nicht angemeldet
lustige Zeitgleichheit
hallo ihr ;-)
Jetzt ist mir was Lustiges passiert: eben hab ich [pref:t=51256&m=281366] geschrieben, und nahezu zeitgleich meldete sich bei mir "pd9e3ec9a.dip.t-dialin.net" mit einer Anfrage nach "default.ida". "pd9e3ec9a.dip.t-dialin.net" hat standesgemäß nen netten 404er zurückbekommen, aber ich wüßte hier auch gerne, _wer_ da versucht, mir so eine liebenswürdige Sache zu schicken. Der letzte, der mich zwei Stunden vorher mit einer solchen Abfrage belästigt hatte, war ein Internetprovider aus Rom, den ich leider nicht anschreiben kann, weil ich kein Italienisch verstehe.
Hier habe ich aber keine IP-Adresse bekommen, sondern einen "Servernamen", den ich nicht auflösen kann. Wie kriege ich raus, wer eventuell "pd9e3ec9a.dip.t-dialin.net" ist?
Grüße aus Berlin
Christoph S.
-
Hi,
Jetzt ist mir was Lustiges passiert: eben hab ich [pref:t=51256&m=281366] geschrieben, und nahezu zeitgleich meldete sich bei mir "pd9e3ec9a.dip.t-dialin.net" mit einer Anfrage nach "default.ida". "pd9e3ec9a.dip.t-dialin.net" hat standesgemäß nen netten 404er zurückbekommen, aber ich wüßte hier auch gerne, _wer_ da versucht, mir so eine liebenswürdige Sache zu schicken. Der letzte, der mich zwei Stunden vorher mit einer solchen Abfrage belästigt hatte, war ein Internetprovider aus Rom, den ich leider nicht anschreiben kann, weil ich kein Italienisch verstehe.
Hier habe ich aber keine IP-Adresse bekommen, sondern einen "Servernamen", den ich nicht auflösen kann. Wie kriege ich raus, wer eventuell "pd9e3ec9a.dip.t-dialin.net" ist?kennst Du "ping"?
Gruß
Reiner-
hallo,
kennst Du "ping"?
ey ... "scnr"
Ich sagte ja, daß ich diesen "Namen" nicht auflösen kann, übrigens begegnet er mir nicht zum erstenmal.
Grüße aus Berlin
Christoph S.
-
Hallo Christoph,
Ich sagte ja, daß ich diesen "Namen" nicht auflösen kann, übrigens begegnet er mir nicht zum erstenmal.
ping pd9e3ec9a.dip.t-dialin.net
liefert
Antwort von 217.227.236.154 ...
Grüße
Andreas--
Hier könnte Ihre Werbung stehen.-
Hi,
Ich sagte ja, daß ich diesen "Namen" nicht auflösen kann, übrigens begegnet er mir nicht zum erstenmal.
ping pd9e3ec9a.dip.t-dialin.net
liefert
Antwort von 217.227.236.154 ...
und http://www.ripe.de/perl/whois?form_type=simple&full_query_string=&searchtext=217.227.236.154+&do_search=Search liefert den Rest....
Gruß
Reiner-
hallo,
ping pd9e3ec9a.dip.t-dialin.net liefert Antwort von 217.227.236.154 ...
Dann hatte ich wohl eben irgendeinen "Wackler" drin. Habs eben nochmal probiert, und da kam die IP dann auch.
und http://www.ripe.de/perl/whois?form_type=simple&full_query_string=&searchtext=217.227.236.154+&do_search=Search liefert den Rest....
wobei es dort auch einen "abuse contact" gibt, den mir t-online bisher nicht genannt hatte (hab aber aucvh noch nie speziell danach gesucht). Mal schauen, ob die was dazu sagen, denn wenns auch nicht weiter gefährlich ist (bei mir), kann es halt doch bissel lästig werden und Andere könnten ja Schaden davon haben.
Grüße aus Berlin
Christoph S.
-
Hi,
»»[...] Andere könnten ja Schaden davon haben.
dann sind sie selbst schuld und ihnen ist nicht zu helfen!
Guck mal im Archiv, wann das Phänomen das erste Mal aufgetreten ist.Gruß
Reiner-
hallo Reiner,
»»[...] Andere könnten ja Schaden davon haben.
dann sind sie selbst schuld und ihnen ist nicht zu helfen!
Guck mal im Archiv, wann das Phänomen das erste Mal aufgetreten ist.Vor rund zwei Jahren, ich weiß. Dann war das ganze Jahr 2002 fast nix von "default.ida" zu bemerken, dafür kam die andere "Spielart" mit "root.exe" häufiger vor. Inzwischen ist "default.ida" wieder aktiver geworden. Mir tut er nix, aber ... (siehe voriges posting).
Ich hab meine logs mal auszuwerten versucht, woher ich die Anfragen bekommen habe, an erster Stelle steht t-online (da bin ich selber, aber ich verschicke das Ding nicht), an zweiter Stelle steht Yahoo/Lycos, der Rest sind einzelne weltweit verstreute Server bis nach Japan und Neuseeland.
Was ich (noch) nicht verstehe ist: Ich glaube nicht, daß t-online selber als Provider das Ding irgendwo drauf hat. Die sollten doch in der Lage sein, sowas zu bemerken und zu beheben. Wahrscheinlicher ist, daß irgendein t-online-Kunde sich den Bösewicht eingefangen und immer noch nicht bemerkt hat, daß er ihn fleißig weiter auf die Reise schickt, oder? Es wird also möglicherweise nicht viel helfen, wenn ich meine logs mit einer Beschwerde an t-online schicke, ich müßte mich direkt an den t-online-Kunden wenden können. Oder hab ich da jetzt irgendwas nicht kapiert?
Grüße aus Berlin
Christoph S.
-
Hi Christoph,
Es wird also möglicherweise nicht viel helfen, wenn ich meine logs mit einer Beschwerde an t-online schicke, ich müßte mich direkt an den t-online-Kunden wenden können.
... und genau den zu ermitteln wird ohne richterlichen Beschluß kaum möglich sein - es wäre IMHO datenschutzrechtlich ziemlich bedenklich, wenn Du eine solche Information selbst herausfinden könntest.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
guten Abend,
Es wird also möglicherweise nicht viel helfen, wenn ich meine logs mit einer Beschwerde an t-online schicke, ich müßte mich direkt an den t-online-Kunden wenden können.
... und genau den zu ermitteln wird ohne richterlichen Beschluß kaum möglich sein - es wäre IMHO datenschutzrechtlich ziemlich bedenklich, wenn Du eine solche Information selbst herausfinden könntest.Ich habe mal, entgegen meinen sonstigen Gewohnheiten, das vorangegangene posting nahezu vollständig als Zitat übernommen.
Du hast vollkommen recht. Daher habe ich ja auch den Konjunktiv verwendet. Das Problem ist, daß wohl auch t-online selbst mit dem Adreßpool für die 217.xxx.xxx.xxx nicht herausfinden könnte, wer sich da auch noch nen Webserver installiert hat bzw. wer mit der zugewiesenen Adresse einen infizierten IIS (möglicherweise sogar völlig ahnungslos) online stellt oder gar wissentlich den Bösewicht immer wieder neu auf die Reise schickt.
Ich wiederhole: mir tut das Ding nix, aber darauf kommts nicht an. Mir ist, wenn das Thema denn mal hier im Forum auftaucht, wichtiger, daß wir im Verlauf eines Threads eben die Aufklärungsarbeit leisten, die wenigstens die Forumsbesucher und -leser erreicht.
Grüße aus Berlin
Christoph S.
-
Hallo Christoph,
Das Problem ist, daß wohl auch t-online selbst mit dem Adreßpool für die 217.xxx.xxx.xxx nicht herausfinden könnte
... welchem Kunden zu einer bestimmten, exakt spezifizierten Uhrzeit diese IP-Adresse zugeordnet war?
Doch, _das_ müssen die aus ihren Logs feststellen können - sonst wäre z. B. Strafverfolgung in solchen Fällen ja kaum möglich.
Im vorliegenden Fall reicht allerdings der Grund für eine solche Aktion nicht aus.Würden sich jedoch hunderte von Anwendern über dieselbe IP-Adresse zur selben Zeit bei T-Online beschweren ...
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
hi,
Das Problem ist, daß wohl auch t-online selbst mit dem Adreßpool für die 217.xxx.xxx.xxx nicht herausfinden könnte
... welchem Kunden zu einer bestimmten, exakt spezifizierten Uhrzeit diese IP-Adresse zugeordnet war?
Doch, _das_ müssen die aus ihren Logs feststellen könnenRichtig, und das bezweifle ich auch nicht. Aber jetzt hast du den entscheidenden Halbsatz aus meinem posting rausgeschnipselt, der lautete:
"wer sich da auch noch nen Webserver installiert hat bzw. wer mit der zugewiesenen Adresse einen infizierten IIS (möglicherweise sogar völlig ahnungslos) online stellt oder gar wissentlich den Bösewicht immer wieder neu auf die Reise schickt"
Und _das_ können sie nach meinen Informationen nicht. Wenn du besser informiert bist, würde ich das gerne erfahren. Nimm als einfachstes Beispiel an, daß sich jemand über t-online einwählt, nen eigenen Webserver laufen hat (man kann ja leider nicht voraussetzen, daß das dann ein Apache ist) und sich per dyndns ansprechen läßt.Würden sich jedoch hunderte von Anwendern über dieselbe IP-Adresse zur selben Zeit bei T-Online beschweren ...
Hm. Es ist zwar möglich (und gar nicht mal unwahrschenlich), daß es tatsächlich mehrere hundert Leute gibt, die sekundengenau zur selben Zeit solche Anfragen erhalten. Aber wie soll man die zu einer "konzertierten Aktion" bewegen?
Grüße aus Berlin
Christoph S.
-
Hallo,
Hm. Es ist zwar möglich (und gar nicht mal unwahrschenlich), daß es tatsächlich mehrere hundert Leute gibt, die sekundengenau zur selben Zeit solche Anfragen erhalten. Aber wie soll man die zu einer "konzertierten Aktion" bewegen?
ich glaube Du machst Dir etwas zuviel Gedanken. Mit solchen Phänomenen, dass es Code Red gibt muss man leben, wie damit dass es Schnupfen gibt. Der Datenmüll der davon erzeugt wird gehört zum Internet wie rumfliegende Bakterien in einer vollen Straßenbahn.
Wer Bescheid weiss nimmt Vitamin C, und passt auf, dass er keinen Schnupfen bekommt, es macht natürlich auch Sinn über Schnupfen und Vorbeugemaßnahmen allgemein zu reden, und drauf hinzuweisen.
Aber wenn ein wildfremder Mensch in der Gegend rumniest, er radelt an mir vorbei, und habe nicht wirklich die Möglichkeit Ihn drauf hinzuweisen, dass er nen Pulli anziehen sollte bei der Kälte, ja dann mach ich mir keine großen Gedanken über seinen Schnupfen.
Wenn er mich anniest nehm ich halt noch etwas Vitamin C.
Und wenn einer nen ungeschützten Windows Server aufsetzt,...nun ja, es ist ja auch allgemein bekannt: Condome schützen ! :-)Gruss
Marko
-
-
-
-
-
-
-
-
-
-
Hallo Christoph,
übrigens begegnet er mir nicht zum erstenmal.
Die Deutsche Telekom bzw. seine Kunden gehören zu den häufigsten Virenversender und Co.
Dass du eine Mail an die bei RIPE angegebene Abuse-Adresse sendest bringt weniger, als wenn du es nicht tätest. Sie werden deine Anfrage / Beschwerde weiterleiten und dann passiert nichts mehr. Wie beim Telekom üblich ist.
Ich könnte täglich 10-15 Mails an sie senden allein wegen IPs die massenweise Viren versenden, von den Rest gar nicht zu reden.
Grüße
Thomas-
hi,
Die Deutsche Telekom bzw. seine Kunden gehören zu den häufigsten Virenversender und Co.
_die_ deutsche telekom, _ihre_ kunden.
gruss,
wahsaga-
Hallo,
Die Deutsche Telekom bzw. seine Kunden gehören zu den häufigsten Virenversender und Co.
_die_ deutsche telekom, _ihre_ kunden.
Eh... ja natürlich.
Danke dir! ;-)Das wäre jetzt glatt ein Fall für den Thread: [pref:t=50897&m=279176] :-)
Grüße
Thomas-
Ähm,
entschuldigt meine Einmischung, aber:
Die Deutsche Telekom bzw. seine Kunden gehören zu den häufigsten Virenversender und Co.
_die_ deutsche telekom, _ihre_ kunden.
Eh... ja natürlich.Nein! Die T-Online International AG und ihre Kunden.
Oder um es ganz korrekt zu formulieren: Kunden der T-Online International AG gehören zu den häufigsten Virenversendern.Viele Grüße
Tors*T-Online-Kunde*ten--
ss:| zu:) ls:] fo:) de:[ va:| ch:? sh:( n4:~ rl:? br:> js:| ie:% fl:( mo:)
-
-
-
-
-
-
Hallo Christoph,
das sind dynamische Namen von T-Online. Also zu wissen wer das genau ist nützt Dir wenig, nachdem der aufgelegt hat ist es jemand anders. Oder hab ich was nicht verstanden ?
Gruss
Marko
-
Hi,
das sind dynamische Namen von T-Online. Also zu wissen wer das genau ist nützt Dir wenig, nachdem der aufgelegt hat ist es jemand anders. Oder hab ich was nicht verstanden ?
nee, Du hast Recht. JETZT ist es zu spät, aber man kann sowas mit einem Script lösen, das gleich nach dem Vorfall aktiv wird!
Gruß
Reiner
-
-
Ping ihn, dass geht in der Dos-Eingabeaufforderung mit ping und dqann die Zeile...
Wenn du dann an keinem Rechner bist (was wahrscheinlich ist), dann melde dich ich hab nen Trace-Programm, damit kann man nen Standor genauer bestimmern, von da aus dann über dessen Provider den Scheisskerl... *g*
mfg
Tron
-
Hi,
Wenn du dann an keinem Rechner bist (was wahrscheinlich ist), dann melde dich ich hab nen Trace-Programm, damit kann man nen Standor genauer bestimmern, von da aus dann über dessen Provider den Scheisskerl... *g*
Befass Dich mal etwas eingehender mit der Materie!
Dann wirst Du vielleicht dahinterkommen, daß derjenige, der Code Red auf Deinen Rechner abfeuert u.U. gar nichts davon weiß!Gruß
Reiner -
hallo Tron,
Auch wenn ich jetzt auf eine Weise reagiere, die du möglicherweise gar nicht erwartest:
Schau dir doch bitte, ehe du auf einen Thread auf der "obersten Ebene" einsteigst, bissel genauer an, was in diesem Thread bereits diskutiert worden ist.Ping ihn, dass geht in der Dos-Eingabeaufforderung mit ping und dqann die Zeile...
Darübr ist im Thread bereits gesprochen worden.
ich hab nen Trace-Programm, damit kann man nen Standor genauer bestimmern, von da aus dann über dessen Provider den Scheisskerl... *g*
Und _genau das_ halte ich für den absolt verkehrten Rat. Unter Umständen machst du du dich damit mehr strafbar als derjenige, der eventuell sogar ohne eigenes Wissen den "Bösewicht" im Internet verbreitet.
nix für ungut.
Christoph S.
-
Hallo,
ich hab nen Trace-Programm, damit kann man nen Standor genauer bestimmern, von da aus dann über dessen Provider den Scheisskerl... *g*
was macht ein Traceprogramm ? Meinst Du sowas wie Traceroute, dass die Zwischenstationen auf dem Weg abfragt ? Oder kann das noch mehr ?
Und _genau das_ halte ich für den absolt verkehrten Rat. Unter Umständen machst du du dich damit mehr strafbar als derjenige,
Ähem, was soll denn an nem Trace strafbar sein ? Vorrausgesetzt mir fehlt jetzt nicht eine wichtige Grundlage was ein Traceprogramm genau ist.
Gruss
Marko
-
hi Marko,
Ähem, was soll denn an nem Trace strafbar sein ?
Genau gar nichts. "traceroute" ist ein sehr altes und sehr nützliches Konzept. Aber:
damit kann man nen Standor genauer bestimmern, von da aus dann über dessen
Provider den Scheisskerl... *g*Was du jetzt "weggelassen" hast, obwohl es in deiner ersten Antwort stand, kann strafbar sein ;-)
Grüße aus Berlin
Christoph S.
-
Hallo christoph,
sorry, ich versteh es nicht. Gut ich kann anhand einer IP feststellen, über welchen Provider sich jemand einwählt, und in welcher Stadt er sich befindet.
Ich glaube nach dem Datenschutzgesetz wird es dann kritisch, wenn diese Daten mit Personengebundenen Daten kombiniert werden (z.B. Für Werbezwecke), aber das blosse routen einer IP ist doch wohl kaum strafbar, und bringt mir auch in Wirklichkeit garnichts.
Steh ich heute total auf dem Schlauch ? reden wir aneinander vorbei ?Gruss
Marko
-
hi,
Ich glaube nach dem Datenschutzgesetz wird es dann kritisch, wenn diese Daten mit Personengebundenen Daten kombiniert werden (z.B. Für Werbezwecke), aber das blosse routen einer IP ist doch wohl kaum strafbar, und bringt mir auch in Wirklichkeit garnichts.
reden wir aneinander vorbei ?Nein. Jedenfalls jetzt nicht mehr.
Grüße aus Berlin
Christoph S.
-
-
-
-
-
-
N'abend,
Jetzt ist mir was Lustiges passiert [...]
Mir ist gerade eben was noch viel lustigeres passiert, meine Norton Personal Firewall (bitte keine Grundsatzdiskussion über SW-Firewalls) hat mir gerade folgenden Angriff von selfaktuell.teamone.de gemeldet http://securityresponse.symantec.com/avcenter/nis_ids/sigs/http_iis_isapi_extension.html, und zwar, als ich auf folgendes Posting geklickt habe: [pref:t=51256&m=281311]. Watt denn nu?
Ratlose Grüße
Torsten--
ss:| zu:) ls:] fo:) de:[ va:| ch:? sh:( n4:~ rl:? br:> js:| ie:% fl:( mo:)-
hallo Torsten,
Mir ist gerade eben was noch viel lustigeres passiert, meine Norton Personal Firewall (bitte keine Grundsatzdiskussion über SW-Firewalls) hat mir gerade folgenden Angriff von selfaktuell.teamone.de gemeldet http://securityresponse.symantec.com/avcenter/nis_ids/sigs/http_iis_isapi_extension.html, und zwar, als ich auf folgendes Posting geklickt habe: [pref:t=51256&m=281311]. Watt denn nu?
Keine Ahnung. Ich vermute mal, es gibt eine "geheime SLFHTML-Forums-Datenbank", in der bestimmte Themen, Wörter, Ausdrücke oder Benutzernamen als "deprecated" eingestuft werden "scnr"
Andrerseits: wir wissen doch, daß der Teamone-Sever immer mal wieder DoS-Attacken aushalten muß, und bisweilen gerade in der "Hauotverkehrszeit", wenn wir alle was diskutieren wollen. Daß der Server das aushält (bzw. daß das Team das so schnell wie möglich auszubügeln versucht) halte ich für eine der großen Leistungen dieses Forums und der Betreuer.
Gestern zum Beispiel war "temaone" (in allen Schreibweisen bzw. Subdomains) zwischen 12 und 18 Uhr nicht erreichbar, aber zum Glück hat sich niemand beschwert ...
Ratlose Grüße
och ... kennst du das mit "armer schwarzer Kater?"
Grüße aus Berlin
Christoph S.
-