bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa sc

To: 'Schulen ans Netz - Anwender' <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa schlissen...
From: "Wilczak, Miroslaw" <Miroslaw.Wilczak@xxxxxxxxxxxx>
Date: Tue, 23 Jul 2013 14:21:09 +0000
Hallo Helmut,

das sieht wirklich nach einer Aktion von NSA aus , die mit Telekomunikation 
Firmen auch mitarbeitet, 
die die Spuren der Spionage Programme  zu beseitigen versucht, indem sie Ihre 
Kunden unter massiven Druck setzt.
Eine Drohung einen Anschuss zu kündigen, ist ein solches Mittel.
Die Spionage (Snowden) betraf also zuerst Windows Server..., da diese, wie ich 
sie nenne, Spurenbeseitigungsprogramme, nur unter Windows laufen...
Es ist aber auch hoch Wahrscheinlich , dass es unter Linux ähnliche Spionage 
Maßnahmen von NSA früher vorbereitet und durchgeführt wurden.
Die Kernel Entwickler sind ja auch nur Menschen, die neben bei etwas verdienen 
wollten.
Ich erinnere  mich über eine IP Adresse, die im Quellkode lesbar  stand und 
nach der Entdeckung kodiert wurde und doch immer noch da war..
Sie wurde danach so verschleiert (durch die besten auf dem Gebiet), dass es,  
nach dem Löschen einiger "IP"  Passagen,  die  Kompilierung des Programmes 
nicht mehr  funktionierte.
Also wir sind auch betroffen!
Ich frage mich, auf welche Idee die Beseitigter  für Linux kommen...
Ich würde eine neue Kernelversion auf den Mark bringen...so einfach könnte das 
sein, uns auszuspionieren und die Spuren schnell zu besteigen.


Viele Grüße
Mirek


 
> Hallo, Mirek,
> 
> Du meintest am 23.07.13:
> 
> > könnte ein Arktur 4.0RC6  so eine Verwirrung bei Telekom stiften?
> 
> Vielleicht ...
> (etwas pingeliger: noch verstehe ich überhaupt nicht, was dort passiert sein
> könnte).
> 
> > Hätte jemand auch solche Vorfälle?
> > In andrem Schreiben von Telekom habe ich eine Nachricht über Spam
> > Versand durch diese Leitung erfahren. Ich habe mit Firewall zuerst den
> > Port 25 auf allen Servern für FORWARD  blockiert, bis auf den
> > getesteten Server von "Time for Kids"
> 
> 
> Ist denn Port 25 am Problem beteiligt?
> Da wird doch eher "irgendetwas" im DNS-Umfeld beklagt.
> 
> 
> > Benutzerkennung 1TBVP7GATMTU            Ermittelte Vorfälle   1
> 
> Nur einer? Das klingt eher nach einem Client-Problem.
> 
> > IP-Adresse:
> > 79.246.56.120 Datum/Uhrzeit des Vorfalls: 14 Jul 2013 12:42:43 -0000,
> > entspricht deutscher Zeit: 14.07.2013, 14:42:43 (MESZ)
> 
> Da müssten noch einige Log-Dateien verfügbar sein.
> 
> > Dieser Vorgang wurde von abuse@xxxxxxxxxxx extrahiert Offener
> > rekursiver DNS-Resolver, kann ggf. fuer dDOS-Attacken missbraucht
> > werden
> 
> Und wieso soll das ("kann ggf. missbraucht werden") schlimm sein?
> 
> > Durch eine extere Organisation wurde festgestellt, dass an Ihrem
> > Anschluss ein offener rekursiver Resolver vorhanden ist.
> 
> > Der DNS Resolver dienst zu Auflösung von Domännamen auf die
> > entsprechende IP Adresse.
> 
> > Wir müssen auf Beschwerden reagieren, um andere Kunden und auch Sie
> > selbst zu schützen.
> 
> > Ein DNS Resolver kann für Angriffe auf andere Rechner/ Server
> > missbraucht werden.
> 
> Eben - "kann missbraucht werden". Mehr nicht, erst mal.
> 
> >> "Moderne" Schadsoftware funktioniert einen Rechner in einen "Bot"
> >> um, den der Angreifer dann direkt (z.B. per IRC) oder indirekt (per
> >> HTTP) steuern kann. HTTP ist ein sogenanntes "zustandsloses
> >> Protokoll" (bei Interesse siehe unter
> >> http://de.wikipedia.org/wiki/Zustandslos).
> 
> Ja und?
> Kann jemand von draussen den Server per IRC oder HTTP steuern?
> 
> >> Wichtig: Uns liegen keinerlei Informationen darüber vor, welcher
> >> Rechner "hinter" Ihrem Router das Problem aufweist.
> 
> Eben - sieht eher nach Aktionismus aus.
> 
> >> Es liegen erhebliche Verdachtsmomente dafür vor, dass sich auf Ihrem
> >> Rechner oder einem Ihrer Rechner Schadsoftware befindet.
> 
> Nein.
> 
> >> Um die Chance zu erhöhen, auch weniger verbreitete Manipulationen zu
> >> finden, empfehlen wir Ihnen, zusätzlich das "Tool zum Entfernen
> >> bösartiger Software" von Microsoft zu laden und auszuführen. Unter
> >>
> http://www.microsoft.com/germany/sicherheit/tools/malwareremove.msp
> x
> >>
> >> finden Sie dieses zum Download vor.
> 
> Ist für einen Linux-Server natürlich sehr hilfreich.
> 
> >> Möglicherweise können Sie mit dem Scanner von Malwarebytes, zu
> finden
> >> unter http://www.malwarebytes.org (blauer Download-Button links auf
> >> der Seite für die kostenlose Version) und GMER http://www.gmer.net
> >> ("DOWNLOAD EXE"-Button unten auf der Seite) weitere Schadsoftware
> >> aufspüren, die aus dem Internet nachgeladen wurde.
> 
> Diese Software habe ich vor wenigen Tagen versuchsweise installiert: die
> lieferte etliche "false positive"-Meldungen, d.h. sie verdächtigte einige
> Dateien ohne nachvollziehbaren Grund als "befallen".
> 
> Ich habe diese Dateien bei "jotti.org" und bei "virustotal.com" testen
> lassen: nur "malwarebytes" reagierte mit einer Meldung. Also: "false
> positive".
> 
> Viele Gruesse!
> Helmut
> 
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 23.07.2013