DoS mal wieder - DoS "Arnold"

Sven Udo · 29 Dezember 2005

Heiko schrieb:
tuxedo schrieb:

P.S.: Bezüglich DDos: Durchhalten! Wir ... ähmmm Ihr schafft die früher oder später.

Zum Vergrößern anklicken....

Wir.
Wir sind eine Community und genau das macht uns stark.
Mit mir oder dem Team allein wäre niemand auf die Idee gekommen, einen DoS zu starten. Gemeinsam sind wir stark.

An dieser Stelle, auch meinen Dank! :wave: :thumb: :wave: :flower:

Wembley · 29 Dezember 2005

Da draußen sitzt zumindest einer, der ist ziemlich verzweifelt, schießt daher aus allen Rohren (oder besser gesagt: er lässt schießen), aber erreicht damit gar nichts. Aber Verzweifelte denken nicht mehr logisch und machen daher Fehler.......

Gruß
Wembley

sascha · 29 Dezember 2005

aber erreicht damit gar nichts.

Doch, er leert sein Konto. Bot-Netze zu mieten ist nicht ganz billig :wink:

dvill · 29 Dezember 2005

Große Fortschritte basieren oft auf ganz einfachen Ideen.

Einen DDoS einfach herauszufiltern und auf /dev/null zu lenken ist so eine einfache Idee. Vermutlich nicht so einfach umzusetzen, aber man sieht, dass ein guter Admin das so regelt.

Faszinierend.

Dietmar Vill

Heiko · 29 Dezember 2005

Stalker2002 schrieb:
Während Heiko "geschraubt" hat, war gulli.com auch wieder weg. Als er fertig war, ist auch gulli wieder hochgekommen.
Ist es möglich, das der Angreifer mit einer Art dynamischer Lastverteilung agiert und die während der CB/DS-Downtime in's leere hämmernden Drohnen, auf gulli.com umgeschaltet wurden?

Ich stehe mit Gulli in engem Kontakt.
Wir haben quasi gemeinsam geschraubt.
Insofern haben die jetzt auch nen neuen Kernel

Der Jurist · 29 Dezember 2005

:tach: vor der

Anonymous · 29 Dezember 2005

sascha schrieb:
aber erreicht damit gar nichts.

Zum Vergrößern anklicken....

Doch, er leert sein Konto. Bot-Netze zu mieten ist nicht ganz billig

nunja ... oder der die das hat sich sein eigenes bot-netzwerk aufgebaut .... was dann?

Heiko · 29 Dezember 2005

Anonymous schrieb:
sascha schrieb:

aber erreicht damit gar nichts.

Zum Vergrößern anklicken....

Doch, er leert sein Konto. Bot-Netze zu mieten ist nicht ganz billig

Zum Vergrößern anklicken....

nunja ... oder der die das hat sich sein eigenes bot-netzwerk aufgebaut .... was dann?

Kann sein, aber eher unwahrscheinlich.
Wir können beides abwarten.

lyrikologiker · 29 Dezember 2005

ich glaub ich sollt auch mal das autologin aktivieren :oops:

dvill · 29 Dezember 2005

Gast schrieb:
nunja ... oder der die das hat sich sein eigenes bot-netzwerk aufgebaut .... was dann?

Dann kann er es sich jetzt an den Hut stecken.

Ein Bot, der sich zu erkennen gegeben hat, ist dann für den gleichen Zweck wertlos, weil ausgefiltert. Wenn Provider die Bot-IP-Listen austauschen, sind sie insgesamt wertlos.

Dietmar Vill

technofreak · 29 Dezember 2005

Heiko schrieb:
tuxedo schrieb:

P.S.: Bezüglich DDos: Durchhalten! Wir ... ähmmm Ihr schafft die früher oder später.

Zum Vergrößern anklicken....

Wir.
Wir sind eine Community und genau das macht uns stark.
Mit mir oder dem Team allein wäre niemand auf die Idee gekommen, einen DoS zu starten. Gemeinsam sind wir stark.

Ohne das überragende Fachwissen und den Einsatz von Heiko und das unerschütterliche gegenseitige
Vertrauen und den Zusammenhalt des Teams gäbe es dieses Forum nicht mehr. Viele haben schon auf
unterschiedlichste Weise versucht CB/DS und das gemeinsame Forum zu torpedieren oder eliminieren.
Alle sind gescheitert.

tf

advisor · 29 Dezember 2005

drboe schrieb:
Man nutzt einfach nur das falsche System zur falschen Zeit am falschen Ort.

Wobei auch infizierte Linux-Kisten eine gewisse Rolle in den Botnetzen spielen:

Insbesondere als IRC-Server, und somit als Kernstück jeden Botnetzes fungieren zumeist kompromittierte Linux-Server, auf denen ein IRC-Server aufgesetzt wird.

http://cert.uni-stuttgart.de/doc/netsec/bots.php

Heiko · 29 Dezember 2005

Ich hab etliche Rechner gescannt, da war keine einzige Linux-Kiste dabei.

Avor · 29 Dezember 2005

TF schrieb

Viele haben schon auf
unterschiedlichste Weise versucht CB/DS und das gemeinsame Forum zu torpedieren oder eliminieren.
Alle sind gescheitert.

Eigentlich fast schon zu bedauern diese armseligen Kreaturen. Statt sich offen zu zeigen und um ihr Anliegen zu streiten verstecken sie sich in der Anonyminität des Internets um zerstören zu können.

Aber Kriminellen ist jedes Mittel recht, auch wenn nicht nur eine ungeliebte Seite, sondern das gesamte Internet in seinem Ruf geschädigt wird. Aber sie werden entdeckt werden und müssen dann auch hoffenhtlich bezahlen.

Gruß Avor

Sirius · 29 Dezember 2005

Heiko schrieb:
Ich hab etliche Rechner gescannt, da war keine einzige Linux-Kiste dabei.

Vermutlich hast du nur die Drohnen gescannt.
Die Agents (welche die Drohnen steuern), können durchaus Linux-Kisten sein.

Per HTTP und veralteter Programme läßt sich unter Linux relativ einfach ein Steuerscript einschleusen: http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=7346215&forum_id=73119

Anonymous · 29 Dezember 2005

Sirius schrieb:
Heiko schrieb:

Ich hab etliche Rechner gescannt, da war keine einzige Linux-Kiste dabei.

Zum Vergrößern anklicken....

Vermutlich hast du nur die Drohnen gescannt.
Die Agents (welche die Drohnen steuern), können durchaus Linux-Kisten sein.

Wo du das schon so schön ausführst, hast du sicher auch eine Idee, wie er die scannen soll, die senden kein einziges Paket an deinen Rechner. Überhaupt, wieso sollte der eigentliche Angreifer noch Agents zwischenschalten, die auch noch gerootete Linux Server sein sollen? Das hat keinen Sinn.

advisor · 29 Dezember 2005

Sirius schrieb:
Vermutlich hast du nur die Drohnen gescannt.
Die Agents (welche die Drohnen steuern), können durchaus Linux-Kisten sein.

Das denke ich auch. Ich bin in den letzten Tagen vermehrt auf offenkundig gehackte Linux Server gestossen. Auf den Webseiten stand nur noch zu lesen:

FUCK YOU 0X1FE AND ALL PEOPLE IN UR CHANNEL FUCK BOTS, FUCK BOXTALK HOPE ALL U LAMERS GET BUSTED SOON I OWN U ALL!!!

technofreak · 29 Dezember 2005

Sirius schrieb:
Vermutlich hast du nur die Drohnen gescannt.
Die Agents (welche die Drohnen steuern), können durchaus Linux-Kisten sein.

Wie das gemanagt wird, ist nur von akademischen Interesse oder für 22C3-Teilnehmer
http://www.heise.de/newsticker/meldung/67809
für die aktuelle Abwehrstrategie ist es ohne jede Bedeutung.

tf

Heiko · 29 Dezember 2005

Sirius schrieb:
Heiko schrieb:

Ich hab etliche Rechner gescannt, da war keine einzige Linux-Kiste dabei.

Zum Vergrößern anklicken....

Vermutlich hast du nur die Drohnen gescannt.
Die Agents (welche die Drohnen steuern), können durchaus Linux-Kisten sein.

Das ist richtig.
Aber ohne die Drohnen als (mehr oder minder) freiwillige Helfer, gäbs auch kein DoS.

Sirius · 29 Dezember 2005

Mein Posting zielte eigentlich mehr in die Richtung, dass das Scan-Ergebnis der Drohnen ein gewisser Auswahleffekt ist.
(Das BS per Scan zu ermitteln ist sowieso relativ unsicher: per 'nmap' o.ä.)

Alle Drohnen sind i.d.R. Windows-Rechner (weil derzeit nur diese von Würmern befallen werden). Die Agents (d.h. zwischengeschaltete Master-Computer) können auch gekaperte Linux-Rechner sein.

Es werden ürigens immer Agents zwischengeschaltet, da sonst die Drohnen direkten Kontakt mit dem "Botnet-Betreiber" aufnehmen müssten. Die Gefahr einer Entdeckung wäre hierbei viel zu hoch: Struktur eines Bot-Nets

BTW: Die Drohnen eines Phishing-Botnets tarnen sich meisten als Apache/Linux-Server.

DoS mal wieder - DoS "Arnold"

Sven Udo

Frisch registriert

Wembley

Tyrolean

sascha

Administrator

dvill

Aktiv

Heiko

root

Der Jurist

Anonymous

Heiko

root

lyrikologiker

Frisch registriert

dvill

Aktiv

technofreak

Forenveteran

advisor

Frisch registriert

Heiko

root

Avor

Foren-Poet

Sirius

Frisch registriert

Anonymous

advisor

Frisch registriert

technofreak

Forenveteran

Heiko

root

Sirius

Frisch registriert