bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa sc

To: schan-user@xxxxxxxxxxxxxxxxx
Subject: Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa schlissen...
From: hhullen@xxxxxxxxxxxx (Helmut Hullen)
Date: 23 Jul 2013 14:24:00 +0200
Hallo, Mirek,

Du meintest am 23.07.13:

> könnte ein Arktur 4.0RC6  so eine Verwirrung bei Telekom stiften?

Vielleicht ...
(etwas pingeliger: noch verstehe ich überhaupt nicht, was dort passiert  
sein könnte).

> Hätte jemand auch solche Vorfälle?
> In andrem Schreiben von Telekom habe ich eine Nachricht über Spam
> Versand durch diese Leitung erfahren. Ich habe mit Firewall zuerst
> den Port 25 auf allen Servern für FORWARD  blockiert, bis auf den
> getesteten Server von "Time for Kids"


Ist denn Port 25 am Problem beteiligt?
Da wird doch eher "irgendetwas" im DNS-Umfeld beklagt.


> Benutzerkennung 1TBVP7GATMTU            Ermittelte Vorfälle   1

Nur einer? Das klingt eher nach einem Client-Problem.

> IP-Adresse:
> 79.246.56.120 Datum/Uhrzeit des Vorfalls: 14 Jul 2013 12:42:43 -0000,
> entspricht deutscher Zeit: 14.07.2013, 14:42:43 (MESZ)

Da müssten noch einige Log-Dateien verfügbar sein.

> Dieser Vorgang wurde von abuse@xxxxxxxxxxx extrahiert
> Offener rekursiver DNS-Resolver, kann ggf. fuer dDOS-Attacken
> missbraucht werden

Und wieso soll das ("kann ggf. missbraucht werden") schlimm sein?

> Durch eine extere Organisation wurde festgestellt, dass an Ihrem
> Anschluss ein offener rekursiver Resolver vorhanden ist.

> Der DNS Resolver dienst zu Auflösung von Domännamen auf die
> entsprechende IP Adresse.

> Wir müssen auf Beschwerden reagieren, um andere Kunden und auch Sie
> selbst zu schützen.

> Ein DNS Resolver kann für Angriffe auf andere Rechner/ Server
> missbraucht werden.

Eben - "kann missbraucht werden". Mehr nicht, erst mal.

>> "Moderne" Schadsoftware funktioniert einen Rechner in einen "Bot"
>> um, den der Angreifer dann direkt (z.B. per IRC) oder indirekt (per
>> HTTP) steuern kann. HTTP ist ein sogenanntes "zustandsloses
>> Protokoll" (bei Interesse siehe unter
>> http://de.wikipedia.org/wiki/Zustandslos).

Ja und?
Kann jemand von draussen den Server per IRC oder HTTP steuern?

>> Wichtig: Uns liegen keinerlei Informationen
>> darüber vor, welcher Rechner "hinter" Ihrem Router das Problem
>> aufweist.

Eben - sieht eher nach Aktionismus aus.

>> Es liegen erhebliche Verdachtsmomente dafür vor, dass sich auf Ihrem
>> Rechner oder einem Ihrer Rechner Schadsoftware befindet.

Nein.

>> Um die Chance zu erhöhen, auch weniger verbreitete Manipulationen zu
>> finden, empfehlen wir Ihnen, zusätzlich das "Tool zum Entfernen
>> bösartiger Software" von Microsoft zu laden und auszuführen. Unter
>> http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx
>>
>> finden Sie dieses zum Download vor.

Ist für einen Linux-Server natürlich sehr hilfreich.

>> Möglicherweise können Sie mit dem Scanner von Malwarebytes, zu
>> finden unter http://www.malwarebytes.org (blauer Download-Button
>> links auf der Seite für die kostenlose Version) und GMER
>> http://www.gmer.net ("DOWNLOAD EXE"-Button unten auf der Seite)
>> weitere Schadsoftware aufspüren, die aus dem Internet nachgeladen
>> wurde.

Diese Software habe ich vor wenigen Tagen versuchsweise installiert: die  
lieferte etliche "false positive"-Meldungen, d.h. sie verdächtigte  
einige Dateien ohne nachvollziehbaren Grund als "befallen".

Ich habe diese Dateien bei "jotti.org" und bei "virustotal.com" testen  
lassen: nur "malwarebytes" reagierte mit einer Meldung. Also: "false  
positive".

Viele Gruesse!
Helmut

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 23.07.2013