Stockspam vom Hansenet?
Ulrich F. Heidenreich
Lese ich folgenden Header ...
|Delivered-To: GMX delivery to u.heidenreich[AT]gmx.de
|Received: (qmail invoked by alias); 12 Sep 2007 18:46:48 -0000
|Received: from mx02.hansenet.de (EHLO webmail.hansenet.de) [213.191.73.26]
| by mx0.gmx.net (mx025) with SMTP; 12 Sep 2007 20:46:48 +0200
|Received: from platz-01 (78.48.68.235) by webmail.hansenet.de (7.3.118.12) (authenticated as shareh...@alice-dsl.de)
| id 46E7E4C500054A8E for u.heidenreich[AT]gmx.de; Wed, 12 Sep 2007 20:46:47 +0200
|From: "Stefan Tom Fallah Tafti,Cologne since 1966" <shareh...@alice-dsl.de>
|Subject: Caspian Oil & Gas - Die Rohstoffaktie
... richtig oder falsch, wenn ich ihn dahingehend interpretiere, daß
ein Alice/Hansenet-Kunde mich gerade - nicht nur an diese Adresse, es
trudeln gerade weitere Spams ein - mit Stockspam versorgt?
TIA,
Ulrich
--
Die im From-Header verwendete Mailadresse ist syntaktisch
korrekt, existent und dort eintreffende Mail wird freilich
auch gelesen. Wer aus dem Inhalt von Local- oder Domainpart
irgendwelche absurden Schlüsse zieht, ist selbst schuld ...
Michael Landenberger
> ... richtig oder falsch, wenn ich ihn dahingehend interpretiere, daß
> ein Alice/Hansenet-Kunde mich gerade - nicht nur an diese Adresse,
> es trudeln gerade weitere Spams ein - mit Stockspam versorgt?
Ich denke, das siehst du richtig. Offenbar hat irgend ein DAU einen Artikel
über Stockspam gelesen und versucht jetzt mal selber sein Glück. Allerdings
verwendet Hansenet Microsoft-Produkte für Web- und Maildienste. Kann ja auch
sein, dass die gehackt wurden ;-) Auf jeden Fall dürfte der
Hansenet-Abusedesk der richtige Ansprechpartner sein.
Gruß
Michael
Klaus Medeke
<spameim...@arcor.de> wrote:
>Auf jeden Fall dürfte der
>Hansenet-Abusedesk der richtige Ansprechpartner sein.
Haben die schon mal auf irgendwas geantwortet oder gar das Übel
abgestellt?
Viele Grüße,
Klaus
Oliver Blasnik
> Allerdings verwendet Hansenet Microsoft-Produkte für Web- und
> Maildienste.
Das wäre mir neu, dass Critical Path (der Hersteller des Mailsystems) von
Microsoft gekauft wurde. Nur weil da nirgends "Sendmail" oder "postfix" oder
was auch immer an Opensource in der Greeting steht, muss kein falscher
Schluss gezogen werden.
Gruss,
Olli
Matthias Roth
> Lese ich folgenden Header ...
>
...
>
> ... richtig oder falsch, wenn ich ihn dahingehend interpretiere, daß
> ein Alice/Hansenet-Kunde mich gerade - nicht nur an diese Adresse, es
> trudeln gerade weitere Spams ein - mit Stockspam versorgt?
Ja, und er ist immer noch aktiv.
Received: from platz-01 (78.48.6.48) ... Thu, 13 Sep 2007 14:03:02 +0200
Beschwerden an BaFin und Börse München sind raus.
Interessanterweise findet man zu dem Typen Spuren im Netz. Danach ist er
tatsächlich aus Köln und Baujahr 66. Im Telefonbuch stehen vermutlich
seine Verwandten.
M.
Manfred
> Allerdings verwendet Hansenet Microsoft-Produkte für Web- und
> Maildienste. Kann ja auch sein, dass die gehackt wurden ;-)
Klaro, es werden ja ausser MS-Server/Web/Mail-Server Produkten keine
anderen Server/OS gehackt. In den Secunia Advisories werden ja auch
praktisch nur Vulnerabilities von MS-Produkten gemeldet...
Wieder mal typisches Usenet-Scheuklappen-Posting...
Michael Landenberger
> Wieder mal typisches Usenet-Scheuklappen-Posting...
Dir fehlt offenbar ein Nachname ebenso wie ein funktionierender
Ironiedetektor ;-)
Gruß
Michael
P.S.: Ich habe Webspace und E-Mail bei einem Webhoster, dessen Server unter
Linux laufen. Das funktioniert prächtig. Die Webmail-Oberfläche (Confixx
Pro) sieht in jedem Browser gleich aus, alle Funktionen sind zugänglich. Der
FTP-Zugang funktioniert ebenso einwandfrei wie die Zugriffskontrolle mittels
.htaccess.
Und dann habe ich noch Webspace und E-Mail bei Alice. Dort werden Microsoft
Web- und Mailserver eingesetzt. Als Webmail-Oberfläche kommt Outlook Web
Access zum Einsatz, welches aber leider nur im Internet Explorer vernünftig
funktioniert. Und natürlich unterstützt der IIS kein .htaccess und der
FTP-Zugang zickt auch laufend rum. Du wirst angesichts dessen sicher
verstehen, dass ich ein gesundes Misstrauen entwickele, wenn jemand im
Zusammenhang mit Web- und Mailservern "Hansenet" und "Microsoft" in einem
Atemzug nennt (wobei ich nicht in Abrede stellen will, dass andere Webhoster
mit Microsoft-Produkten besser zurechtkommen).
Gabriele Neukam
> Received: from platz-01 (78.48.6.48) ... Thu, 13 Sep 2007 14:03:02 +0200
Platz eins? Klingt als wenn er den Rechner eines LAN missbraucht,
womöglich sogar von einer Schule oder einem Weiterbildungsinstitut.
Warum merken die das nicht?
Gabriele Neukam
--
Often those who most loudly proclaim their freedom to choose in some
fields are the most retentive about 'correcting' others' choices in
other fields.
(Brian Brunner in alt.games.diablo2)
Toni Grass
>On this special day, Matthias Roth wrote:
>> Received: from platz-01 (78.48.6.48) ... Thu, 13 Sep 2007 14:03:02 +0200
>Platz eins? Klingt als wenn er den Rechner eines LAN missbraucht,
>womöglich sogar von einer Schule oder einem Weiterbildungsinstitut.
>Warum merken die das nicht?
Hätte ich doch nur für jeden Spam von einer Uni einen Euro gekriegt...
Toni
Ulrich F. Heidenreich
Der sei Dir gegönnt. Ich nehme den von koreanischen Schulen ;-)
SCNR,
Bernd Hohmann
>> Platz eins? Klingt als wenn er den Rechner eines LAN missbraucht,
>> womöglich sogar von einer Schule oder einem Weiterbildungsinstitut.
>> Warum merken die das nicht?
>
> Warum merken Millionen von PC-Benutzern weltweit den Mißbrauch ihrer
> Kisten nicht?
Wie sollten sie es auch merken..
Bernd
--
Unsere Identität entnehmen Sie bitte dem beigefügten Auszug aus
den Personenstandsbüchern. Gegen die Assimilierung in unser
Kollektiv ist nach dem ABGB (§66.4) kein Rechtsmittel zulässig.
Ulrich F. Heidenreich
>Gabriele Neukam wrote:
>
>> Platz eins? Klingt als wenn er den Rechner eines LAN missbraucht,
>> womöglich sogar von einer Schule oder einem Weiterbildungsinstitut.
>> Warum merken die das nicht?
>
>Warum merken Millionen von PC-Benutzern weltweit den Mißbrauch ihrer
>Kisten nicht?
Obwohl die Frage vermutlich rhetorisch war, interessiert mich die
Antwort doch irgendwie. Zumindest ich würde hier sofort mehr als
nur stutzig werden, wenn mein PC ausgehenden Traffic erzeugt, den
ich nicht selbst generiert habe. Sind die alle merkbefreit oder
ist's denen egal, was ihr PC rausrotzt?
CU!
Ulrich
--
Was haben eigentlich "Gorgonzola" und "Gurkensalat" gemeinsam?
Paul Muster
[Spambotbesitzer]
> Sind die alle merkbefreit oder
> ist's denen egal, was ihr PC rausrotzt?
Ja.
mfG Paul
Michael Landenberger
Korrigiere: ja, nein. Es dürfte in der Tat nur wenige Spambot-Besitzer
geben, die wissen, was ihre Kiste da macht. Und die meisten haben sich aus
Unwissenheit oder Leichtsinnigkeit überhaupt erst den Spambot auf den
Rechner geholt. Hier kann man also eine gewisse Merkbefreitheit
konstatieren.
Es dürfte dagegen kaum einen Spambot-Besitzer geben, der nur mit den
Schultern zuckt, wenn man ihm sagt, was mit seinem Rechner los ist. Das
heißt natürlich noch lange nicht, dass die daraufhin ergriffenen
Säuberungsmaßnahmen von Erfolg gekrönt sind ;-)
Gruß
Michael
Rainer May
> Zumindest ich würde hier sofort mehr als
> nur stutzig werden, wenn mein PC ausgehenden Traffic erzeugt, den
> ich nicht selbst generiert habe. Sind die alle merkbefreit oder
> ist's denen egal, was ihr PC rausrotzt?
$NORMALUSER sitzt wenns hochkommt hinter einem NAT-Router, der
ausgehenden Traffic jeder Art erlaubt und keinerlei Logs erzeugt. Und
der Botnet-Sklave wird sich auch hüten, mit blinkenden, tönenden
Requestern auf den erfolgreichen Versamd eines Spam hinzuweisen. Wenn
der Mailer dann noch die Upload-Bandbreite prüft und halbwegs sparsam
damit umgeht - wie sollte $NORMALUSER das jemals merken?
Ulrich F. Heidenreich
>"Paul Muster" <exp-3...@news.muster.dyndns.info> schrieb:
>
>> Ulrich F. Heidenreich wrote:
>>
>> [Spambotbesitzer]
>>
>>> Sind die alle merkbefreit oder ist's denen egal, was ihr PC rausrotzt?
>>
>> Ja.
>
>Korrigiere: ja, nein. Es dürfte in der Tat nur wenige Spambot-Besitzer
>geben, die wissen, was ihre Kiste da macht.
Mir ging es ums "Merken". Vorstellen könnte ich mir ein Nichtmerken
bestenfalls bei Eseln (Nein, jetzt nicht die Benutzer<g>), wenn in
deren ausgehenden Traffik eine ausgehende Wust an Mail unbemerkt
bleibt.
Und nicht jedermann hat eine Flatrate, da muß es doch auffallen,
wenn der PC sich mit dem Netz verbindet, obwohl man selbst gar
keine Verbindung inititiierte.
Thomas Gohel
Hallo Ulrich,
>> Warum merken Millionen von PC-Benutzern weltweit den Mißbrauch ihrer
>> Kisten nicht?
> Obwohl die Frage vermutlich rhetorisch war, interessiert mich die
> Antwort doch irgendwie.
Gerne. ;-)
> Zumindest ich würde hier sofort mehr als nur stutzig werden, wenn
> mein PC ausgehenden Traffic erzeugt, den ich nicht selbst generiert
> habe.
Dazu müßte der User erstmal mitbekommen, daß er selbst Traffic produziert.
Dieses ist aber in Zeiten, wo NAT-Router/Modem-Kombinationen zu reinen
Modems kastriert werden, um dann einen eigenen PPPoE-Treiber auf dem
PC installieren zu können, nicht so einfach. Meistens ist der Kram mit
der Traffic-Anzeige dann noch hinter irgendwelchem Software-Gedöns
versteckt. Davon abgesehen, ständigen Traffic durch einschlagene Port-
scans, verlorenen IP-Paketen und den Update-Tools auf dem eigenen Rechner
gibt es auch immer.
Ich kenne auch keinen User, der sich mal in seinem DSL-Router die Status-
anzeige der aktuell offenen Ports anzeigen lassen würde, denn so würde
man installierte Bot-Dienste auch ohne Traffic erkennen.
> Sind die alle merkbefreit oder ist's denen egal, was ihr PC rausrotzt?
Yup, ich kenne User, die haben mehr als zwei dutzend verschiedene Bots,
Trojaner, Root-Viren und andere Spy-Tools auf ihrer Kiste und denen
ist das völlig egal. Zumindestens soweit, das die Kiste in keinem Fall
neu aufgesetzt wird, da sonst die Patches (ein Schelm wer da jetzt böses
denkt), Cheats, Spielstände und andere Sachen verloren gehen würden.
Wenn Du da anfängst einen Übertäter spaßenshalber zu killen, kommt gleich
der nächste aus der Versenkung und aktivert sich. Andererseits ist das
ein guter Test für die verschiedenen Boot-CDs und die für Win32/Linux
vorhandenen Virenscanner.
Tschau,
--------------
/ h o m a s
--
email : sup...@gohel.de / go...@basicguru.de (PGP-Key available)
www : http://www.gohel.de / http://www.pbhq.de (PowerBASIC)
filter: html-postings, fullquotes, no realnames & no valid adresses
Jens Sülwald
>> Warum merken Millionen von PC-Benutzern weltweit den Mißbrauch ihrer
>> Kisten nicht?
> Obwohl die Frage vermutlich rhetorisch war, interessiert mich die
> Antwort doch irgendwie. Zumindest ich würde hier sofort mehr als
> nur stutzig werden, wenn mein PC ausgehenden Traffic erzeugt, den
> ich nicht selbst generiert habe. Sind die alle merkbefreit oder
> ist's denen egal, was ihr PC rausrotzt?
Das Problem ist: Nicht jeder User überprüft den Traffic. Wie soll man es
denn dann merken?
Ulrich F. Heidenreich
>Ulrich F. Heidenreich meinte zum Thema "Re: Stockspam vom Hansenet?"
>
>Hallo Ulrich,
>
>>> Warum merken Millionen von PC-Benutzern weltweit den Mißbrauch ihrer
>>> Kisten nicht?
>> Obwohl die Frage vermutlich rhetorisch war, interessiert mich die
>> Antwort doch irgendwie.
>
>Gerne. ;-)
>
>> Zumindest ich würde hier sofort mehr als nur stutzig werden, wenn
>> mein PC ausgehenden Traffic erzeugt, den ich nicht selbst generiert
>> habe.
>
>Dazu müßte der User erstmal mitbekommen, daß er selbst Traffic produziert.
Um das *nicht* mitzubekommen, bedarf es IMHO entweder Tomaten auf den
Augen und/oder eines Ismirdochegal-Gefühls.
>Dieses ist aber in Zeiten, wo NAT-Router/Modem-Kombinationen zu reinen
>Modems kastriert werden, um dann einen eigenen PPPoE-Treiber auf dem
>PC installieren zu können, nicht so einfach.
Vielleicht ist auch mein Win95 da so antiquiert, denn wenn ich eben
keinen Router, sondern einen PPPoE-Client auf dem Rechner laufen habe,
dann wird das grüne Fensterchen in der Taskleiste gelb, sobald irgendwas
übers Netz kommt oder geht. Und dann werde ich neugierig, warum es das
tut, obwohl ich bewußt nicht im Internet bin. Ist das unter aktuellen
Betriebssystemen anders? Und mit Router würde mich das nervöse Flackern
der WAN-Port LED auch stutzig machen, wenn offensichtlich *ich* keinen
Traffic initiiert habe.
>Ich kenne auch keinen User, der sich mal in seinem DSL-Router die Status-
>anzeige der aktuell offenen Ports anzeigen lassen würde, denn so würde
>man installierte Bot-Dienste auch ohne Traffic erkennen.
Das ist ein anderes Thema. Ich wundere mich nur, wie man den wohl
heftigen (oder ist er genau das nicht?) Traffic übersehen kann, den
ein solcher Bot wohl erzeugt.
>Yup, ich kenne User, die haben mehr als zwei dutzend verschiedene Bots,
>Trojaner, Root-Viren und andere Spy-Tools auf ihrer Kiste und denen
>ist das völlig egal. Zumindestens soweit, das die Kiste in keinem Fall
>neu aufgesetzt wird, da sonst die Patches (ein Schelm wer da jetzt böses
>denkt), Cheats, Spielstände und andere Sachen verloren gehen würden.
Gerade bei den Onlinegamern (jene, die immer nach Fastpath rufen, weil
sonst der Gegener schneller schießt als sie selbst) müßte sich das doch
eklatant bemerkbar machen, wenn neben den Spieldaten auch noch hunderte
von Spammails auf die Reise geschickt werden.
Meinereiner - um mal wieder den Dreh ins Ontopic zu kriegen - tendiert
bei solchem Spam eher zu dem anfangs geäußerten Verdacht, daß es sich um
einen Schul- oder Schulungs-PC handelt, auf dem niemand genügend lange
ernsthaft arbeitet, um durch irgendwelche Unregelmäßigkeiten wach zu
werden.
Thomas Gohel
Hallo Ulrich,
>> Dazu müßte der User erstmal mitbekommen, daß er selbst Traffic
>> produziert.
> Um das *nicht* mitzubekommen, bedarf es IMHO entweder Tomaten auf den
> Augen und/oder eines Ismirdochegal-Gefühls.
Du und ich haben da vermutlich kein Problem, da wir auch nicht die
üblichen 20 Browser-Plugins nutzen, die so manche Dreckssoftware,
getarnt als "Zugangssoftware" auf dem Rechner installiert. Da kleben
um/im Browser schon eimerweise irgendwelche Tools, die nonstop Traffic
produzieren, obwohl nicht einmal eine Seite aufgerufen wird.
> Vielleicht ist auch mein Win95 da so antiquiert, denn wenn ich eben
> keinen Router, sondern einen PPPoE-Client auf dem Rechner laufen
> habe, dann wird das grüne Fensterchen in der Taskleiste gelb, sobald
> irgendwas übers Netz kommt oder geht.
Wenn sich Dein netter Billig-Provider bereits in der Autostart mit
irgendwelchen sinnlosen Tools (Newsticker, blablabla) verewigt, dann
erzeugen alleine diese Tools schon ausreichend Traffic, da sie ständig
irgendetwas nachladen.
> Ist das unter aktuellen Betriebssystemen anders? Und mit Router würde
> mich das nervöse Flackern der WAN-Port LED auch stutzig machen, wenn
> offensichtlich *ich* keinen Traffic initiiert habe.
Eigentlich nicht, aber die BS internen Tools können durch so schöne
Super-Dupper-Blinke-Click-Tools jederzeit ersetzt werden. In meiner
eigenen Verwandtschaft gibt es deswegen auch keine zusätzliche Einwahl-
software, da sie schlicht nicht benötigt wird. Dafür wird dann unter
dem IE- und Outlook-Button der FF und TB verlinkt, zur Not mit passendem
Theme.
> Das ist ein anderes Thema. Ich wundere mich nur, wie man den wohl
> heftigen (oder ist er genau das nicht?) Traffic übersehen kann, den
> ein solcher Bot wohl erzeugt.
Ein Bot muß nicht zwangsläufig Traffic erzeugen. Bei der Einwahl ins
Internet loggt er sich ein und wartet einfach stillschweigend auf seine
Aufgabe.
>> Yup, ich kenne User, die haben mehr als zwei dutzend verschiedene
>> Bots, Trojaner, Root-Viren und andere Spy-Tools auf ihrer Kiste und
>> denen ist das völlig egal. Zumindestens soweit, das die Kiste in
>> keinem Fall neu aufgesetzt wird, da sonst die Patches (ein Schelm
>> wer da jetzt böses denkt), Cheats, Spielstände und andere Sachen
>> verloren gehen würden.
> Gerade bei den Onlinegamern (jene, die immer nach Fastpath rufen,
> weil sonst der Gegener schneller schießt als sie selbst) müßte sich
> das doch eklatant bemerkbar machen, wenn neben den Spieldaten auch
> noch hunderte von Spammails auf die Reise geschickt werden.
Dann wird eben eine schnellerer Anschluß gebucht oder eine DualCore-
CPU gekauft. Das Spiel unterstützt zwar keine Mehrprozessoren, aber
wenigstens können sich die Viren jetzt eine eigene CPU leisten und
stören nicht mehr. Außerdem ist die Kiste ja alt, da sie ständig ab-
stürzt ...
> Meinereiner - um mal wieder den Dreh ins Ontopic zu kriegen -
> tendiert bei solchem Spam eher zu dem anfangs geäußerten Verdacht,
> daß es sich um einen Schul- oder Schulungs-PC handelt, auf dem
> niemand genügend lange ernsthaft arbeitet, um durch irgendwelche
> Unregelmäßigkeiten wach zu werden.
Der Mist ist auf allen Rechnern zu finden, egal wo diese stehen. Und
solange der User auf alles klickt, was nicht bei drei unter dem Maus-
zeiger verschwunden ist, wird es auch nicht besser werden.
Tschau,
--------------
/ h o m a s
--
Permanent Online Filter fuer: User ohne Realnamen im From:-Feld, Full-
quotes (zitieren des originalen Postings unter der eigenen Antwort),
Visitenkarten, HTML-Postings, Invalid- und ungueltige Email-Adressen
Rainer Georg Blankenagel
<nospam...@tremornet.de>>:
> Thomas Gohel in <news:AOt9G...@basicguru.de>:
>
>> Ulrich F. Heidenreich meinte zum Thema "Re: Stockspam vom Hansenet?"
>>
>> Hallo Ulrich,
>>
>>>> Warum merken Millionen von PC-Benutzern weltweit den Mißbrauch ihrer
>>>> Kisten nicht?
>>> Obwohl die Frage vermutlich rhetorisch war, interessiert mich die
>>> Antwort doch irgendwie.
>>
>> Gerne. ;-)
>>
>>> Zumindest ich würde hier sofort mehr als nur stutzig werden, wenn
>>> mein PC ausgehenden Traffic erzeugt, den ich nicht selbst generiert
>>> habe.
>>
>> Dazu müßte der User erstmal mitbekommen, daß er selbst Traffic produziert.
>
> Um das *nicht* mitzubekommen, bedarf es IMHO entweder Tomaten auf den
> Augen und/oder eines Ismirdochegal-Gefühls.
Bei einer Standardinstallation von Windows XP o.ä. ist nicht zwangsläufig
eine Anzeige für ein- oder ausgehenden Traffic zu sehen. Flatrates sind
verbreitet.
>> Dieses ist aber in Zeiten, wo NAT-Router/Modem-Kombinationen zu reinen
>> Modems kastriert werden, um dann einen eigenen PPPoE-Treiber auf dem
>> PC installieren zu können, nicht so einfach.
>
> Vielleicht ist auch mein Win95 da so antiquiert, denn wenn ich eben
> keinen Router, sondern einen PPPoE-Client auf dem Rechner laufen habe,
> dann wird das grüne Fensterchen in der Taskleiste gelb, sobald irgendwas
> übers Netz kommt oder geht. Und dann werde ich neugierig, warum es das
> tut, obwohl ich bewußt nicht im Internet bin. Ist das unter aktuellen
> Betriebssystemen anders? Und mit Router würde mich das nervöse Flackern
> der WAN-Port LED auch stutzig machen, wenn offensichtlich *ich* keinen
> Traffic initiiert habe.
Mein Router steht so, daß ich ihn vom Schreibtisch aus nicht sehen kann.
In allen Kursen, die ich gebe, ist eine Standardfrage: "Wie merke ich
eigentlich, daß ich mir einen Virus oder etwas ähnliches eingefangen habe?"
Wem die Erfahrung fehlt, der bemerkt halt nicht, daß da was versendet wird,
und wer keinen Verdacht hat, der schaut auch nicht nach.
Rainer
Rainer May
> Vielleicht ist auch mein Win95 da so antiquiert, denn wenn ich eben
> keinen Router, sondern einen PPPoE-Client auf dem Rechner laufen habe,
> dann wird das grüne Fensterchen in der Taskleiste gelb, sobald irgendwas
> übers Netz kommt oder geht. Und dann werde ich neugierig, warum es das
> tut, obwohl ich bewußt nicht im Internet bin. Ist das unter aktuellen
> Betriebssystemen anders? Und mit Router würde mich das nervöse Flackern
> der WAN-Port LED auch stutzig machen, wenn offensichtlich *ich* keinen
> Traffic initiiert habe.
Bei XP z.B. wird das Verbindungs-Symbol in der Taskleiste der default
garnicht angezeigt. Und selbst wenn: Viele lassen diese Leiste
automatisch ausblenden usw., wodurch es halt unsichtbar wird.
Was die Verbindungs-Lämpchen am Router/Modem angeht: Der ist zumindest
bei DSL/Flatrate-Benutzern zumeist irgendwo "vergraben" und läuft
ohnehin durch.
Übrigens: Wenn es einen Router gibt, gibt es oft auch ein LAN - und sei
es nur, weil Papa seinen Rechner nicht durchlaufen lassen will, nur weil
Sohnemann sich Porn ziehen möchte. Und damit ist dann IMMER Traffic im
Netz; denn man ist hinter dem NAT-Router ja "sicher", will zudem
jederzeit auf alle Resourcen des anderen Rechners zugreifen können, und
bringt dadurch den Switch mit Broadcasts zum Schwitzen.
Und schließlich: Die Massmail-Bots, die mir bisher unterkamen, sind
inzwischen durchaus intelligent konzipiert: Bewegt sich der Prozessor
gen Weissglut halten sie sich zurück (während des "Raid" also), und
ebenso nehmen sie nicht die ganze Upstream-Bandbreite in Anspruch.
Manche priorisieren sich per QoS auch selbst in den Tiefkeller, um nicht
aufzufallen.
Jedenfalls, wenn unser Mailserver im LAN gerade eine Mailingliste
ausliefert (rd. 800 Adressaten, und i.d.R. recht große Mails) verhält er
sich ähnlich - mit dem Erfolg, dass davon kaum etwas zu spüren ist.
Auch wenn Auto-Vergleiche "pfui" sind: Wenn Du ein SUV mit 18 Litern auf
100 km Verbrauch fährst, fällt es Dir auch nicht auf, wenn dazu noch
zwei Liter durch ein Loch im Tank auf die Straße laufen (vom Geruch mal
abgesehen :) ). Und die Bandbreiten, die heutzutage immer mehr
Privathaushalten zur Verfügung stehen, sind i.d.R. genauso overdressed
wie ein SUV beim Brötchenholen.
Andreas Kohlbach
>
> Korrigiere: ja, nein. Es dürfte in der Tat nur wenige Spambot-Besitzer
> geben, die wissen, was ihre Kiste da macht. Und die meisten haben sich
> aus Unwissenheit oder Leichtsinnigkeit überhaupt erst den Spambot auf
> den Rechner geholt. Hier kann man also eine gewisse Merkbefreitheit
> konstatieren.
> Es dürfte dagegen kaum einen Spambot-Besitzer geben, der nur mit den
> Schultern zuckt, wenn man ihm sagt, was mit seinem Rechner los
> ist.
Ich sehe das anders, kenne einige, die sich schon sagen, "Was solls, ist
doch normal". :-(
> Das heißt natürlich noch lange nicht, dass die daraufhin
> ergriffenen Säuberungsmaßnahmen von Erfolg gekrönt sind ;-)
Die werden gar nicht unternommen.
--
Andreas
In a perfect world, spammers would get caught, go to jail, and share a
cell with many men who have enlarged their penisses, taken Viagra and
are looking for a new relationship.
Andreas Kohlbach
>
> Ulrich F. Heidenreich meinte zum Thema "Re: Stockspam vom Hansenet?"
>
>>> Kisten nicht?
>> Obwohl die Frage vermutlich rhetorisch war, interessiert mich die
>> Antwort doch irgendwie.
>
> Gerne. ;-)
>
>> Zumindest ich würde hier sofort mehr als nur stutzig werden, wenn
>> mein PC ausgehenden Traffic erzeugt, den ich nicht selbst generiert
>> habe.
>
> Dazu müßte der User erstmal mitbekommen, daß er selbst Traffic produziert.
> Dieses ist aber in Zeiten, wo NAT-Router/Modem-Kombinationen zu reinen
> Modems kastriert werden, um dann einen eigenen PPPoE-Treiber auf dem
> PC installieren zu können, nicht so einfach.
Doch. Dem "Modem" nicht die Nutzerkennung und das Passwort mitteilen,
dann sollte es im Bridge-Mode laufen. Aber das macht (außer mir) wohl
kaum jemand.
[...]
>> Sind die alle merkbefreit oder ist's denen egal, was ihr PC rausrotzt?
>
> Yup, ich kenne User, die haben mehr als zwei dutzend verschiedene Bots,
> Trojaner, Root-Viren und andere Spy-Tools auf ihrer Kiste und denen
> ist das völlig egal.
Wundert mich, dass die nicht gegenseitig Krieg führen und um Vorherschaft
buhlen. Obwohl es wohl welche gibt, die Konkurrenten erkennen und
versuchen, auszuschalten. *g*
Ist eigentlich nicht lustig.
Ulrich F. Heidenreich
>Ulrich F. Heidenreich <nospam...@tremornet.de> schrieb:
>[...]
>> Obwohl die Frage vermutlich rhetorisch war, interessiert mich die
>> Antwort doch irgendwie. Zumindest ich würde hier sofort mehr als
>> nur stutzig werden, wenn mein PC ausgehenden Traffic erzeugt, den
>> ich nicht selbst generiert habe. Sind die alle merkbefreit oder
>> ist's denen egal, was ihr PC rausrotzt?
>
>Wie soll man das mit dem ausgehenden Traffic denn merken? Der P2P-Client
>sättigt die Leitung doch sowieso,
*Das* hatte ich ja als eine Möglichkeit schon eingesehen.
Michael Landenberger
> Ich weiß nicht, wie laut PC Festplatten heute sind. Bei meinem
> 1999er PC konnte man noch deutlich Zugriffe hören, wenn man
> etwas Besonderes passierte (ein Programm lief Amok und nahm
> sich allen Speicher, auch Swap, bevor der Kernel ihn abschoss).
Ein Programm kann eine DSL-Leitung zum Glühen bringen, ohne ein einziges Mal
auf die Festplatte zuzugreifen. Auch das Modem teilt einem nicht mehr
akustisch mit, was es tut ;-)
Gruß
Michael
Rainer Georg Blankenagel
> Michael Holzt wrote on 15. September 2007:
>>
>> Ulrich F. Heidenreich wrote:
>>>> Dazu müßte der User erstmal mitbekommen, daß er selbst Traffic produziert.
>>> Um das *nicht* mitzubekommen, bedarf es IMHO entweder Tomaten auf den
>>> Augen und/oder eines Ismirdochegal-Gefühls.
>>
>> Ja? Der 08/15-User mit Flatrate und DSL-Router bemerkt das zwingend
>> woran? Da muss man schon auf den Status der Netzwerkkarte gucken und
>> sich die Bytezähler merken. Macht das jemand?
>
> Ich weiß nicht, wie laut PC Festplatten heute sind. Bei meinem 1999er PC
> konnte man noch deutlich Zugriffe hören, wenn man etwas Besonderes
> passierte (ein Programm lief Amok und nahm sich allen Speicher, auch
> Swap, bevor der Kernel ihn abschoss).
Wenn ich arbeite, ist es normal, daß die Festplatte öfters mal aktiv wird.
Rainer
Uwe Sinha
Andreas Kohlbach <ank...@gmail.com> schrieb:
[...]
> Ich weiß nicht, wie laut PC Festplatten heute sind. Bei meinem 1999er PC
> konnte man noch deutlich Zugriffe hören, wenn man etwas Besonderes
> passierte (ein Programm lief Amok und nahm sich allen Speicher, auch
> Swap, bevor der Kernel ihn abschoss).
Auf meinem Dienst-PC, Bj. Ende 2005, wird 'mandb' per Cronjob immer um
16.00 Uhr ausgeführt. Die Festplattenzugriffe sind nicht zu überhören.
Griettinckx, U-"Ich nehme das immer als Signal zum Kaffeekochen 8-)"-we
--
"Wenn jeder sinnlose Vorschlag ein Aprilscherz wäre, wären
wir weiter." -- Andreas Höfeld in de.admin.news.groups
Thomas Gohel
Hallo Andreas,
>> Yup, ich kenne User, die haben mehr als zwei dutzend verschiedene
>> Bots, Trojaner, Root-Viren und andere Spy-Tools auf ihrer Kiste und
>> denen ist das völlig egal.
> Wundert mich, dass die nicht gegenseitig Krieg führen und um
> Vorherschaft buhlen. Obwohl es wohl welche gibt, die Konkurrenten
> erkennen und versuchen, auszuschalten. *g*
Doch machen sie <g>. Nach dem dritten Durchlauf, also erst einfach mal
direkt einen Virenscanner installiert und durchlaufen lassen, dann per
BartPE, nochmals per Linux-Boot-CD und dann erschien eine riesige Maus
mit großen Ohren auf dem Desktop, die fragte ob ich wüßte was Spyware
ist. ;-)
> Ist eigentlich nicht lustig.
Ne, nicht wirklich, aber gut als abschreckendes Beispiel zu gebrauchen.
Absolut unwitzig fand ich dann aber das was nach der Kaffeerunde
passierte, als ich ausführlich erklärte was so Dialer/Bots/etc. wären ->
Da ging's umgehend übers Netzwerk in das Shared Folder der Frau, um dann
eine "wichtige" Exe zu starten, wo ganz klein unten rechts in der Ecke
"MainPean GmbH" (o.s.ä) stand. Es haben nur Millisekunden gefehlt und
der Dialog wäre wieder wie üblich mit dem Ok-Button weggedrückt worden ...
Ne, witzig ist derartiges nicht mehr, wirklich nicht, aber leider die
traurige Realität in der Masse.
Um zum Topic der Group zurückzukehren: Derartige User müsste man schon
Outgoing im MX blacklisten, damit die eigenen Adressen und Mails nicht
Opfer irgendwelcher Spyware werden.
Tschau,
--------------
/ h o m a s
--
Der neue Internet Trend: Abstossende Postings! Verfasse die Mail in
HTML, niemals mit Realnamen, haenge immer das Original-Posting als
Fullquote an die Antwort, signiere alles konsequent mit einer Visiten-
karte und Du wirst reichlich die diversen Filter begluecken. :-)))))))
Andreas Kohlbach
Wenn man aber mal aufs Klo geht, und beim Wiederkommen es immer noch
rappelt, und das wiederholt auftritt (nicht nur beim Aufs-klo-gehen ;-),
sollte man vielleicht mal hellhörig werden.
Toni Grass
>Rainer Georg Blankenagel wrote on 16. September 2007:
>> Andreas Kohlbach <Andreas Kohlbach <ank...@gmail.com>>:
>>> Michael Holzt wrote on 15. September 2007:
>>>>
>>>> Ja? Der 08/15-User mit Flatrate und DSL-Router bemerkt das zwingend
>>>> woran? Da muss man schon auf den Status der Netzwerkkarte gucken und
>>>> sich die Bytezähler merken. Macht das jemand?
>>>
>>> Ich weiß nicht, wie laut PC Festplatten heute sind. Bei meinem 1999er PC
>>> konnte man noch deutlich Zugriffe hören, wenn man etwas Besonderes
>>> passierte (ein Programm lief Amok und nahm sich allen Speicher, auch
>>> Swap, bevor der Kernel ihn abschoss).
>>
>> Wenn ich arbeite, ist es normal, daß die Festplatte öfters mal aktiv wird.
>Wenn man aber mal aufs Klo geht, und beim Wiederkommen es immer noch
>rappelt, und das wiederholt auftritt (nicht nur beim Aufs-klo-gehen ;-),
>sollte man vielleicht mal hellhörig werden.
Naja, irgendwann zwischen Mitternacht und 3 Uhr früh sortiert hier ein
Cron-Job das XFS um, die dicken Seagate Platten hört man da schon - trotz
8 Lüftern. Und ja, ich habe nachgesehen, welcher Job da so losrattert.
Deutlicher ist da schon der Switch rechts von mir zur Traffic-Kontrolle,
sollte jeder am Schreibtisch stehen haben, nur werden die meisten eher
nichts mit einer hektisch blinkenden Kontrollampe anzufangen wissen. Und
damit sind wir wieder beim Ausgangspunkt: wie merken Otto und Ottilie
Normaluser, daß ihnen ihr PC nicht mehr gehört.
Toni
Andreas Kohlbach
>
> Andreas Kohlbach wrote:
>>> Ja? Der 08/15-User mit Flatrate und DSL-Router bemerkt das zwingend
>>> woran? Da muss man schon auf den Status der Netzwerkkarte gucken und
>>> sich die Bytezähler merken. Macht das jemand?
>> Ich weiß nicht, wie laut PC Festplatten heute sind. Bei meinem 1999er PC
>> konnte man noch deutlich Zugriffe hören,
>
> Zugriff i.d.R. nur wenn es keine Umgebungsgeräusche gibt, und das auch
> nur, weil der Rest des Systems (insbesondere CPU-Lüfter) auch leise ist.
> Bei den üblichen Supermarkt-PCs die von der fraglichen Zielgruppe erworben
> werden, dürfte schon der CPU-Lüfter jegliche Festplattenaktivität
> überdecken.
>
> Zudem: Ein Festplattenzugriff ist nichts ungewöhnliches. Auf jedem modernen
> System laufen Hintergrundprozesse, und da sind auch öfter mal Plattenzugriffe
> nötig, und sei es nur weil die Kiste (Supermarkt-PC halt!) viel zu wenig RAM
> für das neueste klickibunti Windows hat und ständig swappen muß.
>
> Den Benutzer dafür verantwortlich zu machen, daß er den Mißbrauch seiner Kiste
> nicht bemerkt, halte ich zumindest teilweise verfehlt.
Okay.
Weiß man, ob aktuelle Malware denn wenigstens CPU Zeit frisst? So sollte
man es vielleicht merken, falls Programm auf einmal langsamer laufen, als
man es gewohnt ist.
Ulrich F. Heidenreich
>Den Benutzer dafür verantwortlich zu machen, daß er den Mißbrauch seiner Kiste
>nicht bemerkt, halte ich zumindest teilweise verfehlt.
Habe ich das richtig gelesen?
Rainer Georg Blankenagel
> Weiß man, ob aktuelle Malware denn wenigstens CPU Zeit frisst? So sollte
> man es vielleicht merken, falls Programm auf einmal langsamer laufen, als
> man es gewohnt ist.
Passiert bei mir durchaus auch ohne Schadprogramme mal. Winamp erweist sich
beispielsweise je nach Tagesform immer wieder mal als Systembremse.
Rainer
Rainer Georg Blankenagel
> Rainer Georg Blankenagel wrote on 16. September 2007:
>>
>> Andreas Kohlbach <Andreas Kohlbach <ank...@gmail.com>>:
>>
>>> Michael Holzt wrote on 15. September 2007:
>>>>
>>>> Ja? Der 08/15-User mit Flatrate und DSL-Router bemerkt das zwingend
>>>> woran? Da muss man schon auf den Status der Netzwerkkarte gucken und
>>>> sich die Bytezähler merken. Macht das jemand?
>>>
>>> Ich weiß nicht, wie laut PC Festplatten heute sind. Bei meinem 1999er PC
>>> konnte man noch deutlich Zugriffe hören, wenn man etwas Besonderes
>>> passierte (ein Programm lief Amok und nahm sich allen Speicher, auch
>>> Swap, bevor der Kernel ihn abschoss).
>>
>> Wenn ich arbeite, ist es normal, daß die Festplatte öfters mal aktiv wird.
>
> Wenn man aber mal aufs Klo geht, und beim Wiederkommen es immer noch
> rappelt, und das wiederholt auftritt (nicht nur beim Aufs-klo-gehen ;-),
> sollte man vielleicht mal hellhörig werden.
Schon allein die Tatsache, daß der Hamster alle 15 Minuten nach Post
schaut, läßt mich bei Festplattenaktivität nicht mehr zusammenzucken. Und
ich kenne Leute, die würden die entsprechenden Geräusche niemals einer
bestimmten Funktion ihres Rechners zuordnen können. Warum sollten sie auch?
Rainer
Rainer Georg Blankenagel
<nospam...@tremornet.de>>:
> Michael Holzt in <news:slrnfeqqi...@stfu.fqdn.org>:
Wenn sich selbst die Helden der Net-Abuse-Abwehr in dieser Gruppe
offensichtlich nicht einig darüber sind, wie man den Mißbrauch zuverlässig
erkennen könnte, dann ist obige Aussage auf jeden Fall wahr.
Rainer
Ulrich F. Heidenreich
>Benutzer dafür verantwortlich zu machen, daß sie nicht erkennen, daß von
>den zahlreichen Prozessen die Last auf Platte, CPU oder Netzwerk machen
>einer oder mehrere bösartig sind, ist ja wohl mal absolut lachhaft.
Ich halte es für nicht mehr und nicht minder lachaft, als den
Besitzer des hier genannten SUV (Was auch immer das sein mag)
nicht für die Umweltschäden haftbar zu machen, weil er bei 18
Liter Verbrauch die zwei Liter, die er in die Kanalisation
abläßt, ja gar nicht habe merken können.
Ralph Angenendt
> Michael Holzt in <news:slrnfet5l...@stfu.fqdn.org>:
>>Benutzer dafür verantwortlich zu machen, daß sie nicht erkennen, daß von
>>den zahlreichen Prozessen die Last auf Platte, CPU oder Netzwerk machen
>>einer oder mehrere bösartig sind, ist ja wohl mal absolut lachhaft.
>
> Ich halte es für nicht mehr und nicht minder lachaft, als den
> Besitzer des hier genannten SUV (Was auch immer das sein mag)
> nicht für die Umweltschäden haftbar zu machen, weil er bei 18
> Liter Verbrauch die zwei Liter, die er in die Kanalisation
> abläßt, ja gar nicht habe merken können.
Immerhin ein Autovergleich! Und? Wie erkennst du, dass beim Fahren auch
noch woanders Benzin austritt? Und wie erkennst du, dass du einen
bösartigen Prozess auf deinem laufenden System hast?
Ralph
--
Free Schroedinger's cat!
Nicht schreiben können: http://lestighaniker.de/
Andreas Kohlbach
Winamp ist ein Schadprogramm. ;-)
Nun ja, zumindest wohl, wenn man nicht die kleinste Version hat, nach
Hause telefoniert. Weist aber darauf hin, IIRC.
Ulrich F. Heidenreich
>Ulrich F. Heidenreich <nospam...@tremornet.de> schrieb:
>[...]
>> Ich halte es für nicht mehr und nicht minder lachaft, als den
>> Besitzer des hier genannten SUV (Was auch immer das sein mag)
>> nicht für die Umweltschäden haftbar zu machen, weil er bei 18
>> Liter Verbrauch die zwei Liter, die er in die Kanalisation
>> abläßt, ja gar nicht habe merken können.
>
>Am Verbrauch muß er das auch nicht merken, so etwas (also während der
>Fahrt) zuverlangen wöre übertrieben. Aber wie man schon in der
>Fahrschule gelernt hat (oder haben sollte), ist das Fahrzeug vor
>Fahrtantritt vom Fahrzeugführer auf ordnungsgemäßen Zustand zu prüfen
>(Beleuchtung, Bremsen etc.). *Dabei* müßte ein Tank-Leck dann auffallen.
Um beim Vergleich zu bleiben: Mich würde es alleine schon interessieren,
*warum* die Karre ohne ersichtlichen Grund plötzlich 2 Liter mehr
schluckt. Genauso, wie ich neugierig werde, wenn mein PC mehr Traffic
als erwartet erzeugt.
>Analog kann man es Otto Normaluser nicht anlasten, wenn er während des
>normalen Betriebs nichts merkt.
Nicht? Genau daran zweifelte ich ja bei Michaels Aussage. Immerhin leben
wir in einem Land, in dem "Unwissenheit schützt nicht vor Strafe" gilt.
Und daß gerade in dieser Gruppe hier Ausagen wie "man könne den Benutzer
nicht verantwortlich machen, wenn er nichts merke", verwundert mich denn
doch schon ein wenig ...
Chris Bintz
>
> Um beim Vergleich zu bleiben: Mich würde es alleine schon interessieren,
> *warum* die Karre ohne ersichtlichen Grund plötzlich 2 Liter mehr
> schluckt. Genauso, wie ich neugierig werde, wenn mein PC mehr Traffic
> als erwartet erzeugt.
>
Ich habs mal live erlebt. 23-jährige beschwert sich sie käme nicht mehr
ins Internet. Er wäre immer langsamer geworden und jetzt ginge es
garnicht mehr.
Netstat zeigte ca. 30 Verbindungen in alle Welt, der kam prima ins
Internet, nur die Bandbreite reichte nicht mehr für sie. Da half nur
noch format c:
Aber solange es noch irgendwie ging hat sie weitergemacht. Warum er so
langsam war hat sie nicht interessiert, vielleicht ist da auch die
Angst, das der PC eine Weile weg ist und bei den Kiddies, das die Eltern
sauer werden.
Meine Tochter surft nur noch als eingeschränkter Domain User und muffelt
deswegen ganz schön.
--
mfg Chris
http://www.citosoft.com
MSI Zubehör und Ersatzteile
Dietrich Schaffer
[...]
> Da ging's umgehend übers Netzwerk in das Shared Folder der Frau, um dann
> eine "wichtige" Exe zu starten, wo ganz klein unten rechts in der Ecke
> "MainPean GmbH" (o.s.ä) stand.
Gibt's den "Herrn" Richter eigentlich noch?
> Tschau,
>
> --------------
> / h o m a s
Servus,
Dietrich
Christoph Maercker
> Obwohl die Frage vermutlich rhetorisch war, interessiert mich die
> Antwort doch irgendwie. Zumindest ich würde hier sofort mehr als
> nur stutzig werden, wenn mein PC ausgehenden Traffic erzeugt, den
> ich nicht selbst generiert habe. Sind die alle merkbefreit oder
> ist's denen egal, was ihr PC rausrotzt?
Viele Rechner erzeugen Netzwerkverkehr ohne erkennbare Ursache. Ganz
besonders Windoof-PCs können z.B. Hunderte DNS-Anfragen/s u.ä. Unfug ins
Netz blasen. Normal-User können beim besten Willen nicht feststellen,
welcher Traffic normal ist und welcher nicht. Dazu müssten sie zu
allererst wissen, wie der Normalzustand aussieht und wer macht sich
schon die Mühe, das festzustellen, solange alles funktioniert?
Ich würde nicht den Traffic beobachten, sondern gelegentlich prüfen, ob
mein Rechner TCP-Port 25 offen hält bzw. auffallend oft Port 25 auf
anderen Rechnern bedient. Aber auch das ist nix, was PC-Laien
feststellen könnten.
BTW: Hansenet ist in den letzten Wochen so oft durch Spam aufgefallen,
dass deren IPs längst in meinem Filter gelandet sind.
Und noch eine Frage:
Wenn man feststellt, dass ein Rechner als Bot arbeitet, lassen sich
daraus einige Informationen gewinnen, z.B.
- die Herkunft des Masters, der die Bots steuert
- weitere Rechner, die zum Botnet gehören
- die Adresslisten und deren Herkunft
- sonstiges?
--
CU Christoph Maercker.
Ulrich F. Heidenreich
>Ulrich F. Heidenreich wrote:
>> Obwohl die Frage vermutlich rhetorisch war, interessiert mich die
>> Antwort doch irgendwie. Zumindest ich würde hier sofort mehr als
>> nur stutzig werden, wenn mein PC ausgehenden Traffic erzeugt, den
>> ich nicht selbst generiert habe. Sind die alle merkbefreit oder
>> ist's denen egal, was ihr PC rausrotzt?
>
>Viele Rechner erzeugen Netzwerkverkehr ohne erkennbare Ursache. Ganz
>besonders Windoof-PCs können z.B. Hunderte DNS-Anfragen/s u.ä. Unfug ins
>Netz blasen. Normal-User können beim besten Willen nicht feststellen,
>welcher Traffic normal ist und welcher nicht. Dazu müssten sie zu
>allererst wissen, wie der Normalzustand aussieht und wer macht sich
>schon die Mühe, das festzustellen, solange alles funktioniert?
Die Crux scheint mir eher darin zu liegen, daß es für Windows-User der
Normalzustand ist, daß eben nicht alles funktioniert ;-) SCNR, bin ja
selbst Windows-User ...
>Ich würde nicht den Traffic beobachten,
Ich auch nicht, aber gerade der ist es IMHO doch, der /gerade/ dem
Unbedarften auffallen müßte. Der Grundsatz "Ein PC macht nicht das, was
man will, sondern das, was man ihm sagt" sollte auch Laien bekannt sein
und sie zum Umkehrschluß bringen, wenn der Computer was tut, was ihm
nicht gesagt wurde, daß da irgend etwas oberfaul sein muß.
>sondern gelegentlich prüfen, ob
>mein Rechner TCP-Port 25 offen hält
Eher am Rande: Der *ist* hier offen (Bevor hier Panik aufkommt: Der
nimmt nur Mail an, aber relayed nirgendwohin). Was würde ein armer
Bot wohl machen, wollte er sich hier darauf installieren?
>bzw. auffallend oft Port 25 auf
>anderen Rechnern bedient. Aber auch das ist nix, was PC-Laien
>feststellen könnten.
Dazu bedarf es nicht einmal eines "auffallend oft", sondern es reicht
IMHO schon die Tatsache, wenn Port 25 auf einem *anderen* Rechner als
dem eigenen Smarthost kontaktiert wird. Gängige Pseudo-Firewalls sollten
das schon irgendwie leisten können; offensichtlich tun sie es aber wohl
nicht, denn darüber könnte auch der unbedarfteste User feststellen, daß
sein PC unkontrolliert mailt. Oder mache ich da jetzt einen Denkfe_ler?
Rainer May
> dem eigenen Smarthost kontaktiert wird. Gängige Pseudo-Firewalls sollten
> das schon irgendwie leisten können; offensichtlich tun sie es aber wohl
> nicht, denn darüber könnte auch der unbedarfteste User feststellen, daß
> sein PC unkontrolliert mailt. Oder mache ich da jetzt einen Denkfe_ler?
>
Ja. Du gehst nämlich davon aus, dass derartige Software tatsächlich a)
installiert, b) aktiviert und c) halbwegs aktuell ist (die
Pseudo-Firewall meine ich - danke für den Begriff :) )
Immer noch ist die Mehrzahl der Windows-PC nicht mit XP-SP2 oder
meinetwegen auch Vista ausgerüstet, und evtl. vorhandene
Gelbschachtelware wurde von des Nachbarn 12jährigem PC-Crack
deaktiviert, weil sie mit wichtigtuerischen Popups und Fragen nervte.
Oer das vom vorerwähnten Crack über das zum Gerät gehörendende XP-Home
wurde mit XP-Pro überbügelt, und natürlich traut man sich seither aus
Angst vor MS nicht mal mehr in die Nähe einer Update-Site, so dass dank
ungepatchter Sicherheitslücken die Designfehler einer PFW voll zum
Tragen kommen: Sheriff PFW patroulliert zwar öffentlichkeitswirksam,
aber die Macht auf dem PC liegt schon lange bei der Wurm-Mafia.
Was übrigens nicht nur für private, sondern auch viele kommerziell
genutzte PC gilt, vor allem in kleineren KMUs, in denen die IT-Abteilung
ein Nebenjob des Betriebs-Elektrikers ist.
Es gibt sehr wenige Situationen, "dank" derer man an einer
AIDS-Ansteckung völlig unschuldig ist. Die allermeisten Neuinfektionen
gehen auf Leichtsinn, Gleichgültigkeit, Nichtwissen und
"mir-passiert-schon-nix" zurück. Ist bei PC-Malware nicht anders.
Michael Landenberger
> BTW: Hansenet ist in den letzten Wochen so oft durch Spam
> aufgefallen, dass deren IPs längst in meinem Filter gelandet
> sind.
Grundsätzlich empfiehlt es sich, Mails von Servern mit dynamischer IP oder
ohne RDNS hochzuscoren (wohlgemerkt nur hochzuscoren, nicht zu blocken). Das
betrifft aber beileibe nicht nur Hansenet-IPs. Ich z. B. habe in letzter
Zeit sehr häufig den T-DSL-Business-Abusedesk anschreiben müssen, den von
Hansenet dagegen eher selten. Und der meiste Dreck kommt sowieso von
verwurmten Kisten in Osteuropa, Fernost oder Übersee. Aber egal: mein
Mailprovider hat seinen SpamAssassin so im Griff, dass so gut wie aller Müll
im Spamordner landet, während erwünschte Mails zuverlässig die Inbox
erreichen.
> Und noch eine Frage:
> Wenn man feststellt, dass ein Rechner als Bot arbeitet,
> lassen sich daraus einige Informationen gewinnen, z.B.
> - die Herkunft des Masters, der die Bots steuert
> - weitere Rechner, die zum Botnet gehören
> - die Adresslisten und deren Herkunft
> - sonstiges?
Vielleicht bekommt man das auf dem Umweg über die beworbenen URLs heraus.
Für weitergehende Informationen müsste man aber sicher den Bot unter die
Lupe nehmen, was ein gemeiner Spammerjäger allerdings üblicherweise nicht
kann.
Gruß
Michael
Ulrich F. Heidenreich
>Ulrich F. Heidenreich schrieb:
>
>> dem eigenen Smarthost kontaktiert wird. Gängige Pseudo-Firewalls sollten
>> das schon irgendwie leisten können; offensichtlich tun sie es aber wohl
>> nicht, denn darüber könnte auch der unbedarfteste User feststellen, daß
>> sein PC unkontrolliert mailt. Oder mache ich da jetzt einen Denkfe_ler?
>>
>
>Ja. Du gehst nämlich davon aus, dass derartige Software tatsächlich a)
>installiert, b) aktiviert und c) halbwegs aktuell ist (die
>Pseudo-Firewall meine ich - danke für den Begriff :) )
"Pseudo" habe ich sie bewußt genannt, weil ich damit auf diese
"Sicherheitspakete" ansprach, die sich zwar (Personal) Firewall
schimpfen, aber völlig andere Aufgaben leisten. Das ausgehende
Sperren des Ports 25 mit der Ausnahme des eigenen Smarthosts hielt
ich durchaus für eine passende Aufgabe für genau solche Art von
Utilities.
Die Frage nach dem Denkfe_ler bezog sich aber darauf, ob meine
Idee als solche vielleicht eine dumme[TM] sei.
Christoph Maercker
> Das betrifft aber beileibe nicht nur Hansenet-IPs. Ich z. B.
> habe in letzter Zeit sehr häufig den T-DSL-Business-Abusedesk
Ja, den leider auch. So zwecklos das ist.
> Dreck kommt sowieso von verwurmten Kisten in Osteuropa, Fernost oder
> Übersee.
Was von dort kommt, kann man allein schon auf Grund seiner Herkunft
wegfiltern.
> Griff, dass so gut wie aller Müll im Spamordner landet, ...
Solange der SpamAssassin auf unserem Mailserver werkelt, stimmt das.
Wenn er mal offline ist, übernimmt mein privater Filter. Der erledigt
seine Aufgabe nur allzu gut und ...
> erwünschte Mails zuverlässig die Inbox erreichen.
... dank einer gut gepflegten Whitelist beißt er nicht alzu oft über.
Bzgl. False-Positives ist der SpamAssasin natürlich super. Bei uns hat
es bisher fast keine gegeben und das will bei über 2.000 Usern was heißen.
> Vielleicht bekommt man das auf dem Umweg über die beworbenen URLs
> heraus.
Falls dessen Betreiber so ein Trottel ist wie Andreas Kohlbach kürzlich
in Saudi Arabien entdeckt hat, vielleicht.
> Für weitergehende Informationen müsste man aber sicher den Bot
> unter die Lupe nehmen, was ein gemeiner Spammerjäger allerdings
> üblicherweise nicht kann.
Wo liegen da die Probleme? Wenn man einen entdeckten Bot ein Weilchen
weiter werkeln lässt und zugleich dessen LAN-Traffic abhört, müsste sich
doch der Master eines Botnets feststellen lassen. Der muss doch ab und
an seine Schäfchen mit neuen Adressen, versorgen, Status abfragen etc.,
oder tut er das nur alle paar Tage?
--
CU Christoph Maercker.
Jens Müller
> Naja, irgendwann zwischen Mitternacht und 3 Uhr früh sortiert hier ein
> Cron-Job das XFS um, die dicken Seagate Platten hört man da schon - trotz
> 8 Lüftern. Und ja, ich habe nachgesehen, welcher Job da so losrattert.
> Deutlicher ist da schon der Switch rechts von mir zur Traffic-Kontrolle,
> sollte jeder am Schreibtisch stehen haben
Nein. Hier an der Uni gab es neulich ein äußerst schwer lokalisierbares
Netzproblem, bedingt durch einen nicht-gemanagten inoffiziell
installierten defekten Miniswitch.
Gabriele Neukam
> Wenn man einen entdeckten Bot ein Weilchen weiter werkeln lässt und zugleich
> dessen LAN-Traffic abhört, müsste sich doch der Master eines Botnets
> feststellen lassen. Der muss doch ab und an seine Schäfchen mit neuen
> Adressen, versorgen, Status abfragen etc., oder tut er das nur alle paar
> Tage?
Er tut das jedes mal von woanders her. Auch die Master werden
inzwischen nach dem Peer-Prinzip umgelagert; es gibt eine
Zwischenschicht aus einer Vielzahl gekaperter Maschinen, die eine nach
der anderen die Befehle verteilen.
Es würde mich nicht überaschen, wenn einige der Bots die besonders
leistungsfähig sind oder in Ländern stehen in denen sich keiner um
Beschwerden kümmert, zum Aufbau dieser Zwischenschicht herangezogen
werden - doppelter "Nutzen". :-(
Gabriele Neukam
--
Often those who most loudly proclaim their freedom to choose in some
fields are the most retentive about 'correcting' others' choices in
other fields.
(Brian Brunner in alt.games.diablo2)
Toni Grass
Eigentlich meinte ich ja ein Heimnetzwerk und nicht irgendwas in Größe
einer Uni, hätte ich dazusagen sollen.
Toni
Jost Krieger
> Und noch eine Frage:
> Wenn man feststellt, dass ein Rechner als Bot arbeitet, lassen sich
> daraus einige Informationen gewinnen, z.B.
> - die Herkunft des Masters, der die Bots steuert
> - weitere Rechner, die zum Botnet gehören
> - die Adresslisten und deren Herkunft
> - sonstiges?
Vieles davon kann man herausfinden, wenn man
a) Betreiber des Netzes ist, das den Bot beherbergt, und
b) viel Zeit, Energie, Kenntnisse hat und/oder
keine Angst vorm Hackerparagraphen ;-(
Als Bot-Auswurf-Empfänger hat man meist keins von beiden und die
Netzbetreiber scheuen (verständlicherweise) Punkt b). Selbst ein extrem
schlechter Ruf bei Spammerbekämpfern dürfte sich nicht in der Bilanz
bemerkbar machen und auch eine lange Liste von ROKSO-Spammern wirkt
kaum, wenn man wirklich groß ist (und an sowas kommt man kaum ohne
Vorsatz, im Gegensatz zu den Bot-Armeen, die die Provider sich ja wohl
kaum absichtlich einhandeln).
Gruß Jost |8-))
Christoph Maercker
> Er tut das jedes mal von woanders her. Auch die Master werden inzwischen
> nach dem Peer-Prinzip umgelagert; es gibt eine Zwischenschicht aus einer
> Vielzahl gekaperter Maschinen, die eine nach der anderen die Befehle
> verteilen.
Danke, das erklärt's. Wenn die Methode überhaupt Erfolg haben soll,
müssten enttarnte "Proxies" genauer unter die Lupe genommen werden,
bevor sie dicht gemacht werden. Die treten ja direkt mit dem Master in
Verbindung, falls die Struktur nicht sogar mehrschichtig aufgebaut ist.
Die "Proxies" sind ja lt. Heise ebenso gekaperte Rechner wie die
eigentlichen Bots. Letztere wiederum könnten zu den "Proxies" führen.
Hauptproblem dürfte sein, dass diese ständig wechseln.
--
CU Christoph Maercker.
Matthias Roth
> Ja, und er ist immer noch aktiv.
Und schon wieder ein Doppelpack Arbeit für die Bafin.
| Received: from platz-01 (78.48.228.123) by webmail.hansenet.de
| (7.3.118.12) (authenticated as shareh...@alice-dsl.de) ...
| Wed, 26 Sep 2007 03:12:58 +0200
| Received: from platz-01 (78.48.228.123) by webmail.hansenet.de
| (7.3.118.12) (authenticated as shareh...@alice-dsl.de) ...
| Wed, 26 Sep 2007 08:53:19 +0200
Bei diesen Absendezeiten glaube ich fast nicht an ein Internetcafe.
Spammerle scheint sportlich aktiv (und mäßig erfolgreich) zu sein und
nennt vielleicht deshalb seinen Rechner platz-01 - Wunschvorstellung.
Hansenet hat offenbar nichts gegen ihn unternommen.
M.
Thomas Neumann
Unterlassungserklärungen, WBZ-, Bafin-Meldungen und Strafanzeigen
bitte die folgende Adresse verwenden:
Stefan Tom Fallah-Tafti
Mauenheimer Str. 153
50733 Köln
Tel: 0221-2981422
Handy: 0173-7874748
Er gibt (noch) sehr bereitwillig Auskunft über seine Spammerei und
deren Hintergründe. Lang lebe die Telefonflat.
Ist er nicht ein toller Hecht? Ziemlich verlebt für knapp 41.
http://www.jux.de/TomStar1 (Igitt, die Seite gehört der Unister.)
http://www.jux.de/memberfiles/cache/_36/thn_b_e50b6b2743297ad2be6d70b7560134de.jpg
"Besondere Kennzeichen: Groß,muskulös,sexy"
So nennt man also heute deutliches Übergewicht.
"Größter Wunsch: Olympiasieger 2008 über 100m"
Und das bei 17,27 s über diese Strecke am 29.05.2004.
"Lieblingsband/-sänger: Robbie,Buble,Take That,House"
Ach so. Das erklärt alles.
Zur Abrundung noch einige andere Details, die ich ihm mit
quecksilberner Zunge am Kölner Telefon entlockt habe:
- Er hat die Mails tatsächlich verschickt. Kein JoeJob!
- Er hat natürlich vorher Aktien der beworbenen Firma gekauft.
- Er freut sich jetzt ganz doll, dass deren Kurs hochgegangen ist.
- Er hat noch nie was von Pump&Dump gehört. Sagt er.
- Er weiß auch nicht, dass das verboten ist. Sagt er.
- Er will doch nur anderen Menschen helfen!
- Er hat die Adressen angeblich von Buonecose gekauft.
Dumm gelaufen.
TN