bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa sc

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa schlissen...
From: Philipp Flesch <philipp@xxxxxxxxxxx>
Date: Wed, 24 Jul 2013 16:51:47 +0200
Hallo,
nein ist ist keine Geldmache - sondern geprüfter Zustand.
Einzig die Zuordnung IP <-> Account könnte defekt sein.

Dein Lösungsansatz zum Thema SPAM-Verschicken mit Port 25 sperren ist
die Musterlösung.

Was Du ganz einfach kontrollieren solltest:
Ist Port 53 (TCP und UDP) eingehend auf dem externen Interface
deaktiviert?

Philipp


On Tue, 23 Jul 2013 11:50:42 +0000, "Wilczak, Miroslaw"
<Miroslaw.Wilczak@xxxxxxxxxxxx> wrote:
> Hallo Helmut,
> 
> könnte ein Arktur 4.0RC6  so eine Verwirrung bei Telekom stiften?
> Hätte jemand auch solche Vorfälle?
> In andrem Schreiben von Telekom habe ich eine Nachricht über Spam
> Versand durch diese Leitung erfahren.
> Ich habe mit Firewall zuerst den Port 25 auf allen Servern für
> FORWARD  blockiert, bis auf den getesteten Server von "Time for Kids"
> 
> Viele Grüße
> Mirek
> 
> 
> 
> 
> Benutzerkennung 1TBVP7GATMTU            Ermittelte Vorfälle   1      
>             Auszug
> MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
> 
> 
> 
> Hier ein Link mit weitergehenden Informationen.
> 
> https:// www.botfrei.de und http://blog.botfrei.de
> 
> MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM
> IP-Adresse: 79.246.56.120
> Datum/Uhrzeit des Vorfalls: 14 Jul 2013 12:42:43 -0000, entspricht
> deutscher Zeit: 14.07.2013, 14:42:43 (MESZ)
> in den letzten 14 Tagen ermittelte Vorfaelle mit gleicher Kennung: 1
> 
> 
> Subject: Aus Web-Meldung extrahierter Vorgang
> 
> 
> 
> Extrahierter Vorgang.
> IP: 79.246.56.120
> Timestamp: 14 Jul 2013 12:42:43 -0000
> 
> Dieser Vorgang wurde von abuse@xxxxxxxxxxx extrahiert
> Offener rekursiver DNS-Resolver, kann ggf. fuer dDOS-Attacken
> missbraucht werden
> 
> 
> 
> 
> Zeile in der Meldung:
> 2013-07-14 12:42:43   79.246.56.120   3320    openresolvers           DE      
>         
> 2013-07-15 02:37:03   openresolvers   ripencc DE      2472120
> 
> 
> 
> Durch eine extere Organisation wurde festgestellt, dass an Ihrem
> Anschluss ein offener rekursiver Resolver vorhanden ist.
> 
> Der DNS Resolver dienst zu Auflösung von Domännamen auf die
> entsprechende IP Adresse.
> 
> Wir müssen auf Beschwerden reagieren, um andere Kunden und auch Sie
> selbst zu schützen.
> 
> Ein DNS Resolver kann für Angriffe auf andere Rechner/ Server
> missbraucht werden.
> 
> 
> Noch eine Erklärung vom Telekom:
>> Sehr geehrte Damen und Herren,
>>
>> die IP-Zeitstempel welche Ihrem Account zugerechnet werden können
>> stammen von der Shadowserver Foundation. Dies ist eine Institution die
>> sich mit dem Aufspüren von Bot-Netzen und deren Beteiligten
>> Rechnersysteme befasst.
>>
>> Die Datenlieferung von Shadowserver können wir umstandslos als valide
>> und unzweifelhaft ansehen. http://www.shadowserver.org/wiki/
>> Wir nutzen hier die Mechanismen und das Wissen dieser Organisation um
>> unsere Kunden darauf hinzuweisen, dass Ihre Rechnersysteme als sog.
>> Zombirechner in einem Botnetz, meist ohne Wissen des Administrators,
>> tätig sind.
>>
>> Zur Präzisierung, was passiert ist: Über Ihren Internetzugang wurde
>> zum genannten Zeitpunkt ein sogenanntes "Sinkhole" kontaktiert. Sollen
>> Sie nicht wissen, was das eigentlich ist, lesen Sie bitte die nächsten
>> vier Absätze, denn dazu müssen wir etwas weiter ausholen. Wenn Sie es
>> schon wissen oder falls Ihnen dieses eher technische Thema rätselhaft
>> sein sollte, dann fahren Sie bitte danach fort.
>> ------------------------------------------------------------------------
>>
>> "Moderne" Schadsoftware funktioniert einen Rechner in einen "Bot" um,
>> den der Angreifer dann direkt (z.B. per IRC) oder indirekt (per HTTP)
>> steuern kann. HTTP ist ein sogenanntes "zustandsloses Protokoll" (bei
>> Interesse siehe unter http://de.wikipedia.org/wiki/Zustandslos).
>>
>> Der Angreifer kann bei HTTP-Steuerung daher nicht von sich aus eine
>> Verbindung zu den Bots aufbauen, sondern die Schadsoftware muss sich
>> regelmäßig zu einem Webserver verbinden und sich die "Aufgabenliste"
>> abholen. (Spam versenden, an DoS-Attacke teilnehmen, Bankingdaten
>> stehlen u.a.m.) Der Angreifer verkauft nämlich die Ressourcen "seines"
>> Botnetzes an andere Kriminelle. Damit die Bots einen Webserver
>> kontaktieren können, benötigen Sie mindestens einen URL, also eine
>> Internet-Adresse wie z.B. http://www.verbrecher.invalid/bot/todolist
>>
>> Dies wiederum setzt voraus, dass der Angreifer die Domäne (hier:
>> verbrecher.invalid) besitzt oder einen (gehackten) Zugang zu dem
>> Webserver hat. Manchmal gelingt es den "guten Jungs", solcherart
>> missbrauchte Domänen in ihren Besitz zu bringen. Sie setzen dann
>> selbst einen Webserver auf - das ist dann das "Sinkhole" - , der unter
>> dieser Adresse erreichbar ist, nur geben sie den Bots natürlich keine
>> verbrecherischen Aufgaben, sondern melden jeden Zugriff ohne
>> HTTP-Referer (*) an die Abuse-Abteilung des für die IP-Adresse
>> zuständigen Providers.
>>
>> (*) Wenn man in einem Browser auf einer Webseite einen Link zu einem
>> anderen Server anklickt, dann wird ein Referer (nämlich die Adresse
>> der Seite von der man kommt) übermittelt. Solche Zugriffe werden
>> nicht erfasst. Details siehe http://de.wikipedia.org/wiki/Referer
>>
>> Von unserer Seite passiert folgendes:
>>
>> ------------------------------------------------------------------------
>>
>> Anhand der gemeldeten IP-Adresse und des exakten Zeitpunktes des
>> Zugriffs können wir für einen begrenzten Zeitraum (sieben Tage) den
>> missbrauchten Internetzugang ermitteln und schreiben den Inhaber
>> dieses Zugangs an. Wichtig: Uns liegen keinerlei Informationen darüber
>> vor, welcher Rechner "hinter" Ihrem Router das Problem aufweist.
>>
>> Beziehen Sie bei Ihren Überlegungen aber bitte folgendes mit ein: Es
>> ist möglich, dass das Problem durch einen Dritten verursacht wurde.
>> Wenn zu dem genannten Zeitpunkt ein Gast berechtigten Zugang zu Ihrem
>> WLAN/LAN (und damit Ihrem Internetzugang) hatte, kann es natürlich
>> sein, dass die Aktion die zu der Beschwerde führte, von seinem Rechner
>> ausging. Da die lokalen IP-Adressen nicht ins Internet gelangen, ist
>> eine Identifikation des Rechners von "draußen" in fast allen Fällen
>> unmöglich.
>>
>> Oder Sie betreiben ein WLAN und dieses ist womöglich nicht oder nur
>> unzureichend gesichert. Ein offenes WLAN kann durch Nachbarn auch
>> völlig unabsichtlich mitbenutzt werden, da sich Windows gern das
>> nächstbeste WLAN "greift", zu dem es eine Verbindung aufbauen kann. Es
>> ist erforderlich, das WLAN mindestens mit dem
>> Verschlüsselungsverfahren WPA, besser WPA2, zu sichern (WEP ist
>> unsicher!). Auch der Zugang zur Routerkonfiguration muss mit einem
>> Passwort gesichert werden.
>>
>> Es liegen erhebliche Verdachtsmomente dafür vor, dass sich auf Ihrem
>> Rechner oder einem Ihrer Rechner Schadsoftware befindet. Bitte prüfen
>> Sie *alle* Rechner in Ihrem Netzwerk! Installieren Sie bitte die
>> neusten Updates Ihres Virenscanners und prüfen Sie Ihr System.
>>
>> Um die Chance zu erhöhen, auch weniger verbreitete Manipulationen zu
>> finden, empfehlen wir Ihnen, zusätzlich das "Tool zum Entfernen
>> bösartiger Software" von Microsoft zu laden und auszuführen. Unter
>> http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx
>>
>> finden Sie dieses zum Download vor.
>>
>> Möglicherweise können Sie mit dem Scanner von Malwarebytes, zu finden
>> unter http://www.malwarebytes.org (blauer Download-Button links auf
>> der Seite für die kostenlose Version) und GMER http://www.gmer.net
>> ("DOWNLOAD EXE"-Button unten auf der Seite) weitere Schadsoftware
>> aufspüren, die aus dem Internet nachgeladen wurde.
>>
>> Aber sobald eine Schadsoftware auf einem Rechner installiert ist,
>> hängt es mehr oder weniger nur noch vom Geschick des Programmierers
>> der Schadsoftware ab, ob sie von einer beliebigen Schutzsoftware, die
>> auch auf dem "infizierten" System läuft, überhaupt noch entdeckt
>> werden kann.
>>
>> Mit freundlichen Grüßen
>> Technische Kundenberatung
>> Support T-DSL Business
> 
> 
> 
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 24.07.2013