bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

[Schan-user] Telekom will mein Business Anschuss in DBG für Mensa schlis

To: 'Helmut Hullen' <Hullen@xxxxxxxxxxx>
Subject: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa schlissen...
From: "Wilczak, Miroslaw" <Miroslaw.Wilczak@xxxxxxxxxxxx>
Date: Tue, 23 Jul 2013 11:50:42 +0000
Hallo Helmut,

könnte ein Arktur 4.0RC6  so eine Verwirrung bei Telekom stiften?
Hätte jemand auch solche Vorfälle?
In andrem Schreiben von Telekom habe ich eine Nachricht über Spam Versand durch 
diese Leitung erfahren.
Ich habe mit Firewall zuerst den Port 25 auf allen Servern für FORWARD  
blockiert, bis auf den getesteten Server von "Time for Kids"

Viele Grüße
Mirek




Benutzerkennung 1TBVP7GATMTU            Ermittelte Vorfälle   1                 
   Auszug 
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM



Hier ein Link mit weitergehenden Informationen.

https:// www.botfrei.de und http://blog.botfrei.de

MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
IP-Adresse: 79.246.56.120
Datum/Uhrzeit des Vorfalls: 14 Jul 2013 12:42:43 -0000, entspricht deutscher 
Zeit: 14.07.2013, 14:42:43 (MESZ)
in den letzten 14 Tagen ermittelte Vorfaelle mit gleicher Kennung: 1


Subject: Aus Web-Meldung extrahierter Vorgang



Extrahierter Vorgang.
IP: 79.246.56.120
Timestamp: 14 Jul 2013 12:42:43 -0000

Dieser Vorgang wurde von abuse@xxxxxxxxxxx extrahiert
Offener rekursiver DNS-Resolver, kann ggf. fuer dDOS-Attacken missbraucht werden




Zeile in der Meldung:
2013-07-14 12:42:43     79.246.56.120   3320    openresolvers           DE      
        
2013-07-15 02:37:03     openresolvers   ripencc DE      2472120



Durch eine extere Organisation wurde festgestellt, dass an Ihrem Anschluss ein 
offener rekursiver Resolver vorhanden ist.

Der DNS Resolver dienst zu Auflösung von Domännamen auf die entsprechende IP 
Adresse. 

Wir müssen auf Beschwerden reagieren, um andere Kunden und auch Sie selbst zu 
schützen. 

Ein DNS Resolver kann für Angriffe auf andere Rechner/ Server missbraucht 
werden.


Noch eine Erklärung vom Telekom:
> Sehr geehrte Damen und Herren,
>
> die IP-Zeitstempel welche Ihrem Account zugerechnet werden können
> stammen von der Shadowserver Foundation. Dies ist eine Institution die
> sich mit dem Aufspüren von Bot-Netzen und deren Beteiligten
> Rechnersysteme befasst.
>
> Die Datenlieferung von Shadowserver können wir umstandslos als valide
> und unzweifelhaft ansehen. http://www.shadowserver.org/wiki/
> Wir nutzen hier die Mechanismen und das Wissen dieser Organisation um
> unsere Kunden darauf hinzuweisen, dass Ihre Rechnersysteme als sog.
> Zombirechner in einem Botnetz, meist ohne Wissen des Administrators,
> tätig sind.
>
> Zur Präzisierung, was passiert ist: Über Ihren Internetzugang wurde
> zum genannten Zeitpunkt ein sogenanntes "Sinkhole" kontaktiert. Sollen
> Sie nicht wissen, was das eigentlich ist, lesen Sie bitte die nächsten
> vier Absätze, denn dazu müssen wir etwas weiter ausholen. Wenn Sie es
> schon wissen oder falls Ihnen dieses eher technische Thema rätselhaft
> sein sollte, dann fahren Sie bitte danach fort.
> ------------------------------------------------------------------------
>
> "Moderne" Schadsoftware funktioniert einen Rechner in einen "Bot" um,
> den der Angreifer dann direkt (z.B. per IRC) oder indirekt (per HTTP)
> steuern kann. HTTP ist ein sogenanntes "zustandsloses Protokoll" (bei
> Interesse siehe unter http://de.wikipedia.org/wiki/Zustandslos).
>
> Der Angreifer kann bei HTTP-Steuerung daher nicht von sich aus eine
> Verbindung zu den Bots aufbauen, sondern die Schadsoftware muss sich
> regelmäßig zu einem Webserver verbinden und sich die "Aufgabenliste"
> abholen. (Spam versenden, an DoS-Attacke teilnehmen, Bankingdaten
> stehlen u.a.m.) Der Angreifer verkauft nämlich die Ressourcen "seines"
> Botnetzes an andere Kriminelle. Damit die Bots einen Webserver
> kontaktieren können, benötigen Sie mindestens einen URL, also eine
> Internet-Adresse wie z.B. http://www.verbrecher.invalid/bot/todolist
>
> Dies wiederum setzt voraus, dass der Angreifer die Domäne (hier:
> verbrecher.invalid) besitzt oder einen (gehackten) Zugang zu dem
> Webserver hat. Manchmal gelingt es den "guten Jungs", solcherart
> missbrauchte Domänen in ihren Besitz zu bringen. Sie setzen dann
> selbst einen Webserver auf - das ist dann das "Sinkhole" - , der unter
> dieser Adresse erreichbar ist, nur geben sie den Bots natürlich keine
> verbrecherischen Aufgaben, sondern melden jeden Zugriff ohne
> HTTP-Referer (*) an die Abuse-Abteilung des für die IP-Adresse
> zuständigen Providers.
>
> (*) Wenn man in einem Browser auf einer Webseite einen Link zu einem
> anderen Server anklickt, dann wird ein Referer (nämlich die Adresse
> der Seite von der man kommt) übermittelt. Solche Zugriffe werden
> nicht erfasst. Details siehe http://de.wikipedia.org/wiki/Referer
>
> Von unserer Seite passiert folgendes:
>
> ------------------------------------------------------------------------
>
> Anhand der gemeldeten IP-Adresse und des exakten Zeitpunktes des
> Zugriffs können wir für einen begrenzten Zeitraum (sieben Tage) den
> missbrauchten Internetzugang ermitteln und schreiben den Inhaber
> dieses Zugangs an. Wichtig: Uns liegen keinerlei Informationen darüber
> vor, welcher Rechner "hinter" Ihrem Router das Problem aufweist.
>
> Beziehen Sie bei Ihren Überlegungen aber bitte folgendes mit ein: Es
> ist möglich, dass das Problem durch einen Dritten verursacht wurde.
> Wenn zu dem genannten Zeitpunkt ein Gast berechtigten Zugang zu Ihrem
> WLAN/LAN (und damit Ihrem Internetzugang) hatte, kann es natürlich
> sein, dass die Aktion die zu der Beschwerde führte, von seinem Rechner
> ausging. Da die lokalen IP-Adressen nicht ins Internet gelangen, ist
> eine Identifikation des Rechners von "draußen" in fast allen Fällen
> unmöglich.
>
> Oder Sie betreiben ein WLAN und dieses ist womöglich nicht oder nur
> unzureichend gesichert. Ein offenes WLAN kann durch Nachbarn auch
> völlig unabsichtlich mitbenutzt werden, da sich Windows gern das
> nächstbeste WLAN "greift", zu dem es eine Verbindung aufbauen kann. Es
> ist erforderlich, das WLAN mindestens mit dem
> Verschlüsselungsverfahren WPA, besser WPA2, zu sichern (WEP ist
> unsicher!). Auch der Zugang zur Routerkonfiguration muss mit einem
> Passwort gesichert werden.
>
> Es liegen erhebliche Verdachtsmomente dafür vor, dass sich auf Ihrem
> Rechner oder einem Ihrer Rechner Schadsoftware befindet. Bitte prüfen
> Sie *alle* Rechner in Ihrem Netzwerk! Installieren Sie bitte die
> neusten Updates Ihres Virenscanners und prüfen Sie Ihr System.
>
> Um die Chance zu erhöhen, auch weniger verbreitete Manipulationen zu
> finden, empfehlen wir Ihnen, zusätzlich das "Tool zum Entfernen
> bösartiger Software" von Microsoft zu laden und auszuführen. Unter
> http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx
>
> finden Sie dieses zum Download vor.
>
> Möglicherweise können Sie mit dem Scanner von Malwarebytes, zu finden
> unter http://www.malwarebytes.org (blauer Download-Button links auf
> der Seite für die kostenlose Version) und GMER http://www.gmer.net
> ("DOWNLOAD EXE"-Button unten auf der Seite) weitere Schadsoftware
> aufspüren, die aus dem Internet nachgeladen wurde.
>
> Aber sobald eine Schadsoftware auf einem Rechner installiert ist,
> hängt es mehr oder weniger nur noch vom Geschick des Programmierers
> der Schadsoftware ab, ob sie von einer beliebigen Schutzsoftware, die
> auch auf dem "infizierten" System läuft, überhaupt noch entdeckt
> werden kann.
>
> Mit freundlichen Grüßen
> Technische Kundenberatung
> Support T-DSL Business



_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 23.07.2013