Rechner. Überhaupt, wieso sollte der eigentliche Angreifer noch Agents zwischenschalten, die auch noch gerootete Linux Server sein sollen? Das hat keinen Sinn.


----------



## advisor (29 Dezember 2005)

Sirius schrieb:
			
		

> Vermutlich hast du nur die Drohnen gescannt.
> Die Agents (welche die Drohnen steuern), können durchaus Linux-Kisten sein.


Das denke ich auch. Ich bin in den letzten Tagen vermehrt auf offenkundig gehackte Linux Server gestossen. Auf den Webseiten stand nur noch zu lesen:


> FUCK YOU 0X1FE AND ALL PEOPLE IN UR CHANNEL  FUCK BOTS, FUCK BOXTALK HOPE ALL U LAMERS GET BUSTED SOON I OWN U ALL!!!


----------



## technofreak (29 Dezember 2005)

Sirius schrieb:
			
		

> Vermutlich hast du nur die Drohnen gescannt.
> Die Agents (welche die Drohnen steuern), können durchaus Linux-Kisten sein.


Wie das gemanagt  wird, ist nur von akademischen Interesse oder für 22C3-Teilnehmer 
http://www.heise.de/newsticker/meldung/67809
für die aktuelle Abwehrstrategie  ist es ohne jede Bedeutung. 

tf


----------



## Heiko (29 Dezember 2005)

Sirius schrieb:
			
		

> Heiko schrieb:
> 
> 
> 
> ...


Das ist richtig.
Aber ohne die Drohnen als (mehr oder minder) freiwillige Helfer, gäbs auch kein DoS.


----------



## Sirius (29 Dezember 2005)

Mein Posting zielte eigentlich mehr in die Richtung, dass das Scan-Ergebnis der Drohnen ein gewisser Auswahleffekt ist.
(Das BS per Scan zu ermitteln ist sowieso relativ unsicher: per 'nmap' o.ä.)

Alle Drohnen sind i.d.R. Windows-Rechner (weil derzeit nur diese von Würmern befallen werden). Die Agents (d.h. zwischengeschaltete Master-Computer) können auch gekaperte Linux-Rechner sein.

Es werden ürigens immer Agents zwischengeschaltet, da sonst die Drohnen direkten Kontakt mit dem "Botnet-Betreiber" aufnehmen müssten. Die Gefahr einer Entdeckung wäre hierbei viel zu hoch: Struktur eines Bot-Nets

BTW: Die Drohnen eines Phishing-Botnets tarnen sich meisten als Apache/Linux-Server.


----------



## Stalker2002 (29 Dezember 2005)

Wenn es wenigstens mal gelingen würde, einer angreifenden Drohne physikalisch habhaft zu werden, damit man mal genau schauen kann, welcher Schädling mit welchen Parameter-Sets den Angriff fährt.

Das würde wenigstens einen Ansatzpunkt ergeben, die Befehlskette zwischen Agent und Bot zu stören/abzuschneiden...

MfG
L.


----------



## Sirius (29 Dezember 2005)

Kein Problem! Installierst du Windows von Original-CD, gehst Online und wartest...

...will heißen: Man muss eigentlich nur die aktuellen Würmer "machen lassen" (z.B. auf einem virtuellen PC - "VMware" o.ä.), um zu sehen was passiert.


----------



## Heiko (29 Dezember 2005)

Sirius schrieb:
			
		

> Mein Posting zielte eigentlich mehr in die Richtung, dass das Scan-Ergebnis der Drohnen ein gewisser Auswahleffekt ist.
> (Das BS per Scan zu ermitteln ist sowieso relativ unsicher: per 'nmap' o.ä.)


Das kommt darauf an.
Manche Port-/Dienstkombinationen gibt es nur auf Windows-Rechnern. Da ist die Aussage schon sehr zuverlässig.


----------



## dotshead (29 Dezember 2005)

antispam ist aus diversen Gründen momentan nicht erreichbar. Dafür wurde eine Usenet-group eingerichtet.

http://groups.google.com/group/antispam-de

Grüße aus ME

Stephan 
Antispam e.V.


----------



## Sirius (29 Dezember 2005)

Heiko schrieb:
			
		

> Manche Port-/Dienstkombinationen gibt es nur auf Windows-Rechnern. Da ist die Aussage schon sehr zuverlässig.


Klar - sofern die entsprechenden Ports offen sind.

Die allermeisten gekaperten Rechner sind ohnehin Windows-Systeme. Bemerkenswert ist allerdings, dass sich Phishing-Server auf Windows-Rechnern als Linux-Systeme tarnen.

Umgekehrt brauchen gekaperte Linux-Rechner nur ein paar Windows-typische Ports (445, 568/9, 1433/4...) zu öffnen, und schon erscheinen sie als Windows-Rechner. Das kann möglicherweise Teil eines Stealth-Mechanismus sein.


----------



## Anonymous (29 Dezember 2005)

Sirius schrieb:
			
		

> ...will heißen: Man muss eigentlich nur die aktuellen Würmer "machen lassen" (z.B. auf einem virtuellen PC - "VMware" o.ä.), um zu sehen was passiert.


Clevere Würmer merken mittlerweile, wenn man sie in einer VMware-Testumgebung laufen lassen will und verhalten sich dann anders als normalerweise.


----------



## Heiko (29 Dezember 2005)

Sirius schrieb:
			
		

> Heiko schrieb:
> 
> 
> 
> ...


Wer, der eh schon einen Trojaner drauf hat, schließt Ports?

Zudem gehts nicht allein um die offenen Ports. Interessant sind auch die Dienstkennungen dahinter.


----------



## lyrikologiker (29 Dezember 2005)

Anonymous schrieb:
			
		

> Sirius schrieb:
> 
> 
> 
> ...



sieht fast so aus ... ich hab mir extra eine vm gemacht (letzte woche) mit der ich nur jeden erdenklichen blödsinn anstelle ... aber nüscht! ... alles ruhig   



... gut dann werd ich mal aktiv würmer installieren!  :lol:  :lol:


ooooooooh da gibts ja schon fertige honeypot-software


----------



## Heiko (31 Dezember 2005)

So, wir sind wieder online.
Ich gehe mal davon aus, dass man uns jetzt endgültig kreuzweise kann.
Ich habe im Hintergrund zusammen mit dem Team von Gulli einige Änderungen durchgeführt, die uns online halten sollten.


----------



## Stalker2002 (31 Dezember 2005)

Heiko schrieb:
			
		

> Ich habe im Hintergrund zusammen mit dem Team von Gulli einige Änderungen durchgeführt, die uns online halten sollten.



 :thumb:  :thumb: 

MfG
L.


----------



## Anonymous (31 Dezember 2005)

:respekt:


----------



## Anonymous (31 Dezember 2005)

Das hier hatte ich heute als Mail von einem Paid4 Dienst - vielleicht ist es von Interesse. Wenn nicht dann löscht es   



> Wie Ihr ja alle bemerkt habt, war der Server abgeschaltet und wurde
> kurz
> nachdem er wieder hochgebracht wurde erneut abgeschaltet.
> 
> ...


----------



## technofreak (31 Dezember 2005)

http://www.heise.de/newsticker/meldung/67846


> Verbraucherschutz-Sites erneut von DDoS-Attacke lahmgelegt





			
				Heiko schrieb:
			
		

> So, wir sind wieder online.
> Ich gehe mal davon aus, dass man uns jetzt endgültig kreuzweise kann.
> Ich habe im Hintergrund zusammen mit dem Team von Gulli einige Änderungen durchgeführt, die uns online halten sollten.



ich zitiere mich selber :
http://forum.computerbetrug.de/viewtopic.php?p=131061#131061

tf


----------



## Axiom (31 Dezember 2005)

*Ihr seid super !!*

Und wieder sind beträchtliche Energien von Spammerleinchen und Gelder in Botnetze geflossen. Mit welchen Erfolg?....weitere Popularitätssteigerung des Forums und noch eingeschnapptere Verursacher 

Ähh, wo war noch mal der Zweck der DoS Attacke ? _*frechgrins*_


----------



## Telekomunikacja (31 Dezember 2005)

technofreak schrieb:
			
		

> http://forum.computerbetrug.de/viewtopic.php?p=131061#131061


Ohne jahreszeitbedingte oder tagesabhängige Sentimentalität... und auch sonst in vollem Ernst:

Herzlichen Dank und höchsten Respekt all jenen, die das Forum am Laufen halten!

:bussi:


----------



## Sirius (31 Dezember 2005)

*Wer steckt hinter der Attacke?*

Hier eine paar interessante Threads zum Thema DDoS:
http://www.heise.de/newsticker/foren/go.shtml?read=1&msg_id=9556177&forum_id=90041
http://www.recht.de/phpbb/viewtopic.php?p=204263

Falls "The Brain" hinter den DDoS-Attacken stecken sollte, ist es seltsam, dass Gulli.com attackiert wird, aber nicht GTI-Verbraucherschutz-Forum.de
(Mein Favorit ist ein anderer - einschlägig bekannter - ... )


BTW: Derzeit läuft das Forum richtig rund! Super gemacht!


----------



## Captain Picard (31 Dezember 2005)

http://www.gulli.com/news/22c3-ddos-in-theorie-und-2005-12-30/



> 22C3: DDoS in Theorie und Praxis
> 
> Angriffe weitgehend unter Kontrolle


cp


----------



## dvill (31 Dezember 2005)

Am Ende wird ein sehr positives Ergebnis stehen.

Wenn ein guter Admin hier den ganz praktischen Nachweis erbringt, dass bestellte DDoS-Attacken nicht geeignet sind, die freie Meinungsäußerung zu behindern, haben wir alle was davon.

Die hier entwickelten und praktisch erprobten Techniken werden sich allgemein als nützlich erweisen und den Einfluss der kriminellen Machenschaften im Internet schmälern.

Dietmar Vill


----------



## tuxedo (31 Dezember 2005)

*Re: Wer steckt hinter der Attacke?*



			
				Sirius schrieb:
			
		

> (Mein Favorit ist ein anderer - einschlägig bekannter - ... )



Erwähnenswert in diesem Zusammenhang ist die Tatsache, dass 6md.de auch nicht mehr erreichbar ist. 



			
				Sirius schrieb:
			
		

> BTW: Derzeit läuft das Forum richtig rund! Super gemacht!



Absolut Spitze.  :thumb: 

Das zeigt mal wieder, dass eine organisierte DDOS-Attacke nichts anderes ist als reine Verzweiflung der Auftraggeber. Der entstandene Schaden ist nur von temporärer Dauer und das Ziel der DDOS-Attacke durch die Medien danach um so bekannter.

Oder sagen wir es so:
Da die Attacke nicht die gewünschte langanhaltene Wirkung gezeigt hat und viel Geld in ein Bot-Netz verpulvert wurde, sollte nun derjenige, der seinem Boss zur DDOS-Attacke geraten hat, darauf achten, dass er nicht plötzlich mit einem Betonklotz an den Füßen und unter Wasser aufwacht.  :holy:


----------



## Wembley (31 Dezember 2005)

*Re: Wer steckt hinter der Attacke?*



			
				tuxedo schrieb:
			
		

> Oder sagen wir es so:
> Da die Attacke nicht die gewünschte langanhaltene Wirkung gezeigt hat und *viel Geld in ein Bot-Netz verpulvert* wurde



Ja, und von der Steuer wird er das Geld auch kaum abschreiben können, der Arme.  :bigcry: 

Gruß
Wembley


----------



## Heiko (31 Dezember 2005)

DoS-Angriffe werden immer geeignet sein, Einzelserverlösungen wie diese hier temporär auszuschalten.
Dauerhaft ist das was anderes.
Wenn man bedenkt, dass der Angriff ungebremst weiterläuft, gefällt mir das hier richtig. 
Es soll nicht hochmütig klingen: ich muß einräumen, dass uns der Angreifer richtig Arbeit gemacht hat. Allerdings haben wir dabei auch viel gelernt, was uns bei den nächsten (sicher kommenden) Angriffen erheblich helfen wird.


----------



## Der Jurist (31 Dezember 2005)

Heiko schrieb:
			
		

> DoS-Angriffe werden immer geeignet sein, Einzelserverlösungen wie diese hier temporär auszuschalten.
> Dauerhaft ist das was anderes.


Gut gemacht, dafür meinen :respekt: und Hut ab. :tach: 


			
				Heiko schrieb:
			
		

> Wenn man bedenkt, dass der Angriff ungebremst weiterläuft, gefällt mir das hier richtig.


:rotfl:   


			
				Heiko schrieb:
			
		

> Es soll nicht hochmütig klingen: ich muß einräumen, dass uns der Angreifer richtig Arbeit gemacht hat. Allerdings haben wir dabei auch viel gelernt, was uns bei den nächsten (sicher kommenden) Angriffen erheblich helfen wird.


Was uns nicht umbringt, macht uns härter.    :holy:  :holy:

Nachedit: So schnell waren die Antwortzeiten des Forums noch nie.


----------



## drboe (31 Dezember 2005)

advisor schrieb:
			
		

> drboe schrieb:
> 
> 
> 
> ...



Gut möglich. Anders sind die dictionary login attacks gegen "root" schlecht zu interpretieren, die ich regelmäßig in den Logs des ssh Servers finde. Bei mir müßte er aber an die Konsole, von extern ist mit root nix zu machen. Soweit ein leidlich seriöser ISP für den Angriff genutzt wird, Unis etc., sende ich einen Hinweis mit dem Log-Auszug und bitte darum die Quelle des Angriffs trocken zu legen. In anderen Fällen wird der IP Bereich geerdet.

M. Boettcher


----------



## Der Jurist (31 Dezember 2005)

Die Auferstehung wird verkündet.


----------



## Stalker2002 (31 Dezember 2005)

*Re: Ihr seid super !!*



			
				Axiom schrieb:
			
		

> Ähh, wo war noch mal der Zweck der DoS Attacke ? _*frechgrins*_



Was auch immer der Zweck war, das Kollateralschadensbild ist IMHO muchas interessantos...

Meine Google-Mail Spamtrap, auf der z.B. der Dupont-Spam immer dutzendweise eingeschlagen ist, hat seit dem 23. Dezember exakt NULL Zugänge im Spamfolder. Nicht eine einzige Spammail seit der Angriff läuft. Null, nada, nixos...
Möge ein Jeder seine eigenen Schlüsse daraus ziehen...  

MfG
L.


----------



## exe (31 Dezember 2005)

drboe schrieb:
			
		

> Gut möglich. Anders sind die dictionary login attacks gegen "root" schlecht zu interpretieren, die ich regelmäßig in den Logs des ssh Servers finde. Bei mir müßte er aber an die Konsole, von extern ist mit root nix zu machen. Soweit ein leidlich seriöser ISP für den Angriff genutzt wird, Unis etc., sende ich einen Hinweis mit dem Log-Auszug und bitte darum die Quelle des Angriffs trocken zu legen. In anderen Fällen wird der IP Bereich geerdet.


Sicher eine sinnvolle Taktik. Ich persönlich verschiebe auch gerne den SSH-Port auf eine andere Hausnummer, dass verhindert wenigstens die lästigen Login-Versuche der 1337 Kiddiz und Bots. Root-Login auf "no" stellen ist sowieso das mindeste. Port-Knocking habe ich noch nicht probiert.

Leider stellen sich einem die Haare auf, wenn man sich mal die Standardkonfiguration eines vServer div. Provider ansieht. Da lauscht sogar der mySQL in die weite Welt obwohl ihn 99,9% aller User nur lokal benutzen. Hab schon zig Angriffe deren Quelle diverse vServern waren gesehen. Wenn man ein nmap auf die Kisten macht, leuchten die wie ein Christbaum mit 100 Lampen. Es werden leider offensichtlich sehr viele Kisten von Anfängern betreut. Eine der besten Fragen eines solchen "Admins" war: "Wie kann ich den $DIENST auf dem Server per PHP-Skript starten und stoppen?" :bigcry:


----------



## Nebelwolf ✟ (31 Dezember 2005)

*Re: Wer steckt hinter der Attacke?*

Hallo Sirius!



			
				Sirius schrieb:
			
		

> Falls "The Brain" hinter den DDoS-Attacken stecken sollte, ist es seltsam, dass Gulli.com attackiert wird, aber nicht GTI-Verbraucherschutz-Forum.de
> (Mein Favorit ist ein anderer - einschlägig bekannter - ... )


Das GTI-Forum läuft nicht auf einem kleinen Root-Server, sondern wird gemeinsam mit anderen Seiten auf einem deutlich leistungsstärkem System gehosted. Damit benötigt der Angriff deutlich mehr Resourcen und gleichzeitig sind festangestellte Admins vor Ort für das Gerät verantwortlich. Vielleicht hat der Angreifer mangels Chancen auf den Angriff verzichtet, oder er ist erfolglos.

Gulli.com war in der Vergangenheit das Sprachrohr der einschlägig bekannten Person im Streit gegen Heise und Gulli hat ihm meines Wissens nicht auf die Füsse getreten. Aber letztendlich ist alles nur Spekulatius. 

Einen Guten Rutsch wünscht 
Nebelwolf


----------



## advisor (31 Dezember 2005)

exe schrieb:
			
		

> Da lauscht sogar der mySQL in die weite Welt obwohl ihn 99,9% aller User nur lokal benutzen.


Das wäre ein totaler Anfängerfehler. Aus diesem Grund ist zB beim neuen SQL Server 2005 von M$ standardmäßig TCP/IP deaktiviert. Die lokale Nutzung der Datenbanken geht problemlos über Shared Memory.


----------



## Adele (31 Dezember 2005)

*DoS mal wieder*

Danke!!!! an Heiko und Sascha!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


----------



## stieglitz (31 Dezember 2005)

Schön, dass ihr wieder da seid. :lol: 
Man fühlt sich so heimatlos.
Und wenn die Geliebte abwesend ist, besteht immer die Gefahr, dass man Fremd geht. 
Kann aber auch mal eine schöne Erfahrung sein.
Guten Rutsch!


----------



## 350x2 (31 Dezember 2005)

Klasse, das der Angriff sich hier nicht mehr bemerkbar macht
und vielen Dank an die Admins.

P.S. Deutscher Spam schlägt bei mir seit dem 23.12. fast nicht mehr auf.

Wünsch allen einen guten Rutsch und ein gutes 2006.

Viele Grüße 350x2


----------



## Anonymous (1 Januar 2006)

*Spam*

Heute erstmals wieder Spam erhalten. Die Verbrecher haben wohl inzwischen wieder SPAM-Kapazitäten frei.

Viele Grüße
JohnnyBGoode

PS: Antispam hat wohl massivere Probleme !


----------



## dvill (3 Januar 2006)

DDoS, wer?

Dietmar Vill


----------



## lyrikologiker (3 Januar 2006)

wo ist den der DoS-O-Meter (Bandbreitenanzeige)?


----------



## technofreak (3 Januar 2006)

Heise schrieb:
			
		

> Die zwischen Weihnachten und Neujahr stattfindende DDoS-Attacke ...
> war zwar nicht die erste, ungewohnt war aber die lange Dauer und die Hartnäckigkeit.


Kleine Korrektur, statt war > ist, der Angriff läuft nach wie vor
http://forum.computerbetrug.de/viewtopic.php?p=131183#131183
http://forum.computerbetrug.de/viewtopic.php?p=131245#131245

tf


----------



## Anonymous (3 Januar 2006)

> Anders sind die dictionary login attacks gegen "root" schlecht zu interpretieren, die ich regelmäßig in den Logs des ssh Servers finde.



Das ist inzwischen "normales Hintergrundrauschen".. Ich bin einer der Admins von Megarausch. 

Wir haben zwischen der Installation von Snort und PortSentry geschwankt und fahren jetzt eine Kombination aus PortSentry und mod_security. Hat sich bestens bewährt, die Attacken laufen weiter, werden aber wunderbar abgeschmettert.


----------



## OskarMaria (4 Januar 2006)

Ich habe mir mal die zur DDoS-Attacke veröffentlichten Unterlagen angeschaut. Danach stimmen wesentliche Teile Eurer Presseinformation nicht ganz. Fangen wir mal mit den IP-Adressen der Angreifer an. Von den ersten 100 aufgezeichneten IP-Adressen gehörten etwa 60 Prozent zu deutschen Providern. Man kann also keineswegs von einem Angriff aus dem "Osten" sprechen, wie das zB Sacha geschrieben hat.

Zum anderen wurden von Angreifern im fünfstelligen Bereich gesprochen. Die IP-Liste der geblockten Angreifer weißt aber nur knapp 5000 verschiedene IP-Nummern auf. Da es sich meist um dynamische Adressen handelt, tauchen da gleiche Angreifer eben mehrfach auf, wenn sie sich zwischenzeitlich neu eingewählt haben. Es waren also wesentlich weniger Bots beteiligt.

Ebenfalls ist mir aufgefallen, dass sich zwischen den dynamischen IPs auch einige statische Adressen befunden haben - auch von deutschen, kleineren Betrieben. Hier kann man auf Rückfrage erfahren, welche Ursache solch ein Angriff haben kann, da der angreifende Computer auszumachen ist. Meine Frage - um welchen Wurm/Virus handelte es sich eigentlich, der hier zum Einsatz kam?

Gruß OskarMaria


----------



## Captain Picard (4 Januar 2006)

OskarMaria schrieb:
			
		

> Ich habe mir mal die zur DDoS-Attacke veröffentlichten Unterlagen angeschaut. Danach stimmen wesentliche Teile Eurer Presseinformation nicht ganz.


Wo sind hier  (CB/DS) IP-Adressen veröffentlicht worden? 

cp


----------



## OskarMaria (4 Januar 2006)

Hi Captain, ich habe ernsthafte Fragen gestellt - da will ich mich nicht in Nebensachen verzetteln.

Eine IP-Liste wurde zusammen mit den Abwehrmaßnahmen am Rande des CCC-Kongresses in Berlin veröffentlicht. Von hier war nicht die Rede.

Gruß OM


----------



## technofreak (4 Januar 2006)

was in Berlin veröffentlich wurde, ist uns  nicht bekannt ( und ist mir auch egal) , in unseren Sperrlisten
 tauchen jedenfalls fast ausschließlich Osteuropa und der Rest der Welt auf. 

Selbst wenn ein Zombie  ermittelt werden könnte, auf dem ein Backdoortrojaner installiert wurde, so what? 
Der ist ja nicht der Urheber  sondern  der Depp, der sich mißbrauchen läßt. 
Außerdem   wird in aller Regel nicht direkt gesteuert, sondern über IRC-Server und die stehen  im Ausland 
http://cert.uni-stuttgart.de/doc/netsec/bots.php 

tf

PS:   im Heiseforum wird unendlich viel Unwissen zu diesem Thema  gepostet


----------



## OskarMaria (4 Januar 2006)

Technofreak - Du musst mich zum technischen Hintergrund nicht belehren, da weiß ich ganz gut Bescheid. Deine Antwort ist allerdings wenig zufriedenstellend.

Denn in allen Pressemitteilungen wurde von einem Angriff auf computerbetrug.de, dialerschutz.de, antispam & gulli geredet. Der gemeinsam zurückgeschlagen wurde. Mit Hilfe jener externen Systemadmistratoren, die bei Gulli die Wartung der Webserver übernommen haben. Auf deren Unterlagen beziehe ich mich.

So wie jetzt von Dir dargestellt, würde es sich um mehrere autonome Angriffe auf jener Webadressen handeln. Das wäre völlig neu. 

OM


----------



## technofreak (4 Januar 2006)

OskarMaria schrieb:
			
		

> Der gemeinsam zurückgeschlagen wurde.



gemeinsam bezieht sich auf die Zusammenarbeit und Strategie. Keiner  der Admins außer CB/DS  hat irgendeinen Zugriff 
auf die Server der anderen. Abgleiche über IPs  haben nicht stattgefunden. 

Außerdem werden wir hier garantiert nicht alles veröffentlichen, was intern bekannt ist.
Wenn du mehr wissen willst, wende dich an Heiko per PN , vielleicht stillt der deinen  Wissensdurst 

tf


----------



## exe (4 Januar 2006)

technofreak schrieb:
			
		

> Abgleiche über IPs  haben nicht stattgefunden.


Wäre vielleicht interessant gewesen, kann man aber sicher im nachhinein auch noch mal machen. Ich habe übrigends auch die Adressliste gelesen die hier angesprochen wurde und war ebenfalls über die zahlreichen Adressen aus dem Telekomsubnetz erstaunt. 



> Selbst wenn ein Zombie ermittelt werden könnte, auf dem ein Backdoortrojaner installiert wurde, so what?


Wie wäre es mit einem Abuse an den Provider, damit der die Kisten abklemmen / Benutzer informieren kann? Ist sicher nicht einfach bei der Menge an Adressen, sollte aber im Rahmen einer Nachbereitung auf jeden Fall überlegt werden, um wenigstens diese Kisten vom Netz zu bekommen.


----------



## Heiko (4 Januar 2006)

Wir haben die Angriffsmuster verglichen und es handelte sich weitgehend um exakt die gleichen Pakete. Die Muster waren identisch. Die Angriffe begannen zur gleichen Zeit und endeten ziemlich zur gleichen Zeit.
Bei uns kam dann noch ein SYN-Flood dazu, der aber gulli.com nicht heimsuchte.
Es waren einfach zu viele Parallelen für Zufall.

Ich habe eine Liste mit 10.700 Rechner hier. Die habe ich grade mal auf offensichtliche deutsche IP gescannt. Das waren knapp 400.
Bei AOL weiß man aber z.B. eh nicht so recht wo die grade herkommen.


----------



## Anonymous (5 Januar 2006)

*DD0S-Attake*



			
				OskarMaria schrieb:
			
		

> Ich habe mir mal die zur DDoS-Attacke veröffentlichten Unterlagen angeschaut.


Ich habe mich auch mal ein wenig mit dem Angriff, den Folgen und Verlautbarungen befasst.
Das nicht alles offen gesagt weden kann, ist klar: "Feind liest mit"!

Aber was so als Folgen beschrieben wird, ist auch unglaubwürdig.
Zumindest, bei einem der  Angegriffenen, konnte man feststellen, dass während des  DDoS-Angriffs, die IP auf "localhost" 127.'.'.' stand.
Das bedeutet: Die Seite ist nicht aufrufbar. 
ABER, dem Server kann mit dieser - simplen - Einstellung auch nichts passieren!


----------



## dvill (5 Januar 2006)

*Re: DD0S-Attake*



			
				Habe noch keinen schrieb:
			
		

> Zumindest, bei einem der  Angegriffenen, konnte man feststellen, dass während des  DDoS-Angriffs, die IP auf "localhost" 127.'.'.' stand.


Man konnte das sogar lesen von den Admins bei Antispam, dass sie diese Einstellung für den DNS-Dienst vorgenommen hatte. Ich habe mir die Stellen jedoch nicht gemerkt. Das Thema ist bekannt.

Viel helfen wird das nicht. Der Server ist ab dann für alle nicht erreichbar. Also genau das, was die Angreifer wollen.

Dieses Forum war immer - bis auf Wartungspausen - über den DNS-Eintrag findbar und nutzbar. Eine wirksame Attacke verschwendet keine Zeit für DNS-Auflösungen. Die läuft direkt auf die bekannten IP-Adressen.

Das passt alles, wenn man es versteht. Noch was?

Dietmar Vill


----------



## advisor (5 Januar 2006)

Enttarnung eines Botnetzes und seiner Betreiber:
http://www.computerwoche.de/knowledge_center/it_security/557828/


----------



## drboe (5 Januar 2006)

*Re: DD0S-Attake*



			
				dvill schrieb:
			
		

> Das passt alles, wenn man es versteht. Noch was?


Ja! Was soll eigentlich dieser rüde Ton? Was heute gegen computerbetrug, dialerschutz, antispam und gulli in Stellung gebracht wird, wird morgen gegen andere Server mobilisiert. Dabei ist Öffentlichkeit noch immer eine der wirksamsten Waffen gegen die Netz-Gangster. Und das gilt ganz allgemein in Computer-Security-Fragen. Es ist daher völlig kontraproduktiv, bei ernsthaften, interessanten und berechtigten Fragen, deren Klärung vielen Serverbetreibern nützen könnte, herumzupöbeln. Es ist sicher das gute Recht des Betreiberteams derzeit zu schweigen.  Auf Dauer  halte ich das für falsch. Im Nachgang sollte man den Angriff schon dokumentieren. Fachlich ist man hier ja eindeutig gut aufgestellt, denn die Abwehr funktioniert m. E. ordentlich, während antispam z. B. ziemlich hin ist. Dass heisst aber nicht, dass weitere Erkenntnisse aus einem Dialog nicht wertvoll sind, auch für die Betreiber hier und damit indirekt für die Community und letzlich das Web. Es gibt daher überhaupt keine Veranlassung, interessierte Fragesteller anzugiften. Zumal deren Sympathie für das hiesige Projekt m. E. außer Frage steht.

M. Boettcher


----------



## Anonymous (5 Januar 2006)

Der einzige der hier pausenlos   rumgiftet ist der "Vorschreiber" der alle Weisheit dieser Welt für sich gepachtet hat. 
als Moderator dieses Forums ist er jedenfalls  nicht eingetragen  

PS: zuviel Magensäure?


----------



## Heiko (5 Januar 2006)

Jetzt bleibt doch mal alle ruhig.
Es tut keine Not, sich gegenseitig anzugiften.

Zur IP-Geschichte:
Antispam hat offensichtlich den DNS-Eintrag auf die loopback-Adresse gesetzt. Ich sehe das in dem Fall als Notlösung weil sie nicht nahe genug an den Server kamen um den Angriff analysieren zu können.
Hätte zwar funktionieren können, in dem vorliegenden Fall ging der Angriff aber definitiv gegen die IP-Adresse direkt. Eine Änderung im DNS macht da wenig bis überhaupt keinen Sinn.

Zudem: den Server administrativ nicht erreichbar machen ist ungefähr so, als ob man dem vor einem stehenden Räuber die Pistole entreißt um sich dann selbst eine Kugel in den Kopf zu jagen. Just my $0.02...


----------



## Stalker2002 (5 Januar 2006)

Heiko schrieb:
			
		

> Zudem: den Server administrativ nicht erreichbar machen ist ungefähr so, als ob man dem vor einem stehenden Räuber die Pistole entreißt um sich dann selbst eine Kugel in den Kopf zu jagen. Just my $0.02...



Mit dem umbiegen der Domain auf _localhost_ hat sich der Admin aber nicht ausgesperrt. Das anfängliche "aussperren" ist durch einen randalierenden "Selbstverteidigungsmechanismus" des Servers passiert. Die derzeitige Nicht-Erreichbarkeit hat aber andere Gründe.

MfG
L.
(Antispam-Moderator)


----------



## OskarMaria (5 Januar 2006)

Gulli schrieb:
			
		

> Die Attacken schwankten bis heute in ihrer Stärke, über die Herkunft haben sich einige Anhaltspunkte ergeben, die jedoch naturgemäß nur wenige Rückschlüsse über die steuernden Hintermänner zulassen. Die angreifenden Rechner stehen überwiegend in Osteuropa, ihre Anzahl liegt wie anfangs vermutet im fünfstelligen Bereich.





			
				Dialerschutz schrieb:
			
		

> Über die Herkunft des Angriffs haben sich in den vergangenen Tagen einige Anhaltspunkte ergeben, die jedoch naturgemäß nur wenige Rückschlüsse über die steuernden Hintermänner zulassen. Die angreifenden Rechner stehen überwiegend in Osteuropa, ihre Anzahl liegt wie anfangs vermutet im fünfstelligen Bereich. Die Attacke hatte jedoch auch positive Aspekte. So wurden sowohl bei Gulli.com als auch bei Computerbetrug.de und Dialerschutz.de wertvolle Erkenntnisse gewonnen, die künftige Angriffe dieser Art einfacher bewältigen lassen.



Die Stellungnahmen von Gulli & Dialerschutz waren ziemlich gleichlautend. Überprüft man aber die veröffentlichten Unterlagen der Gulli-Administration, dann stimmen wesentliche Teile nicht.
- Es handelte sich um ein wesentlich kleineres Netz - nicht im fünfstelligen Bereich, sondern im unteren vierstelligen Bereich.
- Es war kein Angriff aus dem "Osten", die größte IP-Gruppe stellte Deutschland, der Rest verteilte sich weltweit.

Ich halte solche Bot-Attacken für kriminelle Angriffe mit dem Ziel die freie Meinunsäußerung zu unterdrücken. Nichts legitimiert solches Vorgehen. Doch erwarte ich auch, dass die veröffentlichten Fakten stimmen und nicht so aufgeblasen werden.

Gruß OskarMaria


----------



## Anonymous (5 Januar 2006)

OskarMaria schrieb:
			
		

> Doch erwarte ich auch, dass die veröffentlichten Fakten stimmen und nicht so aufgeblasen werden.


Ach du liebe Güte, ein Korinthenzähler, so was ist außerordentlich sinnvoll 

 :crazy:


----------



## Anonymous (5 Januar 2006)

> Es handelte sich um ein wesentlich kleineres Netz - nicht im fünfstelligen Bereich, sondern im unteren vierstelligen Bereich.



Sollte man nicht langsam misstrauisch werden, wenn jemand die Details dieses Angriffs so gut kennt? Just my 2 Cents...

JB


----------



## KatzenHai (5 Januar 2006)

Kaum.

Wäre OskarMaria der Täter, hätte er Interesse daran, dass die Fakten (Eitel, eitel) aufgeblasen werden - genau das wünscht er aber nicht.

[Nachedit: Allerdings ist die Frage schon berechtigt, woher die Insiderinfos stammen ... ]

Aber es kann ja wild weiter spekuliert werden. Hatte schon jemand Osama Bin Laden erwähnt?


----------



## Reducal (5 Januar 2006)

Solche Läden sind nix für mich. :scherzkeks:


----------



## haudraufundschluss (5 Januar 2006)

OskarMaria schrieb:
			
		

> Doch erwarte ich auch, dass die veröffentlichten Fakten stimmen und nicht so aufgeblasen werden.


Wie wär´s mit sorgfältigem Lesen?

http://forum.computerbetrug.de/viewtopic.php?p=132017#132017


----------



## Anonymous (5 Januar 2006)

Stalker2002 schrieb:
			
		

> Die derzeitige Nicht-Erreichbarkeit hat aber andere Gründe.


Post aus Hamburg?


----------



## Stalker2002 (5 Januar 2006)

Anonymous schrieb:
			
		

> Stalker2002 schrieb:
> 
> 
> 
> ...



Nein. Keine Post aus Hamburg und auch nichts Vergleichbares aus anderen Städten.

MfG
L.


----------



## dvill (5 Januar 2006)

Am Ende war der Angriff im 5-stelligen Bereich bestellt und bezahlt worden und nun gibt es die Mängelrüge, weil das Forum noch läuft. Wenn der Besteller nun nachweisen könnte, dass doch nur im unteren 4-stelligen Bereich angegriffen wurde, könnte er vielleicht eine Rückforderung begründen.

Eventuell sollte der Auftraggeber einfach mal die Betreiber hier nach den Logfiles für die Erfolgskontrolle fragen.

Dietmar Vill


----------



## SEP (5 Januar 2006)

dvill schrieb:
			
		

> Am Ende war der Angriff im 5-stelligen Bereich bestellt und bezahlt worden und nun gibt es die Mängelrüge, weil das Forum noch läuft. Wenn der Besteller nun nachweisen könnte, dass doch nur im unteren 4-stelligen Bereich angegriffen wurde, könnte er vielleicht eine Rückforderung begründen.


Aber nur, wenn bei fünfstelligem Angriff Erfolg gegeben wäre. Sonst ist IMHO kein Schaden entstanden ...
Anders herum: Wenn vierstellig ausreicht, ist Dienstleistung erbracht. Kohle verdient - und zwar mehr als _just my 2ct_ ...


----------



## KatzenHai (5 Januar 2006)

SEP schrieb:
			
		

> Anders herum: Wenn vierstelig ausreicht, ist Dienstleistung erbracht. Kohle verdient - und zwar mehr als _just my 2ct_ ...


... wobei zusätzlich zu fragen wäre, ob es sich um eine erfolgsgeschuldete Werkleistung oder eine bemühensgeschuldete Dienstleistung handelt ...
Wenn Werkvertrag: Abnahme notwendig als "im wesentlichen vertragsgerecht" ... :rotfl:


----------



## sascha (5 Januar 2006)

Im Streitfall könnte man auch einen unabhängigen Gutachter einschalten. Einige "Experten" drängen sich hier ja geradezu auf.


----------



## Antispam (5 Januar 2006)

In spätestens 30 Minuten sollte Antispam.de wieder online sein.

Der Grund, wieso das alles jetzt etwas länger gedauert hat, liegt auch darin, daß wir derzeit an einer Lösung arbeiten, die um viele Potenzen ausfallsicherer sein wird, als die derzeitige.

Also, danke für das Asyl.


----------



## Heiko (5 Januar 2006)

Antispam schrieb:
			
		

> Also, danke für das Asyl.


Immer wieder gern.


----------



## Heiko (5 Januar 2006)

Stalker2002 schrieb:
			
		

> Heiko schrieb:
> 
> 
> 
> ...


Nein, hat er nicht.
Ich bin auch weit davon entfernt, Eure Gegenmaßnahmen kritisieren zu wollen (um das mal klar auszudrücken). Dass wir noch da sind ist zumindest zu einem gewissen Teil auch Glückssache.

Was da vermutlich falsch rüberkam ist das: ich meinte "den Server durch einen administrativen Eingriff über DNS-Auflösung für die Angreifer nicht erreichbar machen". Das sollte kein Seitenhieb auf einen Admin sein, der sich aussperrt, sondern auf den Versuch hindeuten, die Angreifer durch einen administrativen Eingriff auszusperren. Ich denke, das wird jetzt klarer.
Hat aber auch was von Suizid: wenn die Angreifer nicht rankommen, kommen die User auch nicht ran. Das ist die Gratwanderung bei der DoS-Bekämpfung...


----------



## Telekomunikacja (5 Januar 2006)

Antispam schrieb:
			
		

> In spätestens 30 Minuten sollte Antispam.de wieder online sein.


's geht!


----------



## Heiko (5 Januar 2006)

OskarMaria schrieb:
			
		

> Die Stellungnahmen von Gulli & Dialerschutz waren ziemlich gleichlautend. Überprüft man aber die veröffentlichten Unterlagen der Gulli-Administration, dann stimmen wesentliche Teile nicht.
> - Es handelte sich um ein wesentlich kleineres Netz - nicht im fünfstelligen Bereich, sondern im unteren vierstelligen Bereich.
> - Es war kein Angriff aus dem "Osten", die größte IP-Gruppe stellte Deutschland, der Rest verteilte sich weltweit.


Ich habe mir die Listen von Gulli noch nicht näher angeschaut. Bei uns kann ich jedenfalls sagen, dass viele der Angreifer aus 24/8, 4/8 und 201.255.0/17 kamen. Durchweg keine deutschen Netze. Auch 200/8 war recht gut vertreten.
Ich habe nie gesagt, dass es die gleichen Drohnen waren, die angegriffen haben (obwohl das zumindest teilweise so sein kann). Die Angriffsmuster waren aber (bis auf den SYN-Flood) identisch.
Bei allen Angriffen, die uns bislang heimsuchten, waren übrigens Asien, Südamerika und der "echte" Osten jeweils sehr stark vertreten.


----------



## drboe (5 Januar 2006)

Heiko schrieb:
			
		

> Dass wir noch da sind ist zumindest zu einem gewissen Teil auch Glückssache.


Das Glück des Tüchtigen, nehme ich an.



			
				Heiko schrieb:
			
		

> Hat aber auch was von Suizid: wenn die Angreifer nicht rankommen, kommen die User auch nicht ran. Das ist die Gratwanderung bei der DoS-Bekämpfung...


Das der Server erreichbar blieb, dürfte den/die Angreifer ziemlich geärgert haben. Wenn man das kann, so ist das natürlich super und als Signal "so leicht machen wir es euch nicht" geradezu perfekt. Im Endeffekt wäre aber auch nichts gewonnen, wenn sämtliche angegriffenen Seiten vom Netz gemusst hätten. Von Dauer wäre das kaum gewesen und wem in der Situation die Sympathie der Netznutzer gilt, ist wohl kaum fraglich. Hier entsteht ja kein wirtschaftlicher Schaden durch Ausfall, wie z. B. bei Handelsplattformen. Der Schaden durch den Traffic ist natürlich da. Bei einem solchen Fall gelang es ja den Verursacher festzustellen und in Regress zu nehmen. Ich glaube nicht, dass der das wiederholt hat, würde mich aber ungemein freuen, wenn man den/die Typen für den aktuellen Fall erwischen kann. Gibt es Chancen dazu?

M. Boettcher


----------



## Heiko (5 Januar 2006)

drboe schrieb:
			
		

> Heiko schrieb:
> 
> 
> 
> ...


 Das aus Deinem Mund? Ich bin erstaunt  

Im Ernst: sicher steckt auch Arbeit dahinter, es gehört aber auch Glück dazu, zum richtigen Zeitpunkt mit den richtigen Leuten zusammenarbeiten zu können. Von zwei Jahren war es Ivan (der den ersten Wrapper geschrieben hat), heute die Leute von gulli.



			
				drboe schrieb:
			
		

> Ich glaube nicht, dass der das wiederholt hat, würde mich aber ungemein freuen, wenn man den/die Typen für den aktuellen Fall erwischen kann. Gibt es Chancen dazu?


Chancen gibt es immer.
Wie hoch die ist vermag ich nicht zu beurteilen.


----------



## trekkie (6 Januar 2006)

drboe schrieb:
			
		

> Der Schaden durch den Traffic ist natürlich da.



Seitdem es Root-Server mit "unlimited traffic" gibt, hält sich das auch in Grenzen... 

Bevor jetzt einer nörgelt: Ich weiß auch, daß "unlimited" bei 1&1 noch einen Haken hat (die 10MBit ab 1000MB, die man manuell wieder umstellen muß), aber zumindest erzeugt der Traffic keine Zusatzkosten mehr


----------



## Heiko (8 Januar 2006)

OskarMaria schrieb:
			
		

> Doch erwarte ich auch, dass die veröffentlichten Fakten stimmen und nicht so aufgeblasen werden.


Sag mal, was schreibst Du eigentlich für einen Quark? Ich meine speziell den Bericht auf Deiner Website.
Du meinst, dass man viele der Sperreinträge aus der Zählung streichen muß, weil es Dial-In-Accounts sind.
Wenn wir innerhalb von nicht mal einer Stunde mehrere tausend Rechner (ca. 1.000 in der ersten Minute) in der Sperrliste haben, wieviele davon werden sich wohl in dieser Zeit neu eingewählt haben? Die meisten sind Breitbandanschlüsse, die statistisch mind. 12 Stunden (halber Zwangstrennungsintervall) mit der gleichen IP weiterarbeiten.
Weiter: die Anfragen waren größtenteils nicht mal dafür ausgelegt, Seiten zu generieren. Die gingen direkt auf die IP ohne eine bestimmte Seite aufzurufen. Wir hatten schon Anfragen, die die Skriptengine überlasten sollten. Die riefen aber z.B. bestimmte Forenseiten auf um möglichst viel Last zu erzeugen.
Die anfragenden Rechner bekamen übrigens eine statische Seite ausgeliefert: eine Fehlerseite mit dem HTTP-Fehler 500.
Ich habe hier eine Sperrliste mit deutlich mehr als 10.000 Einträgen vorliegen. Woher nimmst Du die Gewissheit, dass die Zahl der Angreifer "wesentlich geringer" gewesen sein dürfte?
Dann der SYN-Flood mit mehreren zehntausend Paketen pro Sekunde. Den haben wohl fünf C64 mit selbstgelöteter Netzwerkkarte produziert, oder?

Sorry, aber was Du schreibst entbehrt jeder Logik. Du hattest die wirklich relevanten Infos nicht mal (oder hat dir jemand entsprechende Logauszüge zur Verfügung gestellt?). Es wirkt irgendwie, als ob Du einfach auf Konfrontation zur Berichterstattung gehen wolltest. Quasi gegen den Strom schwimmen ob es sinnvoll ist oder nicht. 
Da hatte ich irgendwie mehr Sachverstand von Dir erwartet.


----------



## OskarMaria (9 Januar 2006)

Hallo Heiko - ich habe keine Lust mich mit Dir über dieses Thema zu streiten. Das würde auf einen fehlgeleiteten Konflikt hinaus laufen. Doch was ich geschrieben habe, basiert auf nachprüfbaren Fakten - nämlich den detaillierten Veröffentlichungen der Firma, die die Gulli-Server administriert.  Danach lassen sich verschiedene Behauptungen in der Presseerklärung von Gulli eben nicht belegen:
- Der Schwerpunkt der Angreifer kam nicht aus dem Osten. 
- Es wurden knapp 5000 IPs über die gesamte Zeit gelistet.

Da ich keine Daten von hier hatte, habe ich dazu auch nichts gesagt. Ich persönlich finde diese Resultate durchaus interessant. Zum Beispiel dass die größte Anzahl der IPs aus Deutschland kommt und damit auf einen hiesigen kriminellen Vorgang schließen lässt. Ebenso wie die Tatsache, dass nur ein kleineres Botnetz verwendet wurde, was einen Rachefeldzug wahrscheinlich macht.

Noch immer offen ist meine Frage nach dem Wurm/Virus, der die Attacke ausgelöst hat. Immerhin findet man zwischen den deutschen IPs einige statische, so dass man versuchen könnte, die befallenen Rechner aufzuspüren. Und nachzuprüfen, welche IPs von den Schädlingen abgefragt werden, um ihre Befehle entgegen zu nehmen. Damit würde man sich den Auftraggebern doch nähern können.

Gruß OskarMaria


----------



## Rex Cramer (9 Januar 2006)

Alleine die aufgezählten "Fakten" in Deinem Bericht verwandeln ihn in Müll. Wenn Du tatsächlich eine Stichprobe von 100 aus einer IP-Liste von 5000 Adressen überprüfen konntest und dabei auf 60 IPs aus Deutschland gestoßen bist, dann kannst Du gerade mal zu 1,2% der gesamten Liste eine sichere Aussage treffen. Insofern disqualifiziert sich Dein Bericht hier bereits selbst.

Über den Rest Deiner absurden Thesen muss man dann gar nicht mehr diskutieren, denke ich...


----------



## Heiko (9 Januar 2006)

OskarMaria schrieb:
			
		

> Hallo Heiko - ich habe keine Lust mich mit Dir über dieses Thema zu streiten. Das würde auf einen fehlgeleiteten Konflikt hinaus laufen.


Ich möchte mit Dir auch nicht streiten. Ich gebe jedoch offen zu, dass ich mich über Deinen Bericht geärgert habe. Ich hatte von Dir eigentlich nicht den Eindruck, dass Du derart vorschnell und ohne *alle* Fakten zu kennen, einen solchen Bericht schreibst.
Du hattest weder in meine Blacklist Einblick, noch sonstige Infos, die über das (bewußt) eher allgemeine Blabla im Forum hinausgehen. Mir geht es in der Tat nicht ums Streiten, ich hätte mir das nur etwas fundierter gewünscht. Letztendlich sind einige schlicht falsche Fakten drin was nicht hätte sein müssen.
Vor allem hast Du IMHO übersehen, dass während ein DoS läuft die Hauptpriorität nicht auf einer bis ins kleinste exakten Pressearbeit liegt. In unserem Fall hat den Pressebericht Sascha geschrieben, der zwar ein guter Journalist ist, die technischen Zusammenhänge aber nur kurz zwischen zwei Änderungen geschildert bekommen hat. Dafür war der Artikel wirklich gut, wenn auch nicht exakt bis in die Kommastelle.



			
				OskarMaria schrieb:
			
		

> Da ich keine Daten von hier hatte, habe ich dazu auch nichts gesagt. Ich persönlich finde diese Resultate durchaus interessant. Zum Beispiel dass die größte Anzahl der IPs aus Deutschland kommt und damit auf einen hiesigen kriminellen Vorgang schließen lässt. Ebenso wie die Tatsache, dass nur ein kleineres Botnetz verwendet wurde, was einen Rachefeldzug wahrscheinlich macht.


Dafür, dass Du dazu nichts gesagt hast, hast Du aber schon irgendwie alles in einen Topf geworfen.
Zum Botnet: wir haben schon Angriffe gehabt, die ca. 2.000 - 3.000 Angreifer boten. Das ist tatsächlich ein kleineres Botnet, kann aber schon erhebliche Schwierigkeiten verursachen. Bei dem letzen DoS wurden hier innerhalb kürzester Zeit deutlich über 10k Rechner gesperrt. "Klein" ist das für mich nicht mehr.



			
				OskarMaria schrieb:
			
		

> Noch immer offen ist meine Frage nach dem Wurm/Virus, der die Attacke ausgelöst hat. Immerhin findet man zwischen den deutschen IPs einige statische, so dass man versuchen könnte, die befallenen Rechner aufzuspüren.


Das läuft bereits, breittreten möchte ich das hier aber nicht. Das verstehst Du sicher. Konkret stellt sich aber die Frage nach der Kooperation der Hoster/Provider. Da hängts nämlich gewaltig.


----------



## drboe (9 Januar 2006)

Rex Cramer schrieb:
			
		

> Alleine die aufgezählten "Fakten" in Deinem Bericht verwandeln ihn in Müll. Wenn Du tatsächlich eine Stichprobe von 100 aus einer IP-Liste von 5000 Adressen überprüfen konntest und dabei auf 60 IPs aus Deutschland gestoßen bist, dann kannst Du gerade mal zu 1,2% der gesamten Liste eine sichere Aussage treffen. Insofern disqualifiziert sich Dein Bericht hier bereits selbst.


Dieser Vorwurf fällt diesbezüglich auf Dich selbst zurück. In der Tat kann er nach den obigen Zahlen für *mindestens* 2% aller Quellen eine *sichere* Aussage treffen, wenn er in einer Stichprobe von 100 das Merkmal 60 mal antrifft (1,2% aus DE, 0,8% nicht). Und zwar, weil er die Zahl ja bereits gemessen hat. Weniger werden es sicher auch bei weiterer Betrachtung nicht. Eine Stichprobe läßt nun aber durchaus eine (natürlich fehlerbehaftete) Aussage zur gesamten Menge zu. Unterstellt, dass die 100 IP-Adresse tatsächlich völlig zufällig aus der Gesamtheit gewählt wurden, kann er einen Anteil von mehr als 50% aus DE durchaus abschätzen. 

M. Boettcher


----------



## Anonymous (9 Januar 2006)

drboe schrieb:
			
		

> Eine Stichprobe läßt nun aber durchaus eine (natürlich fehlerbehaftete) Aussage zur gesamten Menge zu. Unterstellt, dass die 100 IP-Adresse tatsächlich völlig zufällig aus der Gesamtheit gewählt wurden, kann er einen Anteil von mehr als 50% aus DE durchaus abschätzen.


Du setzt Deine Prämissen falsch.
Sicherlich kann er zu dem Ergebnis kommen. Allerdings sollte er dann nicht unterstellen, dass seines im Rahmen der möglichen Genauigkeit aufgrund der wenigen Daten, die ihm vorliegen, der Gulli-Berichterstattung entgegensteht. Eben so, wie Du aus den (vermutlich) richtigen Fakten die falschen Schlüsse ziehst, hat es OscarMaria auch getan.


----------



## SEP (9 Januar 2006)

Wollt ihr jetzt mit Didaktik- und Statistik-Lehre weitermachen? Dann verschiebe ich den entsprechenden Threadteil nach OT ...


----------



## jupp11 (9 Januar 2006)

SEP schrieb:
			
		

> Wollt ihr jetzt mit Didaktik- und Statistik-Lehre weitermachen?


Wenn man in der Sache selbst nichts beizutragen hat, verlagert man sein "Reibungsbedürfnis"  
auf Nebenkriegsschauplätze, wie gehabt...

j.


----------



## Heiko (9 Januar 2006)

So, damit wir nicht mehr leer rumdiskutieren müssen: hier ist eine erste schnelle Auswertung der Angreifer.
Das ist jetzt keine ausgetüftelte Hostname-Auswertung, sondern mal in einer Zeile quick&dirty hingestrickt.
Und: es fehlen ca. 1.600 Rechner, deren Hostname nicht aufgelöst werden konnte. Die hab ich der Einfachheit halber mal weggelassen.
Und2: ich habe mehrere Netze der Art x/8 gesperrt. Die stehen dann naturgemäß auch nicht in der Liste.


> 1049 tpnet.pl
> 505 com.hk
> 425 t-dialin.net
> 396 aol.com
> ...


----------



## Heiko (9 Januar 2006)

Und noch eine TLD-Auswertung der gleichen Datenbasis (die freilich wenig aussagekräftig ist):


> 2980 net
> 1544 pl
> 1217 com
> 573 de
> ...


----------

