DoS mal wieder - DoS "Arnold"

[Stalker2002]

Wenn es wenigstens mal gelingen würde, einer angreifenden Drohne physikalisch habhaft zu werden, damit man mal genau schauen kann, welcher Schädling mit welchen Parameter-Sets den Angriff fährt.

Das würde wenigstens einen Ansatzpunkt ergeben, die Befehlskette zwischen Agent und Bot zu stören/abzuschneiden...

MfG
L.

 

[Sirius]

Kein Problem! Installierst du Windows von Original-CD, gehst Online und wartest...

...will heißen: Man muss eigentlich nur die aktuellen Würmer "machen lassen" (z.B. auf einem virtuellen PC - "VMware" o.ä.), um zu sehen was passiert.

 

[Heiko]

Mein Posting zielte eigentlich mehr in die Richtung, dass das Scan-Ergebnis der Drohnen ein gewisser Auswahleffekt ist.
(Das BS per Scan zu ermitteln ist sowieso relativ unsicher: per 'nmap' o.ä.)

Das kommt darauf an.
Manche Port-/Dienstkombinationen gibt es nur auf Windows-Rechnern. Da ist die Aussage schon sehr zuverlässig.

 

[dotshead]

antispam ist aus diversen Gründen momentan nicht erreichbar. Dafür wurde eine Usenet-group eingerichtet.

http://groups.google.com/group/antispam-de

Grüße aus ME

Stephan
Antispam e.V.

 

[Sirius]

Manche Port-/Dienstkombinationen gibt es nur auf Windows-Rechnern. Da ist die Aussage schon sehr zuverlässig.

Klar - sofern die entsprechenden Ports offen sind.

Die allermeisten gekaperten Rechner sind ohnehin Windows-Systeme. Bemerkenswert ist allerdings, dass sich Phishing-Server auf Windows-Rechnern als Linux-Systeme tarnen.

Umgekehrt brauchen gekaperte Linux-Rechner nur ein paar Windows-typische Ports (445, 568/9, 1433/4...) zu öffnen, und schon erscheinen sie als Windows-Rechner. Das kann möglicherweise Teil eines Stealth-Mechanismus sein.

 

[Anonymous]

...will heißen: Man muss eigentlich nur die aktuellen Würmer "machen lassen" (z.B. auf einem virtuellen PC - "VMware" o.ä.), um zu sehen was passiert.

Clevere Würmer merken mittlerweile, wenn man sie in einer VMware-Testumgebung laufen lassen will und verhalten sich dann anders als normalerweise.

 

[Heiko]

Manche Port-/Dienstkombinationen gibt es nur auf Windows-Rechnern. Da ist die Aussage schon sehr zuverlässig.

Klar - sofern die entsprechenden Ports offen sind.

Die allermeisten gekaperten Rechner sind ohnehin Windows-Systeme. Bemerkenswert ist allerdings, dass sich Phishing-Server auf Windows-Rechnern als Linux-Systeme tarnen.

Umgekehrt brauchen gekaperte Linux-Rechner nur ein paar Windows-typische Ports (445, 568/9, 1433/4...) zu öffnen, und schon erscheinen sie als Windows-Rechner. Das kann möglicherweise Teil eines Stealth-Mechanismus sein.

Wer, der eh schon einen Trojaner drauf hat, schließt Ports?

Zudem gehts nicht allein um die offenen Ports. Interessant sind auch die Dienstkennungen dahinter.

 

[lyrikologiker]

...will heißen: Man muss eigentlich nur die aktuellen Würmer "machen lassen" (z.B. auf einem virtuellen PC - "VMware" o.ä.), um zu sehen was passiert.

Clevere Würmer merken mittlerweile, wenn man sie in einer VMware-Testumgebung laufen lassen will und verhalten sich dann anders als normalerweise.

sieht fast so aus ... ich hab mir extra eine vm gemacht (letzte woche) mit der ich nur jeden erdenklichen blödsinn anstelle ... aber nüscht! ... alles ruhig



... gut dann werd ich mal aktiv würmer installieren! :lol: :lol:


ooooooooh da gibts ja schon fertige honeypot-software

 

[Heiko]

So, wir sind wieder online.
Ich gehe mal davon aus, dass man uns jetzt endgültig kreuzweise kann.
Ich habe im Hintergrund zusammen mit dem Team von Gulli einige Änderungen durchgeführt, die uns online halten sollten.

 

[Stalker2002]

Ich habe im Hintergrund zusammen mit dem Team von Gulli einige Änderungen durchgeführt, die uns online halten sollten.

:thumb: :thumb:

MfG
L.

 

[Anonymous]

:respekt:

 

[Anonymous]

Das hier hatte ich heute als Mail von einem Paid4 Dienst - vielleicht ist es von Interesse. Wenn nicht dann löscht es

Wie Ihr ja alle bemerkt habt, war der Server abgeschaltet und wurde
kurz
nachdem er wieder hochgebracht wurde erneut abgeschaltet.

Ich habe mir erlaubt, die Fachbegriffe direkt mit WikiPedia zu
verlinken, damit auch die UserInnen, die weniger technisch versiert
sind, den Text verstehen können.

Der MR-Server war laut Aussage vom Hoster an einer DDoS-Attacke
beteiligt.
http://de.wikipedia.org/wiki/DDoS

Megarausch hat mit DNS-Anfragen einen Server in Amerika attackiert.
http://de.wikipedia.org/wiki/Domain_Name_System

Wir haben daraufhin sowohl die PHP-Version als auch das
Firewall-Script gewechselt. Trotzdem kam es wiederum zu einer
angeblichen Übernahme.
http://de.wikipedia.org/wiki/PHP

Nach dem 2. Abschalten haben wir die Logs analysiert und auch den
Server
untersucht, konnten aber keine Unregelmässigkeiten entdecken. Bis jetzt
gehen wir von einer IP-Spoofing Attacke aus.
http://de.wikipedia.org/wiki/IP-Spoofing

Megarausch befindet sich jetzt auf einem anderen Server, es ist ein
ganz
anderes System im Einsatz und wir haben noch mehr Sicherheitsmassnahmen
ergriffen. Dadurch kann es in einigen Fällen dazu kommen, dass Ihr mit
einem 500-Error abgewiesen werdet, wir arbeiten noch am Feinabgleich.

Kaum, dass MR wieder erreichbar war, wurde sofort wieder von den
bereits
bekannten IP-Adressen attackiert. Wir haben jetzt den Server so
abgesichert, dass IPs, die
massiv anfragen, geblockt werden.
http://de.wikipedia.org/wiki/Internet_Protocol

Bis jetzt scheinen unsere Massnahmen gegriffen zu haben, die Logs sind
soweit sauber.

Zur Zeit läuft eine Welle DDoS-Attacken weltweit. Überwiegend wird sie
von Servern aus Korea, China, Russland, Tschechien und den USA
gesteuert. Einige deutsche Seiten sind ebenfalls betroffen. Bis jetzt
ist noch kein Ende der Welle in Sicht, nach einem kurzen Abflauen am
Heiligabend hat sie am 1. Weihnachtstag erneut voll eingesetzt. Es wird
dazu scheinbar auf ein BotNet zurückgegriffen und auch einige
Sicherheitslücken in Forensoftware wie php2BB ausgenutzt, um Server zu
übernehmen und von dort aus Bots zu verbreiten.
http://de.wikipedia.org/wiki/Botnetz

Einmal mehr sei hier der Hinweis erlaubt, dass Ihr regelmässig Eure
Windows-Rechner nach Viren und Würmern scannen solltet, vielleicht seid
Ihr ohne es zu wissen Teil eines solchen Botnets.

Wir hoffen jedenfalls jetzt, dass wir ausreichend gewappnet sind gegen
den nächsten Angriff und harren der Dinge, die da kommen sollen.

 

[technofreak]

http://www.heise.de/newsticker/meldung/67846

Verbraucherschutz-Sites erneut von DDoS-Attacke lahmgelegt

So, wir sind wieder online.
Ich gehe mal davon aus, dass man uns jetzt endgültig kreuzweise kann.
Ich habe im Hintergrund zusammen mit dem Team von Gulli einige Änderungen durchgeführt, die uns online halten sollten.

ich zitiere mich selber :
http://forum.computerbetrug.de/viewtopic.php?p=131061#131061

tf

 

[Axiom]

Ihr seid super !!

Und wieder sind beträchtliche Energien von Spammerleinchen und Gelder in Botnetze geflossen. Mit welchen Erfolg?....weitere Popularitätssteigerung des Forums und noch eingeschnapptere Verursacher

Ähh, wo war noch mal der Zweck der DoS Attacke ? *frechgrins*

 

[Telekomunikacja]

http://forum.computerbetrug.de/viewtopic.php?p=131061#131061

Ohne jahreszeitbedingte oder tagesabhängige Sentimentalität... und auch sonst in vollem Ernst:

Herzlichen Dank und höchsten Respekt all jenen, die das Forum am Laufen halten!

:bussi:

 

[Sirius]

Wer steckt hinter der Attacke?

Hier eine paar interessante Threads zum Thema DDoS:
http://www.heise.de/newsticker/foren/go.shtml?read=1&msg_id=9556177&forum_id=90041
http://www.recht.de/phpbb/viewtopic.php?p=204263

Falls "The Brain" hinter den DDoS-Attacken stecken sollte, ist es seltsam, dass Gulli.com attackiert wird, aber nicht GTI-Verbraucherschutz-Forum.de
(Mein Favorit ist ein anderer - einschlägig bekannter - ... )


BTW: Derzeit läuft das Forum richtig rund! Super gemacht!

 

[Captain Picard]

http://www.gulli.com/news/22c3-ddos-in-theorie-und-2005-12-30/

22C3: DDoS in Theorie und Praxis

Angriffe weitgehend unter Kontrolle

cp

 

[dvill]

Am Ende wird ein sehr positives Ergebnis stehen.

Wenn ein guter Admin hier den ganz praktischen Nachweis erbringt, dass bestellte DDoS-Attacken nicht geeignet sind, die freie Meinungsäußerung zu behindern, haben wir alle was davon.

Die hier entwickelten und praktisch erprobten Techniken werden sich allgemein als nützlich erweisen und den Einfluss der kriminellen Machenschaften im Internet schmälern.

Dietmar Vill

 

[tuxedo]

Re: Wer steckt hinter der Attacke?

(Mein Favorit ist ein anderer - einschlägig bekannter - ... )

Erwähnenswert in diesem Zusammenhang ist die Tatsache, dass 6md.de auch nicht mehr erreichbar ist.

BTW: Derzeit läuft das Forum richtig rund! Super gemacht!

Absolut Spitze. :thumb:

Das zeigt mal wieder, dass eine organisierte DDOS-Attacke nichts anderes ist als reine Verzweiflung der Auftraggeber. Der entstandene Schaden ist nur von temporärer Dauer und das Ziel der DDOS-Attacke durch die Medien danach um so bekannter.

Oder sagen wir es so:
Da die Attacke nicht die gewünschte langanhaltene Wirkung gezeigt hat und viel Geld in ein Bot-Netz verpulvert wurde, sollte nun derjenige, der seinem Boss zur DDOS-Attacke geraten hat, darauf achten, dass er nicht plötzlich mit einem Betonklotz an den Füßen und unter Wasser aufwacht. :holy:

 

[Wembley]

Re: Wer steckt hinter der Attacke?

Oder sagen wir es so:
Da die Attacke nicht die gewünschte langanhaltene Wirkung gezeigt hat und viel Geld in ein Bot-Netz verpulvert wurde

Ja, und von der Steuer wird er das Geld auch kaum abschreiben können, der Arme. :bigcry:

Gruß
Wembley