Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
ve308.venus.fastwebserver.de will eindringen
11 views
Skip to first unread message
Helmut Hullen
May 3, 2016, 3:41:48 PM5/3/16
to
Hallo alle miteinander,
ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
Und Google zeigt, dass ich nicht das einzige Ziel solcher Versuche bin.
Heute gegen 9 Uhr habe ich "ab...@myloc.de" informiert; denen gehört
nicht nur der Adressbereich, die tauchen auch als letzte Stationen bei
"traceroute" auf.
Keine Änderung.
Gegen 15 Uhr habe ich angerufen und landete bei einer anderen Stelle,
die anscheinend nichts mit der Abuse-Stelle zu tun hatte. Kern der
Antworten:
Wir loggen nicht mit. Wenn sich einzelne Leute beschweren, dann
empfehlen wir, dass diese Opfer ihre Firewall-Einstellungen ändern. Es
kann durchaus 7 Tage dauern, bis wir den Kunden kontaktieren.
Um 17 Uhr immer noch keine Änderung, also habe ich auch noch das
Kontakt-Formular auf der Myloc-Seite ausgefüllt. Anscheinend hat aber
Myloc bereits Feierabend ... (und der Automat des Kunden immer noch
nicht)
Viele Gruesse!
Helmut
ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
Und Google zeigt, dass ich nicht das einzige Ziel solcher Versuche bin.
Heute gegen 9 Uhr habe ich "ab...@myloc.de" informiert; denen gehört
nicht nur der Adressbereich, die tauchen auch als letzte Stationen bei
"traceroute" auf.
Keine Änderung.
Gegen 15 Uhr habe ich angerufen und landete bei einer anderen Stelle,
die anscheinend nichts mit der Abuse-Stelle zu tun hatte. Kern der
Antworten:
Wir loggen nicht mit. Wenn sich einzelne Leute beschweren, dann
empfehlen wir, dass diese Opfer ihre Firewall-Einstellungen ändern. Es
kann durchaus 7 Tage dauern, bis wir den Kunden kontaktieren.
Um 17 Uhr immer noch keine Änderung, also habe ich auch noch das
Kontakt-Formular auf der Myloc-Seite ausgefüllt. Anscheinend hat aber
Myloc bereits Feierabend ... (und der Automat des Kunden immer noch
nicht)
Viele Gruesse!
Helmut
Marc Haber
May 3, 2016, 4:26:11 PM5/3/16
to
Andreas Kohlbach <mai16.1...@spamgourmet.net> wrote:
>Aber bei asXXXX.net läuten bei mir immer schon die
>Alarmglocken.
Weil das eine extrem gängige Benennung für die Infrastruktur mittlerer
Internetprovider ist, oder warum?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
>Aber bei asXXXX.net läuten bei mir immer schon die
>Alarmglocken.
Weil das eine extrem gängige Benennung für die Infrastruktur mittlerer
Internetprovider ist, oder warum?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Marc Haber
May 4, 2016, 5:29:12 AM5/4/16
to
Andreas Kohlbach <mai16.1...@spamgourmet.net> wrote:
>
>Aber dieses Muster taucht bei mir sehr oft in Verbindung mit Spam auf,
>dass ich die alle - nun vermutlich zu Unrecht - über einen Kamm scherte.
Ja, Spam wird größtenteils per TCP übertragen. Klingeln jetzt bei
jedem TCP SYN die Alarmglocken?
>On Tue, 03 May 2016 22:26:10 +0200, Marc Haber wrote:
>> Andreas Kohlbach <mai16.1...@spamgourmet.net> wrote:
>>>Aber bei asXXXX.net läuten bei mir immer schon die
>>>Alarmglocken.
>>
>> Weil das eine extrem gängige Benennung für die Infrastruktur mittlerer
>> Internetprovider ist, oder warum?
>
>Wusste ich nicht.
>> Andreas Kohlbach <mai16.1...@spamgourmet.net> wrote:
>>>Aber bei asXXXX.net läuten bei mir immer schon die
>>>Alarmglocken.
>>
>> Weil das eine extrem gängige Benennung für die Infrastruktur mittlerer
>> Internetprovider ist, oder warum?
>
>
>Aber dieses Muster taucht bei mir sehr oft in Verbindung mit Spam auf,
>dass ich die alle - nun vermutlich zu Unrecht - über einen Kamm scherte.
Ja, Spam wird größtenteils per TCP übertragen. Klingeln jetzt bei
jedem TCP SYN die Alarmglocken?
Helmut Hullen
May 4, 2016, 6:57:12 AM5/4/16
to
Hallo, Andreas,
Du meintest am 03.05.16:
>> ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
>> ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
>> System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
[...]
> as5580.net (hibernianetworks.com Niederlande) scheint Uplink zu
> sein. Aber bei asXXXX.net läuten bei mir immer schon die
> Alarmglocken. Sonst hätte ich gesagt, man könnte zu denen eskalieren,
> wenn myloc.de selbst nicht reagiert.
Hier (D): die letzten beiden Stationen vorm Zielrechner sind (sagt
"traceroute") von myloc.de
Der Automat werkelt immer noch, jetzt per "anonymous ftp". "Myloc"
scheint die "Mitstörer-Haftung" noch nicht zu kennen.
Viele Gruesse!
Helmut
Du meintest am 03.05.16:
>> ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
>> ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
>> System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
> as5580.net (hibernianetworks.com Niederlande) scheint Uplink zu
> sein. Aber bei asXXXX.net läuten bei mir immer schon die
> Alarmglocken. Sonst hätte ich gesagt, man könnte zu denen eskalieren,
> wenn myloc.de selbst nicht reagiert.
Hier (D): die letzten beiden Stationen vorm Zielrechner sind (sagt
"traceroute") von myloc.de
Der Automat werkelt immer noch, jetzt per "anonymous ftp". "Myloc"
scheint die "Mitstörer-Haftung" noch nicht zu kennen.
Viele Gruesse!
Helmut
Nomen Nescio
May 4, 2016, 9:11:56 PM5/4/16
to
"Helmut Hullen" <Hel...@Hullen.de> wrote:
> Um 17 Uhr immer noch keine Aenderung
Es koennte sich um eine Tor-Node handeln. Da kann der Provider nicht viel
machen. Verwendest du einfach zu erratende Passworte oder warum die
Aufregung?
> Um 17 Uhr immer noch keine Aenderung
Es koennte sich um eine Tor-Node handeln. Da kann der Provider nicht viel
machen. Verwendest du einfach zu erratende Passworte oder warum die
Aufregung?
Thomas Hochstein
May 5, 2016, 10:30:02 AM5/5/16
to
Helmut Hullen schrieb:
> ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
> ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
> System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
Das ist ja wahnsinnig spannend.
(Will sagen: dictionary-Angriffe auf SSH, SMTP-Auth und natürlich FTP
sind Alltag. Wenn ich da jedes Mal eine Mail schreiben würde, käme ich
zu sonst nichts mehr. Installier Dir halt fail2ban oder etwas in der
Art, dann müllt es Dir die Logs nicht zu - und Du siehst dann auch, ob
das nur ein Host ist oder ein ganzes Botnet.)
-thh
> ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
> ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
> System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
(Will sagen: dictionary-Angriffe auf SSH, SMTP-Auth und natürlich FTP
sind Alltag. Wenn ich da jedes Mal eine Mail schreiben würde, käme ich
zu sonst nichts mehr. Installier Dir halt fail2ban oder etwas in der
Art, dann müllt es Dir die Logs nicht zu - und Du siehst dann auch, ob
das nur ein Host ist oder ein ganzes Botnet.)
-thh
Helmut Hullen
May 5, 2016, 3:31:59 PM5/5/16
to
Hallo, Thomas,
Du meintest am 05.05.16:
>> ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
>> ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
>> System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
> Das ist ja wahnsinnig spannend.
> (Will sagen: dictionary-Angriffe auf SSH, SMTP-Auth und natürlich FTP
> sind Alltag. Wenn ich da jedes Mal eine Mail schreiben würde, käme
> ich zu sonst nichts mehr.
Wenn der Provider im Ausland sitzt, verfahre ich so ähnlich. Meistens
blocke ich dann */16- oder */24-Bereiche.
> Installier Dir halt fail2ban oder etwas in
> der Art, dann müllt es Dir die Logs nicht zu - und Du siehst dann
> auch, ob das nur ein Host ist oder ein ganzes Botnet.)
"etwas in der Art" läuft hier schon seit vielen Jahren. Aber bei
Versuchen im 40-Minuten-Takt ist die Grenze zu erlaubten
Anklopfversuchen schmal. Zudem halte ich es für "kollegial", die Abuse-
Abteilung rechtzeitig (und höflich) zu informieren. T-Online pflegt dann
rasch (und wirksam) zu reagieren, einige andere Provider auch.
Meistens (immer?) wird ja nicht ein einziges Opfer belästigt, sondern
ein grosser Stapel irgendwoher beschaffter IP-Adressen.
Am Rande: anscheinend hat "myloc" inzwischen den (virtuellen?)
Seitenschneider angesetzt - schön!
Viele Gruesse!
Helmut
Du meintest am 05.05.16:
>> ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
>> ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
>> System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
> Das ist ja wahnsinnig spannend.
> (Will sagen: dictionary-Angriffe auf SSH, SMTP-Auth und natürlich FTP
> sind Alltag. Wenn ich da jedes Mal eine Mail schreiben würde, käme
> ich zu sonst nichts mehr.
blocke ich dann */16- oder */24-Bereiche.
> Installier Dir halt fail2ban oder etwas in
> der Art, dann müllt es Dir die Logs nicht zu - und Du siehst dann
> auch, ob das nur ein Host ist oder ein ganzes Botnet.)
Versuchen im 40-Minuten-Takt ist die Grenze zu erlaubten
Anklopfversuchen schmal. Zudem halte ich es für "kollegial", die Abuse-
Abteilung rechtzeitig (und höflich) zu informieren. T-Online pflegt dann
rasch (und wirksam) zu reagieren, einige andere Provider auch.
Meistens (immer?) wird ja nicht ein einziges Opfer belästigt, sondern
ein grosser Stapel irgendwoher beschaffter IP-Adressen.
Am Rande: anscheinend hat "myloc" inzwischen den (virtuellen?)
Seitenschneider angesetzt - schön!
Viele Gruesse!
Helmut
0 new messages