DoS mal wieder - DoS "Arnold"

[OskarMaria]

Technofreak - Du musst mich zum technischen Hintergrund nicht belehren, da weiß ich ganz gut Bescheid. Deine Antwort ist allerdings wenig zufriedenstellend.

Denn in allen Pressemitteilungen wurde von einem Angriff auf computerbetrug.de, dialerschutz.de, antispam & gulli geredet. Der gemeinsam zurückgeschlagen wurde. Mit Hilfe jener externen Systemadmistratoren, die bei Gulli die Wartung der Webserver übernommen haben. Auf deren Unterlagen beziehe ich mich.

So wie jetzt von Dir dargestellt, würde es sich um mehrere autonome Angriffe auf jener Webadressen handeln. Das wäre völlig neu.

OM

 

[technofreak]

Der gemeinsam zurückgeschlagen wurde.

gemeinsam bezieht sich auf die Zusammenarbeit und Strategie. Keiner der Admins außer CB/DS hat irgendeinen Zugriff
auf die Server der anderen. Abgleiche über IPs haben nicht stattgefunden.

Außerdem werden wir hier garantiert nicht alles veröffentlichen, was intern bekannt ist.
Wenn du mehr wissen willst, wende dich an Heiko per PN , vielleicht stillt der deinen Wissensdurst

tf

 

[exe]

Abgleiche über IPs haben nicht stattgefunden.

Wäre vielleicht interessant gewesen, kann man aber sicher im nachhinein auch noch mal machen. Ich habe übrigends auch die Adressliste gelesen die hier angesprochen wurde und war ebenfalls über die zahlreichen Adressen aus dem Telekomsubnetz erstaunt.

Selbst wenn ein Zombie ermittelt werden könnte, auf dem ein Backdoortrojaner installiert wurde, so what?

Wie wäre es mit einem Abuse an den Provider, damit der die Kisten abklemmen / Benutzer informieren kann? Ist sicher nicht einfach bei der Menge an Adressen, sollte aber im Rahmen einer Nachbereitung auf jeden Fall überlegt werden, um wenigstens diese Kisten vom Netz zu bekommen.

 

[Heiko]

Wir haben die Angriffsmuster verglichen und es handelte sich weitgehend um exakt die gleichen Pakete. Die Muster waren identisch. Die Angriffe begannen zur gleichen Zeit und endeten ziemlich zur gleichen Zeit.
Bei uns kam dann noch ein SYN-Flood dazu, der aber gulli.com nicht heimsuchte.
Es waren einfach zu viele Parallelen für Zufall.

Ich habe eine Liste mit 10.700 Rechner hier. Die habe ich grade mal auf offensichtliche deutsche IP gescannt. Das waren knapp 400.
Bei AOL weiß man aber z.B. eh nicht so recht wo die grade herkommen.

 

[Anonymous]

DD0S-Attake

Ich habe mir mal die zur DDoS-Attacke veröffentlichten Unterlagen angeschaut.

Ich habe mich auch mal ein wenig mit dem Angriff, den Folgen und Verlautbarungen befasst.
Das nicht alles offen gesagt weden kann, ist klar: "Feind liest mit"!

Aber was so als Folgen beschrieben wird, ist auch unglaubwürdig.
Zumindest, bei einem der Angegriffenen, konnte man feststellen, dass während des DDoS-Angriffs, die IP auf "localhost" 127.'.'.' stand.
Das bedeutet: Die Seite ist nicht aufrufbar.
ABER, dem Server kann mit dieser - simplen - Einstellung auch nichts passieren!

 

[dvill]

Re: DD0S-Attake

Zumindest, bei einem der Angegriffenen, konnte man feststellen, dass während des DDoS-Angriffs, die IP auf "localhost" 127.'.'.' stand.

Man konnte das sogar lesen von den Admins bei Antispam, dass sie diese Einstellung für den DNS-Dienst vorgenommen hatte. Ich habe mir die Stellen jedoch nicht gemerkt. Das Thema ist bekannt.

Viel helfen wird das nicht. Der Server ist ab dann für alle nicht erreichbar. Also genau das, was die Angreifer wollen.

Dieses Forum war immer - bis auf Wartungspausen - über den DNS-Eintrag findbar und nutzbar. Eine wirksame Attacke verschwendet keine Zeit für DNS-Auflösungen. Die läuft direkt auf die bekannten IP-Adressen.

Das passt alles, wenn man es versteht. Noch was?

Dietmar Vill

 

[advisor]

Enttarnung eines Botnetzes und seiner Betreiber:
http://www.computerwoche.de/knowledge_center/it_security/557828/

 

[drboe]

Re: DD0S-Attake

Das passt alles, wenn man es versteht. Noch was?

Ja! Was soll eigentlich dieser rüde Ton? Was heute gegen computerbetrug, dialerschutz, antispam und gulli in Stellung gebracht wird, wird morgen gegen andere Server mobilisiert. Dabei ist Öffentlichkeit noch immer eine der wirksamsten Waffen gegen die Netz-Gangster. Und das gilt ganz allgemein in Computer-Security-Fragen. Es ist daher völlig kontraproduktiv, bei ernsthaften, interessanten und berechtigten Fragen, deren Klärung vielen Serverbetreibern nützen könnte, herumzupöbeln. Es ist sicher das gute Recht des Betreiberteams derzeit zu schweigen. Auf Dauer halte ich das für falsch. Im Nachgang sollte man den Angriff schon dokumentieren. Fachlich ist man hier ja eindeutig gut aufgestellt, denn die Abwehr funktioniert m. E. ordentlich, während antispam z. B. ziemlich hin ist. Dass heisst aber nicht, dass weitere Erkenntnisse aus einem Dialog nicht wertvoll sind, auch für die Betreiber hier und damit indirekt für die Community und letzlich das Web. Es gibt daher überhaupt keine Veranlassung, interessierte Fragesteller anzugiften. Zumal deren Sympathie für das hiesige Projekt m. E. außer Frage steht.

M. Boettcher

 

[Anonymous]

Der einzige der hier pausenlos rumgiftet ist der "Vorschreiber" der alle Weisheit dieser Welt für sich gepachtet hat.
als Moderator dieses Forums ist er jedenfalls nicht eingetragen

PS: zuviel Magensäure?

 

[Heiko]

Jetzt bleibt doch mal alle ruhig.
Es tut keine Not, sich gegenseitig anzugiften.

Zur IP-Geschichte:
Antispam hat offensichtlich den DNS-Eintrag auf die loopback-Adresse gesetzt. Ich sehe das in dem Fall als Notlösung weil sie nicht nahe genug an den Server kamen um den Angriff analysieren zu können.
Hätte zwar funktionieren können, in dem vorliegenden Fall ging der Angriff aber definitiv gegen die IP-Adresse direkt. Eine Änderung im DNS macht da wenig bis überhaupt keinen Sinn.

Zudem: den Server administrativ nicht erreichbar machen ist ungefähr so, als ob man dem vor einem stehenden Räuber die Pistole entreißt um sich dann selbst eine Kugel in den Kopf zu jagen. Just my $0.02...

 

[Stalker2002]

Zudem: den Server administrativ nicht erreichbar machen ist ungefähr so, als ob man dem vor einem stehenden Räuber die Pistole entreißt um sich dann selbst eine Kugel in den Kopf zu jagen. Just my $0.02...

Mit dem umbiegen der Domain auf localhost hat sich der Admin aber nicht ausgesperrt. Das anfängliche "aussperren" ist durch einen randalierenden "Selbstverteidigungsmechanismus" des Servers passiert. Die derzeitige Nicht-Erreichbarkeit hat aber andere Gründe.

MfG
L.
(Antispam-Moderator)

 

[OskarMaria]

Die Attacken schwankten bis heute in ihrer Stärke, über die Herkunft haben sich einige Anhaltspunkte ergeben, die jedoch naturgemäß nur wenige Rückschlüsse über die steuernden Hintermänner zulassen. Die angreifenden Rechner stehen überwiegend in Osteuropa, ihre Anzahl liegt wie anfangs vermutet im fünfstelligen Bereich.

Über die Herkunft des Angriffs haben sich in den vergangenen Tagen einige Anhaltspunkte ergeben, die jedoch naturgemäß nur wenige Rückschlüsse über die steuernden Hintermänner zulassen. Die angreifenden Rechner stehen überwiegend in Osteuropa, ihre Anzahl liegt wie anfangs vermutet im fünfstelligen Bereich. Die Attacke hatte jedoch auch positive Aspekte. So wurden sowohl bei Gulli.com als auch bei Computerbetrug.de und Dialerschutz.de wertvolle Erkenntnisse gewonnen, die künftige Angriffe dieser Art einfacher bewältigen lassen.

Die Stellungnahmen von Gulli & Dialerschutz waren ziemlich gleichlautend. Überprüft man aber die veröffentlichten Unterlagen der Gulli-Administration, dann stimmen wesentliche Teile nicht.
- Es handelte sich um ein wesentlich kleineres Netz - nicht im fünfstelligen Bereich, sondern im unteren vierstelligen Bereich.
- Es war kein Angriff aus dem "Osten", die größte IP-Gruppe stellte Deutschland, der Rest verteilte sich weltweit.

Ich halte solche Bot-Attacken für kriminelle Angriffe mit dem Ziel die freie Meinunsäußerung zu unterdrücken. Nichts legitimiert solches Vorgehen. Doch erwarte ich auch, dass die veröffentlichten Fakten stimmen und nicht so aufgeblasen werden.

Gruß OskarMaria

 

[Anonymous]

Doch erwarte ich auch, dass die veröffentlichten Fakten stimmen und nicht so aufgeblasen werden.

Ach du liebe Güte, ein Korinthenzähler, so was ist außerordentlich sinnvoll

:crazy:

 

[Anonymous]

Es handelte sich um ein wesentlich kleineres Netz - nicht im fünfstelligen Bereich, sondern im unteren vierstelligen Bereich.

Sollte man nicht langsam misstrauisch werden, wenn jemand die Details dieses Angriffs so gut kennt? Just my 2 Cents...

JB

 

[KatzenHai]

Kaum.

Wäre OskarMaria der Täter, hätte er Interesse daran, dass die Fakten (Eitel, eitel) aufgeblasen werden - genau das wünscht er aber nicht.

[Nachedit: Allerdings ist die Frage schon berechtigt, woher die Insiderinfos stammen ... ]

Aber es kann ja wild weiter spekuliert werden. Hatte schon jemand Osama Bin Laden erwähnt?

 

[Reducal]

Solche Läden sind nix für mich. :scherzkeks:

 

[haudraufundschluss]

Doch erwarte ich auch, dass die veröffentlichten Fakten stimmen und nicht so aufgeblasen werden.

Wie wär´s mit sorgfältigem Lesen?

http://forum.computerbetrug.de/viewtopic.php?p=132017#132017

 

[Anonymous]

Die derzeitige Nicht-Erreichbarkeit hat aber andere Gründe.

Post aus Hamburg?

 

[Stalker2002]

Die derzeitige Nicht-Erreichbarkeit hat aber andere Gründe.

Post aus Hamburg?

Nein. Keine Post aus Hamburg und auch nichts Vergleichbares aus anderen Städten.

MfG
L.

 

[dvill]

Am Ende war der Angriff im 5-stelligen Bereich bestellt und bezahlt worden und nun gibt es die Mängelrüge, weil das Forum noch läuft. Wenn der Besteller nun nachweisen könnte, dass doch nur im unteren 4-stelligen Bereich angegriffen wurde, könnte er vielleicht eine Rückforderung begründen.

Eventuell sollte der Auftraggeber einfach mal die Betreiber hier nach den Logfiles für die Erfolgskontrolle fragen.

Dietmar Vill