(OT) Das Haluk

[Christoph Bott]

Hi allerseits,

Ich lese nun schon laenger hier mit und will nun mal was zum Thema das
Haluk loswerden.
Nachdem dieses etwas hier ja schon laenger nervt (auch wenn
zugegebenermassen seine Aeusserungen einen gewissen Unterhaltungsgrad
haben) und es ja eigentlich inzwischem jedem klar ist, dass das Haluk
ein echt schlechter Fake sein muss, mal ne vielleicht bloede Frage:
Ich kenn mich nun mit NNTP-Headern ja nicht wirklich aus, inwieweit
sind hier fakes moeglich? Ich lese aus Haluk-Messages folgendes
heraus:

> From: Haluk <Ho...@gmx.de>
> Newsgroups: de.comp.security.misc
> Subject: Re: Ports nur closed aber nicht stealthed

[..]

> Message-ID: <aj3q1e$pl0$1...@nx6.HRZ.Uni-Dortmund.DE>
> References: <aj34to$g5d$00$1...@news.t-online.com>
> <slrnala87s....@humbert.ddns.org> <aj3gaj$u98$06$1...@news.t-online.com>
> NNTP-Posting-Host: barop.wh.uni-dortmund.de
^^^^^^^^^^^^^^^^^^^^^^^^^
Das ist doch jetzt der Rechner, von dem aus der Beitrag geposted
wurde?

[..]

> NNTP-Posting-Date: 10 Aug 2002 19:37:18 GMT
> User-Agent: KNode/0.7.1
^^^^^^^^^^^^
Hmm, seit wann gibts KNode fuer Win2K? ;-/

Zum Thema Haluks "hochsicherheits-ich-bin-der-sicherste-rechner-im-groessten-netzwerk-der-welt"
- Rechner:

$ nmap -sT barop.wh.uni-dortmund.de

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Interesting ports on barop.wh.Uni-Dortmund.DE (129.217.129.129):
(The 1526 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
23/tcp filtered telnet
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https
515/tcp open printer
901/tcp filtered samba-swat
2049/tcp filtered nfs
3128/tcp filtered squid-http
3306/tcp open mysql
20005/tcp filtered btx

Nmap run completed -- 1 IP address (1 host up) scanned in 21 seconds
BTW, mein Rechner laeuft noch....

Achso, damit das Haluk mal wieder mit der Nase draufgestossen wird,
wie man mit telnet ASCII-basierte Protokolle verwenden kann und dass
SuSE _nicht_ der Hersteller von Win2k ist....

$ telnet barop.wh.uni-dortmund.de 25
Trying 129.217.129.129...
Connected to barop.wh.uni-dortmund.de.
Escape character is '^]'.
220 barop.wh.uni-dortmund.de ESMTP Sendmail 8.10.2/8.10.2/SuSE Linux
8.10.0-0.3;
Mon, 12 Aug 2002 11:23:48 +0200
QUIT

So long,

-XoF-, <verwundert-den-kopf-schuettel>

PS: Achja, ganz vergessen:
Meine Theorie:
a) die Angaben im Header sind gekonnt gefaked, dann kann das Haluk
nicht so bloed sein, wie es tut
b) die Angaben im Header sind korrekt........

Egal wierum:
Haluk, bitte geh sterben!

[Urs [Ayahuasca] Traenkner]

Christoph Bott wrote:
>> From: Haluk <Ho...@gmx.de>

>> NNTP-Posting-Host: barop.wh.uni-dortmund.de
> ^^^^^^^^^^^^^^^^^^^^^^^^^
>Das ist doch jetzt der Rechner, von dem aus der Beitrag geposted
>wurde?

Jo.

>> User-Agent: KNode/0.7.1
> ^^^^^^^^^^^^
>Hmm, seit wann gibts KNode fuer Win2K? ;-/

Er daddelt gerade mit dem Feind :)

>- Rechner:
>$ nmap -sT barop.wh.uni-dortmund.de

[ellenlange Liste]

Es ist noch schlimmer. Bei diesem Rechner handelt es sich nicht um
Haluks Gurke, sondern um "den voll krasses Proxy" des Wohnheims.
Sprich, die Kiste spielt den Newsserver nach innen und aussen u.a.,
egal wer aus dem Wohnheim in de.* postet, hat immer barop als posting
host.

>$ telnet barop.wh.uni-dortmund.de 25
>Trying 129.217.129.129...
>Connected to barop.wh.uni-dortmund.de.
>Escape character is '^]'.
>220 barop.wh.uni-dortmund.de ESMTP Sendmail 8.10.2/8.10.2/SuSE Linux
>8.10.0-0.3;
>Mon, 12 Aug 2002 11:23:48 +0200
>QUIT

Nicht so schlimm. Erstmal braucht es als Absenderadresse
@uni-dortmund.de, und zweitens konnte ich mir selbst keine Mail
schicken, weil meine IP nicht gestimmt hat. Also muesste man mit IP
spoofing da rangehen, nicht mehr trivial zumindest.

Die Diensteliste sieht schon saumaessig aus, ja.

>Haluk, bitte geh sterben!

Kein Tierfreund?

Gruss Urs...
--
Arbeit ist der Fluch der Trinkerklasse.

Oscar Wilde

[Martin Wysada]

Christoph Bott wrote:
>>Message-ID: <aj3q1e$pl0$1...@nx6.HRZ.Uni-Dortmund.DE>
>>References: <aj34to$g5d$00$1...@news.t-online.com>
>><slrnala87s....@humbert.ddns.org> <aj3gaj$u98$06$1...@news.t-online.com>
>>NNTP-Posting-Host: barop.wh.uni-dortmund.de
>
> ^^^^^^^^^^^^^^^^^^^^^^^^^
> Das ist doch jetzt der Rechner, von dem aus der Beitrag geposted
> wurde?

jo, das kommt mir bekannt vor

> $ nmap -sT barop.wh.uni-dortmund.de

[portliste]

ui, das ist ein bissel viel

> PS: Achja, ganz vergessen:
> Meine Theorie:
> a) die Angaben im Header sind gekonnt gefaked, dann kann das Haluk
> nicht so bloed sein, wie es tut
> b) die Angaben im Header sind korrekt........

-->> bis auf die Email Adresse habe ich das auch, ausserdem steht
sein Name an der Tür (ich war drüben, weil ich es erst nicht
glauben wollte)

MfG
Martin

--
Tactical Ops: Visit us at www.aeon-clan.org
IRC: irc.de.quakenet.eu.org, channel #æON
http://how.to/dchn Faq aus de.comp.hardware.netzwerke
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

[Ralf Gross]

Martin Wysada wrote:

>> PS: Achja, ganz vergessen:
>> Meine Theorie:
>> a) die Angaben im Header sind gekonnt gefaked, dann kann das Haluk
>> nicht so bloed sein, wie es tut
>> b) die Angaben im Header sind korrekt........
>
> -->> bis auf die Email Adresse habe ich das auch, ausserdem steht
> sein Name an der Tür (ich war drüben, weil ich es erst nicht
> glauben wollte)

Also hat die Uni-Dortmund keinen Plan?

Ralf

--
Diplomacy is the art of saying "nice doggy" until you can find a rock.
- Bjorn Sandberg

[Patrick Kursawe]

Martin Wysada <valh...@gmx.net> schrieb:

> -->> bis auf die Email Adresse habe ich das auch, ausserdem steht
> sein Name an der Tür (ich war drüben, weil ich es erst nicht
> glauben wollte)

<AOL>SEND PIXXXX!!!!!!11</AOL>

Tschüs, Patrick

[Peter J. Holzer]

On 2002-08-12 09:59, Christoph Bott <cbott...@evonet.de> wrote:
> Ich kenn mich nun mit NNTP-Headern ja nicht wirklich aus, inwieweit
> sind hier fakes moeglich?

Hängt von der Konfiguration des Newsservers, bei dem "eingeliefert"
wird, ab.

> Ich lese aus Haluk-Messages folgendes heraus:
>
>> From: Haluk <Ho...@gmx.de>
>> Newsgroups: de.comp.security.misc
>> Subject: Re: Ports nur closed aber nicht stealthed
>
> [..]
>
>> Message-ID: <aj3q1e$pl0$1...@nx6.HRZ.Uni-Dortmund.DE>
>> References: <aj34to$g5d$00$1...@news.t-online.com>
>> <slrnala87s....@humbert.ddns.org> <aj3gaj$u98$06$1...@news.t-online.com>
>> NNTP-Posting-Host: barop.wh.uni-dortmund.de
> ^^^^^^^^^^^^^^^^^^^^^^^^^
> Das ist doch jetzt der Rechner, von dem aus der Beitrag geposted
> wurde?

Schaut so aus. Aber z.B. Martin Wysada postet vom gleichen Host aus,
also dürfte es sich bei barop eher um einen Studentenserver handeln als
um Haluks persönliche Kiste.

hp

--
_ | Peter J. Holzer | Schlagfertigkeit ist das, was einem
|_|_) | Sysadmin WSR | auf dem Nachhauseweg einfällt.
| | | h...@hjp.at | -- Lars 'Cebewee' Noschinski in dasr.
__/ | http://www.hjp.at/ |

[Ralf Gross]

Juergen Nieveler wrote:

> s/PIXXXX/Vorher-/Nachher-Pics :-)

Eine dicke Kette mit sicherem Schloß sollte doch ausreichen. Wir
wollen es ja nicht gleicht übertreiben.

Ralf

--
Forty-two.
- Deep Thought (Hitchhiker's Guide to the Galaxy)

[Rudolf Polzer]

Scripsit illa aut ille Juergen Nieveler <juergen....@web.de>:

> Ralf Gross <use...@ralfgross.de> wrote:
> > Eine dicke Kette mit sicherem Schloß sollte doch ausreichen. Wir
> > wollen es ja nicht gleicht übertreiben.
>

> Nur wenn gleichzeitig am Patchfeld das Kabel zu diesem Raum abgezogen
> wird (oder durch einen Etherkiller ersetzt wird...).

Du meinst einen Rechner, der TCP, UDP und ICMP blockiert?

SCNR

--
AH! I didn't mean to get THAT up, you pervert!!!
S. Asuka Langley

[Patrick Kursawe]

Rudolf Polzer <AntiATFiel...@durchnull.de> schrieb:

>> Nur wenn gleichzeitig am Patchfeld das Kabel zu diesem Raum abgezogen
>> wird (oder durch einen Etherkiller ersetzt wird...).
>
> Du meinst einen Rechner, der TCP, UDP und ICMP blockiert?

Das wäre Haluks Variante, das finde ich etwas viel Aufwand. Vermutlich
wurde eher an sowas gedacht, falls es hier jemanden gibt, der es
noch nicht gesehen hat:

http://ogreland.lv/~core/funpic/etherkiller1.jpg

Tschüs, Patrick

[Stefan Laesche]

Moin

Urs [Ayahuasca] Traenkner <urs.tr...@rz.tu-ilmenau.de> wrote:

>>> User-Agent: KNode/0.7.1
>> ^^^^^^^^^^^^
>>Hmm, seit wann gibts KNode fuer Win2K? ;-/

> Er daddelt gerade mit dem Feind :)

:-)

> Es ist noch schlimmer. Bei diesem Rechner handelt es sich nicht um
> Haluks Gurke, sondern um "den voll krasses Proxy" des Wohnheims.
> Sprich, die Kiste spielt den Newsserver nach innen und aussen u.a.,
> egal wer aus dem Wohnheim in de.* postet, hat immer barop als posting
> host.

Noch was, Netcraft sagt folgendes dazu:

---
Apache/1.3.19 (Unix) (SuSE/Linux)
mod_ssl/2.8.2 OpenSSL/0.9.5a
mod_perl/1.24 PHP/4.0.4pl1
---

Zu allen Programmen gibt es nette CERT hinweise :-) Was fuer eine SuSE das
ist, hab ich keine Lust nachzusehen, ich moechte aber bezweifeln, dass sich
zu der Version nicht noch ein paar Securityupdates finden lassen sollten.

gruesse
stefan

[Ralf Gross]

Stefan Laesche wrote:

> Noch was, Netcraft sagt folgendes dazu:
>
> ---
> Apache/1.3.19 (Unix) (SuSE/Linux)
> mod_ssl/2.8.2 OpenSSL/0.9.5a
> mod_perl/1.24 PHP/4.0.4pl1
> ---
>
> Zu allen Programmen gibt es nette CERT hinweise :-) Was fuer eine SuSE das
> ist, hab ich keine Lust nachzusehen, ich moechte aber bezweifeln, dass sich
> zu der Version nicht noch ein paar Securityupdates finden lassen sollten.

Der Rechner ist doch ICMP gehärtet? Da braucht man sowas nicht.

Ralf

--
What time´s sunset around here? We normally manage to fit it in
between night and day
- Terry Pratchett, "Mort"

[Andreas Krennmair]

* Ralf Gross <use...@ralfgross.de> [de.comp.security.misc]:

> > Apache/1.3.19 (Unix) (SuSE/Linux)
> > mod_ssl/2.8.2 OpenSSL/0.9.5a
> > mod_perl/1.24 PHP/4.0.4pl1
> > ---
> >
> > Zu allen Programmen gibt es nette CERT hinweise :-) Was fuer eine SuSE das
> > ist, hab ich keine Lust nachzusehen, ich moechte aber bezweifeln, dass sich
> > zu der Version nicht noch ein paar Securityupdates finden lassen sollten.
>
> Der Rechner ist doch ICMP gehärtet? Da braucht man sowas nicht.

Die ARP-Tweaks nicht zu vergessen. Und alles gestealthed.

*rofl*

mfg, ak
--
Select how many previous history files should be kept?
yes, no, individual
-- Debian CVS package configuration

[Stefan Laesche]

Ralf Gross <use...@ralfgross.de> wrote:

>> Zu allen Programmen gibt es nette CERT hinweise :-) Was fuer eine SuSE das
>> ist, hab ich keine Lust nachzusehen, ich moechte aber bezweifeln, dass sich
>> zu der Version nicht noch ein paar Securityupdates finden lassen sollten.

> Der Rechner ist doch ICMP gehärtet? Da braucht man sowas nicht.

Bei den Schmerzen im Zwergfell ist mir das doch glatt entgangen. Dann ist
ja alles sicher.

gruesse
stefan

[Christoph Bott]

Schade fast, dass ich hier nicht realtime mitreden kann, aber leider
kann ich hier nur per google posten, und der hat hat mal nen
tierischen Delay....:-(

urs.tr...@rz.tu-ilmenau.de (Urs [Ayahuasca] Traenkner) wrote:
> >Das ist doch jetzt der Rechner, von dem aus der Beitrag geposted
> >wurde?
>
> Jo.

naja, aber so wies scheint dann leider doch net das Haluk seine
Workstation bzw. sein Zimmer-Server.....
Schade, haette jetzt eigentlich gedacht, dass die Jungs & Maedels im
Wohnheim alle so nen eigenen Server im Zimmer stehen haben.....

>
> >> User-Agent: KNode/0.7.1
> > ^^^^^^^^^^^^
> >Hmm, seit wann gibts KNode fuer Win2K? ;-/
>
> Er daddelt gerade mit dem Feind :)

:-)

> Es ist noch schlimmer. Bei diesem Rechner handelt es sich nicht um
> Haluks Gurke, sondern um "den voll krasses Proxy" des Wohnheims.
> Sprich, die Kiste spielt den Newsserver nach innen und aussen u.a.,
> egal wer aus dem Wohnheim in de.* postet, hat immer barop als posting
> host.

Ich wollts ja urspruenglich net wahrhaben, ist aber mittlerweile wohl
hinreichend verifiziert....

> [ telnet-kram ]

>
> Nicht so schlimm. Erstmal braucht es als Absenderadresse
> @uni-dortmund.de, und zweitens konnte ich mir selbst keine Mail
> schicken, weil meine IP nicht gestimmt hat. Also muesste man mit IP
> spoofing da rangehen, nicht mehr trivial zumindest.

Ich wollte hiermit auch nicht sagen, dass barop ein open-relay ist,
nur netterweise ist so ein Standard-Suse-Sendmail ganz schoen
gespraechig. Kann zwar sein, dass hier die Sendmail-Meldungen
geaendert wurden, sieht aber nicht so aus:

220 barop.wh.uni-dortmund.de ESMTP Sendmail 8.10.2/8.10.2/SuSE Linux

8.10.0-0.3; Mon, 12 Aug 2002 17:18:22 +0200

Siehe da, SuSE 8, wenn mich nicht alles irrt und taeuscht.....

>
> Die Diensteliste sieht schon saumaessig aus, ja.

wollte ich damit zum Ausdruck bringen...:-)

>
> >Haluk, bitte geh sterben!
>
> Kein Tierfreund?

Ich schon, du wohl kaum, sonst wuerdest du unsere Fauna nicht derartig
beleidigen...;->

RU,

-XoF-

[Martin Wysada]

Peter J. Holzer wrote:

> Schaut so aus. Aber z.B. Martin Wysada postet vom gleichen Host aus,
> also dürfte es sich bei barop eher um einen Studentenserver handeln als
> um Haluks persönliche Kiste.

Hi,
genau, an dem Router hängen etwa 300 Appartments mit vermuteten
200 PCs. Aber keine Angst, an den PC kommt Haluk nicht ran,
eigentlich gar kein Student. Die Studi-rechner stehen all im
10.1.xx.yy Netz. Auf die Wartung und updates haben wir keinen
Einfluss, dafür ist die Engel-AG zuständig.

[Martin Wysada]

Peter J. Holzer wrote:
>
> Schaut so aus. Aber z.B. Martin Wysada postet vom gleichen Host aus,
> also dürfte es sich bei barop eher um einen Studentenserver handeln als
> um Haluks persönliche Kiste.

Hi,
genau, an dem Router (und Proxy) hängen etwa 300 Appartments mit

[Matthias Wieser]

Stefan Laesche wrote:

> ---
> Apache/1.3.19 (Unix) (SuSE/Linux)
> mod_ssl/2.8.2 OpenSSL/0.9.5a
> mod_perl/1.24 PHP/4.0.4pl1
> ---
>
> Zu allen Programmen gibt es nette CERT hinweise :-) Was fuer eine SuSE

Wenn Du meinst, daß die aktuelle Suse Version von Apache 1.3.19 für die
üblichen Apache-1.3.19 Schwachstellen anfällig ist, glaubst Du auch
sicher, daß Zitronenfalter Zitronen falten.

Matthias

[frank paulsen]

Stefan Laesche <S.La...@gmx.li> writes:

> ---
> Apache/1.3.19 (Unix) (SuSE/Linux)
> mod_ssl/2.8.2 OpenSSL/0.9.5a
> mod_perl/1.24 PHP/4.0.4pl1
> ---
>
> Zu allen Programmen gibt es nette CERT hinweise :-) Was fuer eine SuSE das
> ist, hab ich keine Lust nachzusehen, ich moechte aber bezweifeln, dass sich
> zu der Version nicht noch ein paar Securityupdates finden lassen sollten.

SuSE portiert security-patches rueckwaerts auf alte versionen, genau
wie die anderen distris das auch tun. man kann aus den versionsnummern
folglich auch dann nur wenig ableiten, wenn sie echt waeren.

die zu den versionsnummern passende SuSE duerfte die 7.0 i386 sein.

--
frobnicate foo

[Urs [Ayahuasca] Traenkner]

Christoph Bott wrote:
>urs.tr...@rz.tu-ilmenau.de (Urs [Ayahuasca] Traenkner) wrote:

[barop.wh.uni-dortmund.de]

>> Es ist noch schlimmer. Bei diesem Rechner handelt es sich nicht um
>> Haluks Gurke, sondern um "den voll krasses Proxy" des Wohnheims.
>> Sprich, die Kiste spielt den Newsserver nach innen und aussen u.a.,
>> egal wer aus dem Wohnheim in de.* postet, hat immer barop als posting
>> host.

>Ich wollts ja urspruenglich net wahrhaben, ist aber mittlerweile wohl
>hinreichend verifiziert....

Ich habe nochmal ganz genau hingeschaut i.ue. Die angebotenen Dienste
scheinen (bzw. koennten) tatsaechlich Sinn zu haben, ferner auf einem
aktuellen Stand zu sein.

Jedenfalls fliegt man bei so ziemlich jedem raus, wenn die IP nicht
passt. Warum nun smtp nicht nur nach innen lauscht, wer weiss. Wir
koennen ja auch nur raten, was dieser Rechner so alles zu tun hat.
Mailauslieferung fuer Roadwarrior (incl. Senden-duerfen) gibt es ja
auch noch als Moeglichkeit. Wahlweise: wie stelle ich bei diesem
bloeden sendmail ein, dass er nur nach innen lauscht :)

[gespraechige Dienste]

>Siehe da, SuSE 8, wenn mich nicht alles irrt und taeuscht.....

Macht ja nix. Security by obscurity funktioniert eh nicht. Warum man
seinem Dienst nun auf Teufel komm raus abgewoehnen soll, seinen Namen
zu verraten, habe ich eh nie verstanden.

>> Die Diensteliste sieht schon saumaessig aus, ja.
>wollte ich damit zum Ausdruck bringen...:-)

Ich wuerde das fast relativieren wollen, ehrlich gesagt. Es ist zwar
ein haufen, aber wirklich planlos sieht es auf den zweiten Blick nicht
aus.

Na wer weiss...

>>> Haluk, bitte geh sterben!
>> Kein Tierfreund?

>Ich schon, du wohl kaum, sonst wuerdest du unsere Fauna nicht derartig
>beleidigen...;->

Hiermit moechte ich mich bei allen Asseln, Spinnen und sonstigem
Kriechgetier ausdruecklich entschuldigen. Bei dem anderen Viechzeug
natuerlich auch [1]. Ausser bei den Katzen, die mag ich ned so ;)

Gruss Urs...

[1] Ist mir neulich ein schicker Dialog in $sitcom ueber den Weg
gelaufen.

Sie: Wie kannst Du nur Tiere essen, auch sie sind schliesslich Gottes
Geschoepfe!!!1
Er: Und warum hat Gott dann gemacht, dass sie so gut schmecken?

[Michael Meyer]

Christoph Bott <cbott...@evonet.de> wrote:
> 220 barop.wh.uni-dortmund.de ESMTP Sendmail 8.10.2/8.10.2/SuSE Linux
> 8.10.0-0.3; Mon, 12 Aug 2002 17:18:22 +0200
>
> Siehe da, SuSE 8, wenn mich nicht alles irrt und taeuscht.....

nein, wohl eher nicht.
suse 8 kommt mit sendmail 8.12.3.

grüße

micha

[Haluk]

Andreas Krennmair wrote:

>> Der Rechner ist doch ICMP gehärtet? Da braucht man sowas nicht.
>
> Die ARP-Tweaks nicht zu vergessen. Und alles gestealthed.

Den Server habe ich nicht konfiguriert. Sonst gäbe es weder Dienste noch
ICMP.

--
mfg Haluk
Windows 2000 rocks!

[Andreas Schwarz]

Haluk <Ho...@gmx.de> wrote on 12 Aug 2002:

> Andreas Krennmair wrote:
>
>>> Der Rechner ist doch ICMP gehärtet? Da braucht man sowas nicht.
>>
>> Die ARP-Tweaks nicht zu vergessen. Und alles gestealthed.
>
> Den Server habe ich nicht konfiguriert. Sonst gäbe es weder Dienste noch
> ICMP.

Du hättest den Stecker gezogen?

--
AVR-Tutorial, Forum, über 300 Links: http://www.mikrocontroller.net

[Stefan Kotnik]

Andreas Schwarz wrote:

> Haluk <Ho...@gmx.de> wrote on 12 Aug 2002:

>> Den Server habe ich nicht konfiguriert. Sonst gäbe es weder Dienste noch
>> ICMP.

> Du hättest den Stecker gezogen?

Hm, so ein Server ohne Dienste wär doch auch mal was erfrischend anderes...
Immerhin könnte er dann hier nicht posten :-)

Gruß
Stefan
--
PGP/GPG Key: 0xBFA6D1D3 - http://www.keyserver.net

[Christoph Bott]

Michael Meyer <mi...@gmx.de.invalid> wrote:

> >
> > Siehe da, SuSE 8, wenn mich nicht alles irrt und taeuscht.....
>
> nein, wohl eher nicht.
> suse 8 kommt mit sendmail 8.12.3.

oops,

[x] Ich will besser recherchieren

merci

-XoF-

[Rene Fröbel]

Vielleicht ist er ja ein gefaehrlicher Hacker, und schreibt hier nur zur
Tarnung so nen Mist...
Und in ein paar Tagen bringt er das komplette Internet zum Absturz, bricht
in saemtliche Regierungsnetzwerke der Welt ein und reist die Weltherrschaft
an sich...

--
Spam-Schutz. Wenn mir jemand eine E-Mail senden will, dann an
re...@rene-froebel.org.
E-Mails an die Adresse im "From"-Header werden automatisch geloescht!
MfG Rene

[Urs [Ayahuasca] Traenkner]

Rene Fröbel wrote:
>Vielleicht ist er ja ein gefaehrlicher Hacker, und schreibt hier nur zur
>Tarnung so nen Mist...
>Und in ein paar Tagen bringt er das komplette Internet zum Absturz, bricht
>in saemtliche Regierungsnetzwerke der Welt ein und reist die Weltherrschaft
>an sich...

Also doch Brain?

fup2p, Gruss Urs...

[Stefan Laesche]

Glaubst Du denn, dass es die aktuelle Version ist?

[Oliver Jacob]

Martin Wysada <valh...@gmx.net> ...:

> [...] Auf die Wartung und updates haben wir keinen Einfluss, dafür
> ist die Engel-AG zuständig.

Und wer ist in Zukunft für die Wartung zuständig?

,---------------------- [ http://www.engel-ag.de ] ----------------------
|
| Die Engel AG hat am 12. März 2002 die vorläufige Insolvenz angemeldet.
|
`------------------------------------------------------------------------

*** Der OLIVER ***

--
Jeder hat das Recht auf den Urknall und die damit verbundene Explosion
des Weltalls.
(GGG Art.1 Abs.2 --- http://www.urania-dresden.de/terrasse/ggg.htm)

[Oliver Jacob]

Martin Wysada <valh...@gmx.net> ...:

> [...] Auf die Wartung und updates haben wir keinen Einfluss, dafür
> ist die Engel-AG zuständig.

Demnächst wohl eher die Engel Informationstechnologie GmbH.

,----------------------- [ http://www.engel-ag.de ] -----------------------

|
| Die Engel AG hat am 12. März 2002 die vorläufige Insolvenz angemeldet.
|

| [...]
|
| Ab Juni 2002 übernimmt die Engel Informationstechnologie GmbH die
| Geschäftsfelder der Engel AG.
|
`--------------------------------------------------------------------------

*** Der OLIVER ***

--
Hihi, mich kann man nicht plonken. Ich habe mein Zonealarm so
eingestellt das es unter Win95 keine bösen ICMPs mehr durchlässt,
deswegen könnt ihr mich auch nicht plonken. (Stefan Schumacher in dcsf)

[Haluk]

Martin Wysada wrote:

> Aber keine Angst, an den PC kommt Haluk nicht
> ran, eigentlich gar kein Student.

^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Erklär das mal bitte genauer.

[Martin Wysada]

Haluk wrote:
> Martin Wysada wrote:
>
>>Aber keine Angst, an den PC kommt Haluk nicht
>>ran, eigentlich gar kein Student.
>
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Erklär das mal bitte genauer.
>

Hi,
da habe ich nachträglich noch einen Nebensatz eingebaut. Ich wollte
sagen das die Technikräume für alle Studis tabu sind.

[Martin Wysada]

Hi,
das mit der Insolvenz ist mir klar, es gibt/ gab aber eine Übereinkunft
das wir weiter supported werden.

[Robert Fendt]

Und so sprach Haluk <Ho...@gmx.de>
Mon, 12 Aug 2002 23:56:17 +0200:

> Den Server habe ich nicht konfiguriert. Sonst gäbe es weder Dienste noch
> ICMP.

Darf ich den als Hash für meine sig? Ja? Bitte, bitte, bitte!

CU,
Robert
--

"Den Server habe ich nicht konfiguriert. Sonst gäbe es weder Dienste noch

ICMP." - Haluk

[Haluk]

Robert Fendt wrote:

> Und so sprach Haluk <Ho...@gmx.de>
> Mon, 12 Aug 2002 23:56:17 +0200:
>
>> Den Server habe ich nicht konfiguriert. Sonst gäbe es weder Dienste noch
>> ICMP.
>
> Darf ich den als Hash für meine sig? Ja? Bitte, bitte, bitte!

Was findest du daran so lustig?

[Jens Hoffmann]

Hi,

Haluk <Ho...@gmx.de> wrote:
>Was findest du daran so lustig?

Was soll ein server serven ohne Dienste anzubieten?
Diese Maschine muss offensichtlich eine Reihe Dienste anbieten.
Wenn er das nicht taete, koenntest Du hier nicht trollen.

Gruss,
Jens

[Patrick Kursawe]

Haluk <Ho...@gmx.de> schrieb:

> Robert Fendt wrote:
>
>> Und so sprach Haluk <Ho...@gmx.de>
>> Mon, 12 Aug 2002 23:56:17 +0200:
>>
>>> Den Server habe ich nicht konfiguriert. Sonst gäbe es weder Dienste noch
>>> ICMP.
>>
>> Darf ich den als Hash für meine sig? Ja? Bitte, bitte, bitte!
>
> Was findest du daran so lustig?

Ich glaub, Du hast es darauf abgesehen nochmal im netdigest zu landen...

Das Grinsen kaum noch aus dem Gesicht kriegend,

Patrick

[Marc Haber]

Eventuell ist das, was er als Server betrachtet, in Wirklichkeit ein
Router, der NAT für das interne Netz macht?

Grüße
Marc

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29

[Jens Suelwald]

On Mon, 12 Aug 2002, Haluk wrote:

> Den Server habe ich nicht konfiguriert. Sonst gäbe es weder Dienste noch
> ICMP.

Wozu ein Server ohne Dienste? Heizung? *G*

mfg, WereBones
--
There are only 10 types of people in this world..
those who understand binary, and those who don't.

[Paul Muster]

"Marc Haber" <mh+use...@zugschlus.de> schrieb:

> Eventuell ist das, was er als Server betrachtet, in Wirklichkeit ein
> Router, der NAT für das interne Netz macht?

Das Gerät, was das Haluk als Server bezeichnet, wurde hier
schon ausgiebig diskutiert und analysiert. Z.B. rund um
<3D56B421...@gmx.net>.

mfG Paul

--
In de.comp.os.ms-windows.nt auf ein Posting von "ThomasT"...
Ulli Vieweg: Hallo Klaus-Bärbel, wie wäre es mit einem Realname?
ThomasT: Sorry ich bin auch aus der Klaus-Baerbel Fraktion, [...] Habe
mittlerweile realnames in der hosts eingetragen, klappt aber auch nicht.

[Felix Deutsch]

Marc Haber wrote:

>j...@bofh.de (Jens Hoffmann) wrote:
>>Haluk <Ho...@gmx.de> wrote:
>>>Was findest du daran so lustig?
>>
>>Was soll ein server serven ohne Dienste anzubieten?
>>Diese Maschine muss offensichtlich eine Reihe Dienste anbieten.
>>Wenn er das nicht taete, koenntest Du hier nicht trollen.
>
>Eventuell ist das, was er als Server betrachtet, in Wirklichkeit ein
>Router, der NAT für das interne Netz macht?

Schau's dir halt selber an. get-community: public.

--
"Source port zero is illegal. USwest has a sysadmin who loves source port zero.
So about 90% of the source port zero things I see here are from either Qwest or
USwest. DNS is so robust, that they don't notice that many of their nameservers
are totally ineffective." -- Evi Nemeth, CAIDA at NANOG24

[Haluk]

Christoph Bott wrote:

>> NNTP-Posting-Date: 10 Aug 2002 19:37:18 GMT
>> User-Agent: KNode/0.7.1
> ^^^^^^^^^^^^
> Hmm, seit wann gibts KNode fuer Win2K? ;-/

Es läuft gerade tatsächlich unter Windows 2000 in VMWARE.

> Zum Thema Haluks
>
"hochsicherheits-ich-bin-der-sicherste-rechner-im-groessten-netzwerk-der-welt"
> - Rechner:
>
> $ nmap -sT barop.wh.uni-dortmund.de
>
> Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
> Interesting ports on barop.wh.Uni-Dortmund.DE (129.217.129.129):
> (The 1526 ports scanned but not shown below are in state: closed)
> Port State Service
> 22/tcp open ssh

Erwischt. Der Port könnte geschlossen werden.

> 23/tcp filtered telnet

Kein Problem, weil geschlossen.

> 25/tcp open smtp

Wird für E-Mails benötigt, also alles OK.

> 53/tcp open domain

Das ist der Port für DNS, alles daher OK. Man könnte zwar nur UDP 53 nehmen,
aber die Performance wäre schlecht.

> 80/tcp open http

Das ist der Port, um im Internet zu surfen. Daher alles OK.

> 110/tcp open pop-3

http://www.synapse.de/ban/HTML/P_TCP_IP/Ger/P_tcp_45.html

> 137/tcp filtered netbios-ns

Kein Problem, weil geschlossen.

> 138/tcp filtered netbios-dgm

Kein Problem, weil geschlossen.

> 139/tcp filtered netbios-ssn

Kein Problem, weil geschlossen.

> 443/tcp open https

Wird für https-Verbindungen gebraucht, also alles in Ordnung.

> 515/tcp open printer

Erwischt. Dieser Port sollte schleunigst geschlossen werden.

> 901/tcp filtered samba-swat

Kein Problem, weil geschlossen.

> 2049/tcp filtered nfs

Kein Problem, weil geschlossen.

> 3128/tcp filtered squid-http

Kein Problem, weil geschlossen.

> 3306/tcp open mysql

Erwischt. Der Server bietet keine Datenbankdienste an. Daher muss dieser
Port geschlossen werden.

> 20005/tcp filtered btx

Kein Problem, weil geschlossen.

> Nmap run completed -- 1 IP address (1 host up) scanned in 21 seconds
> BTW, mein Rechner laeuft noch....

Ich habe den Rechner nicht konfiguriert. Sonst gäbe es weder ICMP, noch
unnötig offene Ports. Ausserdem würde ich Windows 2000 oder XP anstatt
Linux als Betriebssystem einsetzen. Damit und ein paar Tricks, die ich
niemals verraten werde, würde ich jedem Angreifer schlaflose Nächte
bereiten.

> Achso, damit das Haluk mal wieder mit der Nase draufgestossen wird,
> wie man mit telnet ASCII-basierte Protokolle verwenden kann und dass
> SuSE _nicht_ der Hersteller von Win2k ist....
>
> $ telnet barop.wh.uni-dortmund.de 25
> Trying 129.217.129.129...
> Connected to barop.wh.uni-dortmund.de.
> Escape character is '^]'.

> 220 barop.wh.uni-dortmund.de ESMTP Sendmail 8.10.2/8.10.2/SuSE Linux
> 8.10.0-0.3;

> Mon, 12 Aug 2002 11:23:48 +0200
> QUIT
>
>
> So long,
>
> -XoF-, <verwundert-den-kopf-schuettel>
>
> PS: Achja, ganz vergessen:
> Meine Theorie:
> a) die Angaben im Header sind gekonnt gefaked, dann kann das Haluk
> nicht so bloed sein, wie es tut

Fast richtig.

> b) die Angaben im Header sind korrekt........

Das stimmt eigentlich, bis auf die Ausnahme, dass Linux in VMWARE unter
Windows 2000 läuft.

[Lasse Kliemann]

* According to Haluk <Ho...@gmx.de>:

> > 25/tcp open smtp
>
> Wird für E-Mails benötigt, also alles OK.
>
> > 53/tcp open domain
>
> Das ist der Port für DNS, alles daher OK. Man könnte zwar nur UDP 53 nehmen,
> aber die Performance wäre schlecht.
>
> > 80/tcp open http
>
> Das ist der Port, um im Internet zu surfen. Daher alles OK.

Du bist nicht wirklich so dämlich, oder? Dort läuft ein HTTP
Server! Das hat nichts damit zu tun, daß von diesem Rechner oder
einem dahinterliegenden aus gesurft wird.

Dasselbe gilt wahrscheinlich auch für 25 und 53, oder betreibt ihr
einen SMTP und DNS Server für den Rest der Welt?

> Ich habe den Rechner nicht konfiguriert. Sonst gäbe es weder
> ICMP, noch unnötig offene Ports. Ausserdem würde ich Windows 2000
> oder XP anstatt Linux als Betriebssystem einsetzen. Damit und ein
> paar Tricks, die ich niemals verraten werde, würde ich jedem
> Angreifer schlaflose Nächte bereiten.

Wie wäre es, wenn Du uns auch Deine ganzen anderen Tricks von nun
an nicht mehr verrätst? Mit anderen Worten: Halte bitte endlich die
Klappe!

[Dirk Roessing]

Haluk <Ho...@gmx.de> wrote:

[...]

> Ich habe den Rechner nicht konfiguriert. Sonst gäbe es weder ICMP, noch
> unnötig offene Ports. Ausserdem würde ich Windows 2000 oder XP anstatt
> Linux als Betriebssystem einsetzen. Damit und ein paar Tricks, die ich
> niemals verraten werde, würde ich jedem Angreifer schlaflose Nächte
> bereiten.

Das machst Du schon. Ich kann schon nicht mehr schlafen, weil ich
ständig darüber nachdenke wieviele Geschwister Du wohl hast.
Denn einer alleine kann schliesslich nicht so blöd sein.

--
Hoeflichkeit ist Klugheit, folglich ist Unhoeflichkeit Dummheit
(Arthur Schoppenhauer)

[Rudolf Polzer]

Scripsit illa aut ille Dirk Roessing <drus...@roessing-netz.de>:

> Haluk <Ho...@gmx.de> wrote:
> [...]
> > Ich habe den Rechner nicht konfiguriert. Sonst gäbe es weder ICMP, noch
> > unnötig offene Ports. Ausserdem würde ich Windows 2000 oder XP anstatt
> > Linux als Betriebssystem einsetzen. Damit und ein paar Tricks, die ich
> > niemals verraten werde, würde ich jedem Angreifer schlaflose Nächte
> > bereiten.
>
> Das machst Du schon. Ich kann schon nicht mehr schlafen, weil ich
> ständig darüber nachdenke wieviele Geschwister Du wohl hast.
> Denn einer alleine kann schliesslich nicht so blöd sein.

Du hast es fast erkannt.

Diese Tricks bestehen darin, dass er einige Honeypot-Ports offen lässt,
die einfach nur einen von Haluk verfassten Text ausgeben, wenn man sich
zu ihnen verbindet, und für jedes Byte Eingabe einen weiteren Text von
Haluk ausgeben (jeweils so 20 bis 23 Zeilen, damit ja nichts wegscrollt).
Der Angreifer würde allerdings nicht unter schlaflosen Nächten leiden,
er würde sich vorher *tot* lachen. Wahrscheinlich lacht er sich sogar
tot -9.

Und zu den Rechnern, die sich aufhängen, wenn sie Haluks Rechner
scannen: selbst der idle task lacht sich da tot -9, was dem Kernel gar
keine andere Wahl lässt...

SCNR

--
But most likely other e-mail programs like Eudora are not designed to
enable virus replication.

http://www.microsoft.com/mac/products/office/2001/virus_alert.asp

[Ralf Gross]

Haluk wrote:

>> $ nmap -sT barop.wh.uni-dortmund.de
>>
>> Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
>> Interesting ports on barop.wh.Uni-Dortmund.DE (129.217.129.129):
>> (The 1526 ports scanned but not shown below are in state: closed)
>> Port State Service

...snip...

>> 25/tcp open smtp
>
> Wird für E-Mails benötigt, also alles OK.

SMTP-Server auf der Maschine? Welcher denn?

>> 53/tcp open domain
>
> Das ist der Port für DNS, alles daher OK. Man könnte zwar nur UDP 53 nehmen,
> aber die Performance wäre schlecht.

DNS-Server auf der Maschine? Welcher? Bind?

>> 80/tcp open http
>
> Das ist der Port, um im Internet zu surfen. Daher alles OK.

Webserver auf der Maschine?

Ralf

[Martin Wysada]

Haluk wrote:
[blablubb]

warum kannst du #zensiert# nicht mal dazu sagen das es sich um unseren
Hausrouter und nicht um deine Maschine handelt.

Und du kannst sicher sein, in dem Moment wo du Kiste administrieren
dürftest, wäre ich der erste der samt PC aus dem Fenster springt.

Ich möchte nicht wissen wieviele Leute deinentwegen einen Scan auf die
Maschine gefahren haben.

[Thomas Kaemer]

Martin Wysada schrieb:

> Haluk wrote:
>
> warum kannst du #zensiert# nicht mal dazu sagen das es sich um unseren
> Hausrouter und nicht um deine Maschine handelt.

Das wissen wir doch schon lange. Wer Haluk an irgendeinen Rechner
ranlaesst, handelt zumindest grob fahrlaessig.

> Ich möchte nicht wissen wieviele Leute deinentwegen einen Scan auf die
> Maschine gefahren haben.

Das ist der Nachteil, wenn man mit einer solchen "Beruehmtheit" in einem
Boot sitzt :-(.

CU Thomas

[Adrian Knoth]

Thomas Kaemer <elhu...@wh11.tu-dresden.de> wrote:

>> Ich möchte nicht wissen wieviele Leute deinentwegen einen Scan auf die
>> Maschine gefahren haben.
> Das ist der Nachteil, wenn man mit einer solchen "Beruehmtheit" in einem
> Boot sitzt :-(.

Was ich ja bis heute nicht verstanden habe:

<cite origin="Haluk">
> 3306/tcp open mysql

Erwischt. Der Server bietet keine Datenbankdienste an. Daher muss dieser
Port geschlossen werden.

</cite>

Ein kurzes telnet auf den Port zeigt hingegen die Standard-MySQL-fuckoff-
Meldung.

Es gibt nun drei Möglichkeiten:

a) Dönerverkäufer Haluk hat nicht verstanden, daß bei Abschalten eines
"Dienstes" der Port automatisch verschwindet (so à la: auf 3306 läuft
nichts, hier hat jemand vergessen, ihn in der Firewall zu schließen)

b) das Script ist ein Fake à la Gummizelle.

c) dort läuft MySQL, was aber erstmal kein Problem darstellt

Tjojo, der lpd hinter dem Printer-Port hat bestimmt noch die Formatstring-
Probleme an Board :)

--
mail: a...@thur.de http://adi.thur.de PGP: v2-key via keyserver

Liebt eure Feinde - vielleicht schadet es ihnen

[Lutz Donnerhacke]

* Adrian Knoth wrote:
>Was ich ja bis heute nicht verstanden habe:
>
><cite origin="Haluk">
>> 3306/tcp open mysql
>
>Erwischt. Der Server bietet keine Datenbankdienste an. Daher muss dieser
>Port geschlossen werden.
></cite>
>
>Ein kurzes telnet auf den Port zeigt hingegen die Standard-MySQL-fuckoff-
>Meldung.
>
>Es gibt nun drei Möglichkeiten:
>
>a) Dönerverkäufer Haluk hat nicht verstanden, daß bei Abschalten eines
> "Dienstes" der Port automatisch verschwindet (so à la: auf 3306 läuft
> nichts, hier hat jemand vergessen, ihn in der Firewall zu schließen)
>
>b) das Script ist ein Fake à la Gummizelle.
>
>c) dort läuft MySQL, was aber erstmal kein Problem darstellt

Du hast nicht verstanden. Es gilt:
d) Haluk meint, der Scan auf den Wohnheimserver würde seine Maschine
betreffen.

[Urs [Ayahuasca] Traenkner]

Haluk wrote:

>Christoph Bott wrote:
>> $ nmap -sT barop.wh.uni-dortmund.de

>> 53/tcp open domain
>Das ist der Port für DNS, alles daher OK. Man könnte zwar nur UDP 53 nehmen,
>aber die Performance wäre schlecht.

Mir ist schlecht. Beim Rest hast Du ja schon heldenhaft zur Schau
gestellt, dass Dir der Unterschied zwischen LAN und WAN (aka
"externes" und "internes Interface") sowie Bindungen nicht bekannt
ist, aber zu behaupten, wenn DNS ueber UDP laeuft, ist die performance
Scheisse, das ist der Hammer.

[Haluk]

Ralf Gross wrote:

>>> 25/tcp open smtp
>>
>> Wird für E-Mails benötigt, also alles OK.
>
> SMTP-Server auf der Maschine? Welcher denn?

Der Port 25 war gerade offen, als die Maschine gescannt wurde. Das heisst
nicht, dass dort ein SMTP-Server läuft. Dieser Port wird im Intranet für
das Empfangen von E-Mails benötigt. Daher war er zum Zeitpunkt des Scanns
offen.

>>> 53/tcp open domain
>>
>> Das ist der Port für DNS, alles daher OK. Man könnte zwar nur UDP 53
>> nehmen, aber die Performance wäre schlecht.
>
> DNS-Server auf der Maschine? Welcher? Bind?

Das ist die DNS des "Netzanbieters". Weitere Informationen kann und werde
ich nicht weitergeben.

>>> 80/tcp open http
>>
>> Das ist der Port, um im Internet zu surfen. Daher alles OK.
>
> Webserver auf der Maschine?

Nein. Aber wenn irgend jemand im Intranet auf das Internet zugreifft oder
über HTTP Dateien uploadet oder downloadet, wird der Port 80 benötigt.

[Haluk]

Lasse Kliemann wrote:

> * According to Haluk <Ho...@gmx.de>:
>> > 25/tcp open smtp
>>
>> Wird für E-Mails benötigt, also alles OK.
>>
>> > 53/tcp open domain
>>
>> Das ist der Port für DNS, alles daher OK. Man könnte zwar nur UDP 53
>> nehmen, aber die Performance wäre schlecht.
>>
>> > 80/tcp open http
>>
>> Das ist der Port, um im Internet zu surfen. Daher alles OK.
>
> Du bist nicht wirklich so dämlich, oder? Dort läuft ein HTTP
> Server! Das hat nichts damit zu tun, daß von diesem Rechner oder
> einem dahinterliegenden aus gesurft wird.

Du bist wirklich so klug, oder? So steht das unter http://www.symantec.de
wenn man den eigenen Rechner scannt. Willst du dich auf Symantec berufen?
In den Erklärungen haben sie eindeutig Mist gebaut. TCP 80 ist immer dann
geöffnet, wenn daten zum PC fliessen oder von dort kommen.

> Dasselbe gilt wahrscheinlich auch für 25 und 53, oder betreibt ihr
> einen SMTP und DNS Server für den Rest der Welt?

Du hast wirklich keine Ahnung. Warum zweifelst du alles an, wenn du davon
nichts verstehst? Sag das gleiche nochmal bei einem Unternehmen, wo du die
Firewall einrichten sollst. Spätestens wenn weder Internetaufbau, noch
E-Mail empfang funktionieren, fliegst du raus.

>> Ich habe den Rechner nicht konfiguriert. Sonst gäbe es weder
>> ICMP, noch unnötig offene Ports. Ausserdem würde ich Windows 2000
>> oder XP anstatt Linux als Betriebssystem einsetzen. Damit und ein
>> paar Tricks, die ich niemals verraten werde, würde ich jedem
>> Angreifer schlaflose Nächte bereiten.
>
> Wie wäre es, wenn Du uns auch Deine ganzen anderen Tricks von nun
> an nicht mehr verrätst? Mit anderen Worten: Halte bitte endlich die
> Klappe!

Das solltest du für dich beherzigen. Lüg niemanden mehr an. Hoffentlich
verkonfiguriert jemand eine Firewall nach deinen Angaben. Dann wird er
sofort merken, was von dir zu Halten ist.

[Jens Hoffmann]

Hi,

Haluk <Ho...@gmx.de> wrote:
>In den Erklärungen haben sie eindeutig Mist gebaut. TCP 80 ist immer dann
>geöffnet, wenn daten zum PC fliessen oder von dort kommen.

Falsch.

Wenn Dein PC eine Seite abruft, wird er ein Paket versenden dessen
Absende-IP-Adresse Deine, ein beliebiger Source port (ueblicherweise
jenseits von 1024) die IP-Adresse des Ziels und den Ziel-Port 80 enthaelt.

Port 80 offen auf einem Rechner bedeutet, dass ein Dienst (aka Server,
bei 80 normalerweise ein Webserver oder Webproxy) laeuft.

Gruss,
Jens

[Andreas Krennmair]

* Haluk <Ho...@gmx.de> [de.comp.security.misc]:

> >> > 80/tcp open http
> >>
> >> Das ist der Port, um im Internet zu surfen. Daher alles OK.
> >
> > Du bist nicht wirklich so dämlich, oder? Dort läuft ein HTTP
> > Server! Das hat nichts damit zu tun, daß von diesem Rechner oder
> > einem dahinterliegenden aus gesurft wird.
>
> Du bist wirklich so klug, oder? So steht das unter http://www.symantec.de
> wenn man den eigenen Rechner scannt. Willst du dich auf Symantec berufen?
> In den Erklärungen haben sie eindeutig Mist gebaut. TCP 80 ist immer dann
> geöffnet, wenn daten zum PC fliessen oder von dort kommen.

Bitte lerne den Unterschied zwischen Source-IP, Source-Port,
Destination-IP, Destination-Port. Und ICMP. RFC 791 - 793.

> Das solltest du für dich beherzigen. Lüg niemanden mehr an. Hoffentlich
> verkonfiguriert jemand eine Firewall nach deinen Angaben. Dann wird er
> sofort merken, was von dir zu Halten ist.

Definiere "verkonfigurieren". ICMP nicht abgedreht?

ICMP abdrehen ist so wie alle Fehlerdialoge aus Windows zu entfernen.
Alles laeuft fehlerfrei, scheinbar, da es keine Moeglichkeit gibt,
Fehler auch anzuzeigen. Na, wie wuerde dir das gefallen, Windows
feedbacklos zu benutzen?

mfg, ak
--
OSF/1 ist in keiner Weise "leistungsfaehig". Alphas sind schnell, das
gleicht das aus.
-- Gert Doering in dasr

[Lasse Kliemann]

* According to Haluk <Ho...@gmx.de>:
> Lasse Kliemann wrote:
>
> > * According to Haluk <Ho...@gmx.de>:
> >> > 25/tcp open smtp
> >>
> >> Wird für E-Mails benötigt, also alles OK.
> >>
> >> > 53/tcp open domain
> >>
> >> Das ist der Port für DNS, alles daher OK. Man könnte zwar nur UDP 53
> >> nehmen, aber die Performance wäre schlecht.
> >>
> >> > 80/tcp open http
> >>
> >> Das ist der Port, um im Internet zu surfen. Daher alles OK.
> >
> > Du bist nicht wirklich so dämlich, oder? Dort läuft ein HTTP
> > Server! Das hat nichts damit zu tun, daß von diesem Rechner oder
> > einem dahinterliegenden aus gesurft wird.
>
> Du bist wirklich so klug, oder? So steht das unter
> http://www.symantec.de wenn man den eigenen Rechner scannt.
> Willst du dich auf Symantec berufen?

Ganz sicher nicht. Ich verstehe auch nicht, was Du jetzt mit
Symantec willst. Es geht hier um einen Scan, der mit nmap
durchgeführt wurde. Du kennst nmap?

> In den Erklärungen haben sie eindeutig Mist gebaut. TCP 80 ist
> immer dann geöffnet, wenn daten zum PC fliessen oder von dort
> kommen.
>
> > Dasselbe gilt wahrscheinlich auch für 25 und 53, oder betreibt
> > ihr einen SMTP und DNS Server für den Rest der Welt?
>
> Du hast wirklich keine Ahnung. Warum zweifelst du alles an, wenn
> du davon nichts verstehst? Sag das gleiche nochmal bei einem
> Unternehmen, wo du die Firewall einrichten sollst. Spätestens
> wenn weder Internetaufbau, noch E-Mail empfang funktionieren,
> fliegst du raus.

Du bist auf die allgemein übliche, unklare Terminologie
hereingefallen, in der es den Begriff 'offener Port' gibt. (Der
zugehörige Vorgang wird gerne sehr dynamische anmutend als 'Port
öffnen' bezeichnet.) Wenn man von einem Router spricht, verstehen
viele Leute darunter, daß Anfragen an den jeweiligen Port von dem
Router weitergeleitet wird. Das ist auch das, an was Du hier
gedacht hast.

Der Scanner nmap, dessen Ausgabe hier gepostet wurde, definiert
aber einen 'offenen Port' aber anders. Dort ist ein Port offen,
falls an ihm ein Dienst lauscht. Das hatte ich übrigens auch schon
geschrieben.

Abgesehen davon ist es für das Surfen von Euren Rechnern aus
vollkommen irrelevant, wie Euer Router auf Anfragen von außen mit
Zielport 80 reagiert. Ihr macht ja dann schließlich die Anfragen
bei anderen Servern, und diese Anfragen gehen bei Euch von hohen
Ports aus. Also:

Client oder Router:hoher Port ---------------> Server:80

Der Server ist hier irgendien Webserver im Internet. Seine
Antworten gehen natürlich auch wieder an Euren hohen Port. Also:
Port 80 an Euren Rechnern wird nie benutzt dabei.

> >> Ich habe den Rechner nicht konfiguriert. Sonst gäbe es weder
> >> ICMP, noch unnötig offene Ports. Ausserdem würde ich Windows
> >> 2000 oder XP anstatt Linux als Betriebssystem einsetzen. Damit
> >> und ein paar Tricks, die ich niemals verraten werde, würde ich
> >> jedem Angreifer schlaflose Nächte bereiten.
> >
> > Wie wäre es, wenn Du uns auch Deine ganzen anderen Tricks von
> > nun an nicht mehr verrätst? Mit anderen Worten: Halte bitte
> > endlich die Klappe!
>
> Das solltest du für dich beherzigen. Lüg niemanden mehr an.
> Hoffentlich verkonfiguriert jemand eine Firewall nach deinen
> Angaben. Dann wird er sofort merken, was von dir zu Halten ist.

Mit diesem Posting hast Du meine Meinung mal wieder unterstrichen,
daß Du uns nur verarschen möchtest. Nimm bitte zur Kenntnis: Es ist
nicht mehr lustig. Wir haben alle gelacht, aber irgendwann muß
Schluß sein. Und das war schon vor einiger Zeit soweit.

[Michael Meyer]

Haluk <Ho...@gmx.de> wrote:

> Ralf Gross wrote:
>> SMTP-Server auf der Maschine? Welcher denn?
>
> Der Port 25 war gerade offen, als die Maschine gescannt wurde. Das heisst
> nicht, dass dort ein SMTP-Server läuft. Dieser Port wird im Intranet für
> das Empfangen von E-Mails benötigt. Daher war er zum Zeitpunkt des Scanns
> offen.

abgesehen davon das er auch jetzt noch offen ist, läuft dort auch ein sendmail.

>> DNS-Server auf der Maschine? Welcher? Bind?
>
> Das ist die DNS des "Netzanbieters". Weitere Informationen kann und werde
> ich nicht weitergeben.

vor allem kannst(!) du es nicht?

>> Webserver auf der Maschine?
>
> Nein.

doch: Apache/1.3.19 (Unix) (SuSE/Linux) mod_ssl/2.8.2 OpenSSL

> Aber wenn irgend jemand im Intranet auf das Internet zugreifft oder
> über HTTP Dateien uploadet oder downloadet, wird der Port 80 benötigt.

schade, das du dich derart demontierst ...

micha

[Thomas Hühn]

Also sprach Haluk <Ho...@gmx.de>:

> Du bist wirklich so klug, oder? So steht das unter http://www.symantec.de
> wenn man den eigenen Rechner scannt. Willst du dich auf Symantec berufen?
> In den Erklärungen haben sie eindeutig Mist gebaut. TCP 80 ist immer dann
> geöffnet, wenn daten zum PC fliessen oder von dort kommen.

Genau. Weil ein surfender Dumm-User wie du auf einem echten[tm]
Betriebssystem Port 80 (<< 1024) nutzen darf.
Und wenn mein Palm über PPP zum PC connected, ist Port 80 sicher auch
offen, oder? Ich versichere dir, daß da Daten fließen.
Und wenn ein Notebook über die Infrarotschnittstelle mit einem Handy
kommuniziert, ebenfalls.

Thomas

[Lasse Kliemann]

* According to Haluk <Ho...@gmx.de>:

> >>> 25/tcp open smtp
> >>
> >> Wird für E-Mails benötigt, also alles OK.
> >
> > SMTP-Server auf der Maschine? Welcher denn?
>
> Der Port 25 war gerade offen, als die Maschine gescannt wurde.
> Das heisst nicht, dass dort ein SMTP-Server läuft.

Stimmt, es könnte auch irgendein anderer Dienst dort lauschen. Aber
_irgendeiner_ bestimmt.

> Dieser Port wird im Intranet für das Empfangen von E-Mails
> benötigt. Daher war er zum Zeitpunkt des Scanns offen.

Man definiere, was ein offener Port ist. Bis dahin ist das alles
nur Gefasel.

> >>> 53/tcp open domain
> >>
> >> Das ist der Port für DNS, alles daher OK. Man könnte zwar nur
> >> UDP 53 nehmen, aber die Performance wäre schlecht.
> >
> > DNS-Server auf der Maschine? Welcher? Bind?
>
> Das ist die DNS des "Netzanbieters". Weitere Informationen kann
> und werde ich nicht weitergeben.

ROTFL

Hey, Haluk, ich habe hier auch noch jede Menge geheimer DNS's. Ich
verrate Dir welche, wenn Du mir was von Deinen IP's verrätst.

(Die Apostrophs sind volle Absicht -- sozusagen dem Stil der
Aussage gemäß gewählt.)

> >>> 80/tcp open http
> >>
> >> Das ist der Port, um im Internet zu surfen. Daher alles OK.
> >
> > Webserver auf der Maschine?
>
> Nein. Aber wenn irgend jemand im Intranet auf das Internet
> zugreifft oder über HTTP Dateien uploadet oder downloadet, wird
> der Port 80 benötigt.

Fragt sich nur auf welcher Seite.

[Rudolf Polzer]

Scripsit illa aut ille Haluk <Ho...@gmx.de>:

> Ralf Gross wrote:
>
>
> >>> 25/tcp open smtp
> >>
> >> Wird für E-Mails benötigt, also alles OK.
> >
> > SMTP-Server auf der Maschine? Welcher denn?
>
> Der Port 25 war gerade offen, als die Maschine gescannt wurde. Das heisst
> nicht, dass dort ein SMTP-Server läuft. Dieser Port wird im Intranet für
> das Empfangen von E-Mails benötigt. Daher war er zum Zeitpunkt des Scanns
> offen.

Dann scheint er ja ziemlich lange "benötigt" zu werden:

| rpolzer@www42:~$ nc barop.wh.uni-dortmund.de 25
| 220 barop.wh.uni-dortmund.de ESMTP Sendmail 8.10.2/8.10.2/SuSE Linux 8.10.0-0.3; Fri, 16 Aug 2002 18:37:04 +0200

Und nein, das ist kein Mail*client*, es ist ein Mail*server*.

> >>> 80/tcp open http
> >>
> >> Das ist der Port, um im Internet zu surfen. Daher alles OK.
> >
> > Webserver auf der Maschine?
>
> Nein. Aber wenn irgend jemand im Intranet auf das Internet zugreifft oder
> über HTTP Dateien uploadet oder downloadet, wird der Port 80 benötigt.

| rpolzer@www42:~$ nc barop.wh.uni-dortmund.de 80
| HEAD / HTTP/1.0
|
| HTTP/1.1 200 OK
| Date: Fri, 16 Aug 2002 16:38:22 GMT
| Server: Apache/1.3.19 (Unix) (SuSE/Linux) mod_ssl/2.8.2 OpenSSL/0.9.5a mod_perl/1.24 PHP/4.0.4pl1
| Last-Modified: Wed, 14 Aug 2002 06:44:45 GMT
| ETag: "200de-1f9e-3d59fc5d"
| Accept-Ranges: bytes
| Content-Length: 8094
| Connection: close
| Content-Type: text/html
|

Interessant, was die heutigen Browser so alles können...

Und ja, der Port 80 wird dabei benötigt, aber er steht dabei nicht der
ganzen Welt offen. Vor allem läuft dabei auf den verwendeten Ports kein
Apache oder Sendmail.

--
#!/usr/bin/perl -- look at the smileys in the 2nd line, the rest is boring
no warnings;$,=('~'x80)."\r";END{print"\n"}print
~_^ 1004 ^_^ 1818, m }^_^{ } *_* KGBENTE=>5423683
,'nu...@durchnull.de'

[Stefan Nobis]

Haluk <Ho...@gmx.de> writes:

> Der Port 25 war gerade offen, als die Maschine gescannt wurde. Das heisst

> nicht, dass dort ein SMTP-Server laeuft. Dieser Port wird im Intranet fuer
> das Empfangen von E-Mails benoetigt. Daher war er zum Zeitpunkt des Scanns
> offen.

Und du hast mehr Ahnung als ich?!?

Sag mal, was weißt du überhaupt von Netzen, außer, dass da irgendwas
zwischen Rechnern irgendwie passiert? Ich gewinne immer mehr den
Eindruck, du hast mal ein paar Akronyme und Fachbegriffe aufgeschnappt
und dir den Rest dann hinzuphantasiert. Anders ist der Schwachsinn,
den du hier ablässt, wirklich nicht mehr erklärbar.

Es stimmt, dass Port 25 irgendetwas irgendwie mit dem Empfang von
E-Mails zu tun hat -- nämlich der Zustellung von einem SMTP-Server an
einen anderen. Wenn also über Port 25 E-Mails empfangen werden, dann
läuft da per Definitionem und zwangsläufig ein SMTP-Server (und nein,
dein Mailclient ist kein SMTP-Server).

Wenn dein Mailclient Mails abholt, dann geschieht das per POP3 oder
IMAP4 (üblicherweise, es gibt da natürlich noch so rund ein halbes
Dutzend gar nicht mal allzu exotischer Alternativen).

Wenn also Port 25 offen ist und darüber auch Mails eintreffen, dann
läuft da ein Mailserver. Punkt.

Bitte höre auf, offensichtlichen Unsinn zu posten. Bitte informiere
dich wenigstens grundlegend, bevor zu hier den großen Angeber
raushängen lässt.

Danke.

> >>> 53/tcp open domain
> >>
> >> Das ist der Port fuer DNS, alles daher OK. Man koennte zwar nur UDP 53
> >> nehmen, aber die Performance waere schlecht.

> >
> > DNS-Server auf der Maschine? Welcher? Bind?
>
> Das ist die DNS des "Netzanbieters". Weitere Informationen kann und werde
> ich nicht weitergeben.

Das ist wieder völliger Schwachsinn!

Offensichtlich ist dir nicht einmal klar, was nmap mit seinen
Portscans ermittelt. Weißt du überhaupt, was ein Portscan macht (nach
deinen bisherigen Postings ist das mehr als unwahrscheinlich)? Hatten
dir nicht einige Leute, u.a. auch ich, gerade neulich versucht dir zu
erklären, was bei einem Portscan abläuft?

Selbstverständlich läuft da auf dem Server ein Programm, dass auf Port
53 Verbindungen entgegennimmt und aller Wahrscheinlichkeit nach, ist
das ein aktiver Nameserver.

Obiger offener Port hat absolut gar nichts mit der Frage zu tun, ob
euer Paketfilter Anfragen an den Port 53 des DNS-Servers eures ISPs
durchlässt -- das ist nämlich mit einem externen Portscan so gar nicht
zu ermitteln.

> >>> 80/tcp open http
> >>
> >> Das ist der Port, um im Internet zu surfen. Daher alles OK.
> >
> > Webserver auf der Maschine?
>
> Nein. Aber wenn irgend jemand im Intranet auf das Internet zugreifft oder

> ueber HTTP Dateien uploadet oder downloadet, wird der Port 80 benoetigt.

Und noch mehr Blödsinn!

Du hast schlicht nicht die geringste Ahnung, wie TCP/IP
funktioniert. Ein externer Portscan zeigt exakt die Ports an, die auf
Anfragen reagieren, d.h. hinter denen Programme auf TCP-SYN Pakete
reagieren. Das hat mit der Möglichkeit, beliebige Server im Internet
auf Port 80 zu kontaktieren absolut gar nichts zu tun.

Anders formuliert: Ich kann ein Internet-Gateway (also z.B. eures) so
einrichten, dass der externe Portscan gar keinen offenen Port anzeigt
und dennoch könntet ihr alle (problemlos) auf HTTP, DNS, Mail und
andere Dienste zugreifen.

Vielleicht hilft ja die Wiederholung: Ein Portscan zeigt die Ports an,
auf denen aktive Dienste lauschen und hat (prinzipiell) rein gar
nichts mit dem Paketfilter und/oder Proxies zu tun (natürlich kann der
Paketfilter die Anfragen bei Portscan abfangen und somit einen Port
für (alle) Verbindungen sperren, obwohl auf dem Rechner eigentlich ein
Dienst auf diesem Port lauscht -- das hat aber wirklich gar nichts mit
dem Datenverkehr zwischen Intranet und Internet zu tun).

Oh Mann, bei deinem Geseiere hier ist es ja fast ein Wunder, dass du
in der Lage bist, einen Webbrowser zu bedienen und dir nicht ständig
selbst in den Fuß schießt.

Ich bleibe aber dennoch bei meinem Angebot: Ich wohne im Dortmunder
Süden und bin bereit, mich mal mit dir zu treffen und dir die
Grundlagen von TCP/IP zu erklären (und auch konkret an praktischen
Beispielen zu demonstrieren, wie falsch du mit deinen Phantasieren,
die du hier so absonderst, liegst).

--
Stefan.

[Lasse Kliemann]

* According to Stefan Nobis <ste...@snobis.de>:

> erklären (und auch konkret an praktischen Beispielen zu
> demonstrieren, wie falsch du mit deinen Phantasieren, die du hier
> so absonderst, liegst).

Das wundert mich am meisten, daß das Haluk -- sollte es denn
wirklich echt sein, was ich immernoch bezweifle -- sich offenbar
noch nie die Ausgabe von tcpdump oder netstat während einer
Verbindung angesehen hat. Daran könnte man nämlich schön die
einzelnen Abläufe erkennen.

[Stefan Nobis]

Haluk <Ho...@gmx.de> writes:

> Du bist wirklich so klug, oder? So steht das unter http://www.symantec.de
> wenn man den eigenen Rechner scannt. Willst du dich auf Symantec berufen?

> In den Erklaerungen haben sie eindeutig Mist gebaut. TCP 80 ist immer dann
> geoeffnet, wenn daten zum PC fliessen oder von dort kommen.

Du warst doch sonst immer so heiß auf Beispiele und Demonstrationen
und hast Leuten, die aus fundierten Quellen wie RFCs zitierten, an den
Kopf geworfen, dass sie keine Ahnung von der Praxis hätten.

Nochmal das Angebot: Ich komme bei dir vorbei oder du bei mir oder wir
treffen uns auf neutralem Boden. Dann zeige ich dir an mehreren
Beispielen, dass du hier wirklich falsch liegst.

Wenn du im Netz surfst, kann das kein externer Portscanner
feststellen. Ein Portscan stellt Ports fest, auf denen
Dienste/Programme Verbindungen selbst aktiv entgegennehmen. Das sind
Reaktionen auf TCP-SYN Pakete. Das hat mit dem normalen Datenverkehr
beim surfen erstmal nichts zu tun (außer dass natürlich dein Browser
u.a. auch ein TCP-SYN Paket an den Webserver schickt).

Hast du überhaupt je von sowas wie TCP 3-way Handshake gehört?

> > Dasselbe gilt wahrscheinlich auch fuer 25 und 53, oder betreibt ihr
> > einen SMTP und DNS Server fuer den Rest der Welt?

>
> Du hast wirklich keine Ahnung. Warum zweifelst du alles an, wenn du davon
> nichts verstehst? Sag das gleiche nochmal bei einem Unternehmen, wo du die

> Firewall einrichten sollst. Spaetestens wenn weder Internetaufbau, noch

> E-Mail empfang funktionieren, fliegst du raus.

Wirklich, das ist ernst gemeint. Ich fahre mit dir zur VHS Dortmund,
deren Schulungsnetz ich administriere. Da zeige ich dir das. Ganz
konkret, ganz praktisch.

Und bei Interesse erkläre ich dir das auch und zeige dir die
entsprechenden Passagen in den RFCs.

Ich kann auch ein Termin mit einem IHK-Prüfer ausmachen -- der prüft
immerhin die Leute, die sich später IT-Fachinformatiker oder
IT-Systemelektroniker nennen dürfen und u.a. genau für solche Dinge
ausgebildet werden (und die eigentlich grundsätzlich immer auch in
Prüfungen über TCP/IP Grundlagen wie den TCP 3-way Handshake
ausgefragt werden).

Aber das ist ja eh wieder Theorie. Also, nochmal: Sag Bescheid und wir
fahren in die VHS (oder ich komme zu dir oder du zu mir) und ich zeige
dir ganz konkret und praktisch, dass du hier wirklich falsch liegst.

Oder probiere es selber einmal aus.

Ach ja, was hat eigentlich der "Internetaufbau" mit Ports zu tun. Oder
meintest du hier die Webbrowser?

> Das solltest du fuer dich beherzigen. Lueg niemanden mehr

> an. Hoffentlich verkonfiguriert jemand eine Firewall nach deinen
> Angaben. Dann wird er sofort merken, was von dir zu Halten ist.

Was hat denn jetzt hier die Firewall (du meinst wohl den Paketfilter)
zu suchen? Ach so, du meinst, ein Port ist nur dann geschlossen, wenn
man im Paketfilter jeglichen Datenverkehr für diesen Port sperrt?
Haluk, das ist auch schlicht falsch.

Ich kann dir einen Rechner konfigurieren (und auch das ist ein ernst
gemeintes Angebot -- in der VHS stehen zur Zeit einige Rechner rum,
die (vorübergehend) nicht gebraucht werden, da können wir hemmungslos
experimentieren) auf dem es gar keinen Paketfilter gibt, der
Internetzugang hat und bei dem ein Portscanner keinen einzigen offenen
Port findet (obwohl ich parallel Mails sende und im Web surfe). Das
geht wirklich, ich zeige dir das gerne konkret an mehreren Beispielen.

--
Stefan.

[Sebastian Bork]

* Haluk <Ho...@gmx.de> schrieb:

>* Lasse Kliemann wrote:
>>* According to Haluk <Ho...@gmx.de>:
>>>

>>>> 80/tcp open http
>>>
>>> Das ist der Port, um im Internet zu surfen. Daher alles OK.
>>
>> Du bist nicht wirklich so dämlich, oder? Dort läuft ein HTTP
>> Server! Das hat nichts damit zu tun, daß von diesem Rechner oder
>> einem dahinterliegenden aus gesurft wird.
>

> In den Erklärungen haben sie eindeutig Mist gebaut. TCP 80 ist immer dann
> geöffnet, wenn daten zum PC fliessen oder von dort kommen.

Du erzählst Müll. Wie bitte habe ich bei gesperrtem Port 80 all die
Monate Webseiten betrachten können, seit ich meinen Paketfilter ein-
gerichtet habe, wenn der »offen« sein muß zum Surfen? Würdest Du mir
das bitte erklären?

Ich sage Dir wieso: Weil der Sourceport, von dem aus ich die Verbin-
dung zu Port 80 der Webserver aufgebaut habe, ein Port > 1024 ist.
Wie das nunmal üblich ist.

Wieso lügst Du die Leute an, Haluk?

Aber wenn Du wirklichso viel Ahnung hast, kannst Du mir ja noch mal
ein paar Hinweise geben, was ich bei discordia.sebi.org noch verbes-
sern muß in der Sicherheit. *g*

--
Support the ban on Dihydrogen Monoxide: http://www.dhmo.org/
*encrypted e-mail preferred* | use saft://saft.sebi.org/sebi

[Rudolf Polzer]

Scripsit illa aut ille Sebastian Bork <se...@sebi.org>:
[Haluk]

> Aber wenn Du wirklichso viel Ahnung hast, kannst Du mir ja noch mal
> ein paar Hinweise geben, was ich bei discordia.sebi.org noch verbes-
> sern muß in der Sicherheit. *g*

Ist doch klar:

| rpolzer@www42:~$ ping -c1 discordia.sebi.org
| PING discordia.dyndns.org (212.202.184.202) from 80.128.184.100 : 56(84) bytes of data.
| 64 bytes from port-212-202-184-202.reverse.qdsl-home.de (212.202.184.202): icmp_seq=0 ttl=55 time=99.244 msec
|
| --- discordia.dyndns.org ping statistics ---
| 1 packets transmitted, 1 packets received, 0% packet loss
| round-trip min/avg/max/mdev = 99.244/99.244/99.244/0.000 ms
| rpolzer@www42:~$

Da ist eine riesige Sicherheitslücke drin...

SCNR

--
You're thinking in Japanese!?! If you must think, DO IT IN GERMAN!!!
S. Asuka Langley

[Rupert Haselbeck]

Stefan Nobis schrieb:

> Und du hast mehr Ahnung als ich?!?
>
> Sag mal, was weißt du überhaupt von Netzen, außer, dass da irgendwas
> zwischen Rechnern irgendwie passiert? Ich gewinne immer mehr den
> Eindruck, du hast mal ein paar Akronyme und Fachbegriffe aufgeschnappt
> und dir den Rest dann hinzuphantasiert. Anders ist der Schwachsinn,
> den du hier ablässt, wirklich nicht mehr erklärbar.

Doch! Einen (weiteren) Erklärungsansatz gibt es natürlich schon.
Wenn man hier so mitverfolgt, mit wie wenig Aufwand ein einzelner Troll
immer wieder Megathreads starten kann, so ist das doch gelinde zum
verwundern.
Ich wundere mich zusätzlich, warum man hier nicht der bewährten
Usenet-Manier folgt und den Troll ganz einfach verhungern läßt.
Was hier an Trollfütterung so unternommen wird, ist erstaunlich

MfG
Rupert

PS: Fup2p

[Sebastian Bork]

* Rudolf Polzer <AntiATFiel...@durchnull.de> schrieb:

> Scripsit illa aut ille Sebastian Bork <se...@sebi.org>:
> [Haluk]
>> Aber wenn Du wirklichso viel Ahnung hast, kannst Du mir ja noch mal
>> ein paar Hinweise geben, was ich bei discordia.sebi.org noch verbes-
>> sern muß in der Sicherheit. *g*
>

> | rpolzer@www42:~$ ping -c1 discordia.sebi.org
> | PING discordia.dyndns.org (212.202.184.202) from 80.128.184.100 : 56(84) bytes of data.
> | 64 bytes from port-212-202-184-202.reverse.qdsl-home.de (212.202.184.202): icmp_seq=0 ttl=55 time=99.244 msec

Was fällt Dir ein ... ?! Das war eine böswillige DoS-Attacke ! Du bist
wohl auch so ein krimineller Hacker ?!? Ich werde mich bei der Netzver-
waltung beschweren !

An Haluk: Der hat mich doch gehackt¹, oder ? Was kann ich da machen ?

¹ Weil: Der hat meinen wahren Namen rausbekommen. Dabei hab ich
doch 'ne FIREWALL !!1 Hilft das nicht gegen gehackt werden ?

--
"I am chaos. I am the substance from which your artists and scientists
build rhythms. I am the spirit with which your children and clowns
laugh in happy anarchy. I am chaos. I am alive, and tell you that
you are free." -- Eris, Goddess of Chaos, Discord & Confusion

[Bernd Schmelter]

Sebastian Bork wrote:
> * Rudolf Polzer <AntiATFiel...@durchnull.de> schrieb:
> > Scripsit illa aut ille Sebastian Bork <se...@sebi.org>:

[...]

> An Haluk: Der hat mich doch gehacktš, oder ? Was kann ich da machen ?

Die Antwort dürfte klar sein. ICMP abschalten.

*SCNR*
Benn

--
#250319 - http://counter.li.org

[Rudolf Polzer]

Scripsit illa aut ille Sebastian Bork <se...@sebi.org>:
> * Rudolf Polzer <AntiATFiel...@durchnull.de> schrieb:
> > Scripsit illa aut ille Sebastian Bork <se...@sebi.org>:
> > [Haluk]
> >> Aber wenn Du wirklichso viel Ahnung hast, kannst Du mir ja noch mal
> >> ein paar Hinweise geben, was ich bei discordia.sebi.org noch verbes-
> >> sern muß in der Sicherheit. *g*
> >
> > | rpolzer@www42:~$ ping -c1 discordia.sebi.org
> > | PING discordia.dyndns.org (212.202.184.202) from 80.128.184.100 : 56(84) bytes of data.
> > | 64 bytes from port-212-202-184-202.reverse.qdsl-home.de (212.202.184.202): icmp_seq=0 ttl=55 time=99.244 msec
>
> Was fällt Dir ein ... ?! Das war eine böswillige DoS-Attacke ! Du bist
> wohl auch so ein krimineller Hacker ?!? Ich werde mich bei der Netzver-
> waltung beschweren !

Das ist zwecklos. Der merkt nicht, wenn er ver*rscht wird. Der merkt gar
nichts. Da kannst du noch so sehr seine Typographie imitieren... aber
irgendwie fehlen am Ende ein paar Ausrufezeichen.

Also, wenn das jetzt Haluk geschrieben hätte, hätte ich es gesiggt.

--
Nur für Verrückte.

[Juergen Ilse]

Hallo,

Haluk <Ho...@gmx.de> wrote:
> Christoph Bott wrote:
>> $ nmap -sT barop.wh.uni-dortmund.de
>>

>> Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
>> Interesting ports on barop.wh.Uni-Dortmund.DE (129.217.129.129):
>> (The 1526 ports scanned but not shown below are in state: closed)
>> Port State Service

>> 22/tcp open ssh

> Erwischt. Der Port könnte geschlossen werden.

Nicht unbedingt, wenn eine Fernwartungsmoeglichkeit fuer den Rechner
benoetigt wird.

>> 25/tcp open smtp

> Wird für E-Mails benötigt, also alles OK.

>> 53/tcp open domain

> Das ist der Port für DNS, alles daher OK. Man könnte zwar nur UDP 53 nehmen,
> aber die Performance wäre schlecht.

Du hast so wenig Ahnung, dass man fast sprachlos wird ...
Der Port waere nicht offen, wenn auf dem Rechner kein DNS-*Server* laufen
wuerde. Warum laeuft auf der Maschine ein DNS-Server? Wird der dort
benoetigt, oder wusstest du nur nicht, wie man den abschaltet?

>> 80/tcp open http

> Das ist der Port, um im Internet zu surfen. Daher alles OK.

Der offene Port heisst, dass dort ein WWW-*Server* laeuft. Wozu wird der
benoetigt? Oder hast du Experte noch nicht einmal diesen laufenden Service
bemerkt? Zum "surfen im Netz" wird Port 80 nur als *Zielport* der Verbindung
benoetigt, nicht als Quellport, auf dem Rechner koennte er also dicht sein,
wenn dieser Rechner keine Webinhalte fuer die Welt praesentieren muss.

>> 110/tcp open pop-3
> http://www.synapse.de/ban/HTML/P_TCP_IP/Ger/P_tcp_45.html

Ohne ejtzt dem link zu folgen (ist mir momentan zu aufwendig):
Muss von ausserhalb auf die lokalen Mailboxen auf diesem Rechner zugegriffen
werden? Wenn nein, ist auch dieser Prot ueberfluessigerweise offen ...

>> 443/tcp open https

> Wird für https-Verbindungen gebraucht, also alles in Ordnung.

Wiederum: Wird nur gebraucht, wenn der Rechner ein HTTPS-*Server* ist.
Ist er dass? Wenn nein, hast du schon wieder einen leichtsinnigerweise
und ueberfluessigerweise offenen Port uebersehen.

>> 3306/tcp open mysql

> Erwischt. Der Server bietet keine Datenbankdienste an. Daher muss dieser
> Port geschlossen werden.

Der Server bietet vermutlich Datenbankdienste (eine mysql-Datenbank) an.
Wuerde auf dem Rechner keine mysql-Datenbank laufen, waere dieser Port nicht
als offen vermerkt gewesen.

Mal ein Beispiel, wie das ganze aussehen koennte:
--------------
talaxia:~ # nmap 62.48.88.14

Starting nmap V. 2.53 by fyo...@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on talaxia.ilse.asys-h.de (62.48.88.14):
(The 1516 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
113/tcp open auth
119/tcp open nntp
434/tcp open mobileip-agent
435/tcp open mobilip-mn
--------------
Und dabei nimmt die ssh (dank tcp-wrapper) nicht wirklich von jeder
IP-Adresse eine Connection an (auf hinreichend neue ssh-Version wurde
ebenfalls geachtet), 53 ist nur offen, weil die Maschine DNS-Server
fuer mehrere Domains ist, nntp nimmt (dank tcp-wrapper aehnlicher
Funktionalitaet) auch nicht von ueberall Connections an sondern nur
aus meinem lokalen Netz, 434 und 435 sind die Ports ueber die mein
DIABLO-Newsserver von aussen gefuettert wird (und der spricht auch
nur mit seinen Upstreams und meinem lokalen Netz).

Ich kann dir versichern, dass ich von anderen Rechnern Mail per pop3
abholöen koennte (auch wenn ich das momentan nicht nutze), obwohl der
pop3-Port auf meinem Rechner nicht offen ist. Ich kann Webseiten abrufen
(sowohl mit http als auch mit https) obwohl diese Ports auf meinem Rechner
nicht "offen" sind. Wen nder Rechner nicht auch per SMTP aus aller Welt
Mail entgegen nehmen wuerde (der Rechner haengt mit fester IP permanent
am Netz) waere auch der smtp-Port nicht offen, denn zum Mail versenden
ist es nicht noetig, dass der auf dem lokalen Rechner offen ist (ich wuerde
den Port dann auch nicht filtern sondern schlicht den Mailservice nicht
starten bzw. nicht am Ethernet lauschen lassen).

Tschuess,
Juergen Ilse (il...@usenet-verwaltung.org)
--
Das Netz ist Freude. Es ist Ekstase, die jeden einzelnen Nerv erglühen
läßt. Es ist Duft, den man fühlt. Es ist ein Bild, das man riecht.
Es ist Erfüllung - ein Geschmack, neben dem alles andere schal ist.
("Netzreiter-Preisung" aus dem Buch "Der Netzparasit" von Andreas Brandhorst)

[Juergen Ilse]

Hallo,

Haluk <Ho...@gmx.de> wrote:
>>> > 80/tcp open http
>>>
>>> Das ist der Port, um im Internet zu surfen. Daher alles OK.
>>
>> Du bist nicht wirklich so dämlich, oder? Dort läuft ein HTTP
>> Server! Das hat nichts damit zu tun, daß von diesem Rechner oder
>> einem dahinterliegenden aus gesurft wird.

> Du bist wirklich so klug, oder? So steht das unter http://www.symantec.de
> wenn man den eigenen Rechner scannt. Willst du dich auf Symantec berufen?

Nein, er beruft sich bestenfalls auf die RFCs, denn die sind die geeignetere
Informationsquelle.

> In den Erklärungen haben sie eindeutig Mist gebaut. TCP 80 ist immer dann
> geöffnet, wenn daten zum PC fliessen oder von dort kommen.

Als "offene Prts" bezeichnet man nicht etwa bestehende TCP-Verbindungen
sondern Ports im Status "LISTEN", also Ports, auf denen eine Maschine
*selbst Verbindungen entgegennimmt*. Die Software, die diese Verbindungen
entgegen nehmen nemmt man im allgemeinen Sprachgebrauch *Server*.
"nmap ist nicht in der Lage, alle bestehenden TCP-Connections zu einem
remote-Rechner zu ermitteln, es ermittelt nur Ports, auf denen ein *Server*
lauscht und prinzipiell auch Verbindungen entgegennimmt.
Egal wie viel im Netz gesurft oder Mail versendet wird: das beeinflusst
die ausgabe von nmap keineswegs.

>> Dasselbe gilt wahrscheinlich auch für 25 und 53, oder betreibt ihr
>> einen SMTP und DNS Server für den Rest der Welt?
> Du hast wirklich keine Ahnung. Warum zweifelst du alles an, wenn du davon
> nichts verstehst? Sag das gleiche nochmal bei einem Unternehmen, wo du die
> Firewall einrichten sollst.

Wenn du darauf hoffen solltest, mal von irgendwem mal einen Auftrag fuer
die einrichtung einer Firewall zu bekommen, kannst du nur darauf hoffen,
dass derjenige diese Diskussion nicht mitverfolgt. Du waerst den Auftrag
schneller los als du den Auftrag nur erwaehnen koenntest ...

> Spätestens wenn weder Internetaufbau, noch
> E-Mail empfang funktionieren, fliegst du raus.

Fuer E-Mail-Empfang muss auf dem empfangenden Rechner ein Mailserver laufen.
Auch darf im Normalfall der Traffic zum SMTP-Port des Mailservers nicht ge-
blockt werden (wie sollte er sonst aus der ganzen Welt Mail empfangen?).
Zum surfen im Web wird *gar kein* offener Port benoetigt, den man mit nmap
oder anderen Port-Scannern lokalisieren koennte, da die "Server-Seite" der
Verbindung nicht auf dem lokalen Rechner liegt ...

Uebrigens noch ein Nachtrag zu dem "nmap" Listing meines Rechners:
Dort laeuft keine Firewall, und die einzigen Ports die gefiltert werden
sind die Lan-Manager-Ports (vom Router gefiltert, weil das die Default-
konfiguration der von mir konfigurierten Router dieses Typs ist, fuer
Kunden fuege ich i.d.R. die Anweisung "BlockNetBiosDefault" ein, weil
sie i.d.R. nichts schadet, und im Zusammenhang mit Windows ost nuetzt).
Das tauchte nur deshalb nicht im nmap-Listing auf, weil ich den Postscan
von innerhalb meines lokalen Netzes durchgefuehrt habe.

> Das solltest du für dich beherzigen. Lüg niemanden mehr an. Hoffentlich
> verkonfiguriert jemand eine Firewall nach deinen Angaben. Dann wird er
> sofort merken, was von dir zu Halten ist.

Ach? Welche Sicherheitsluecken siehst du denn i nder Konfiguration meines
Rechners? Ich teile dir sogar noch mit, um welches System es sich handelt:
Linux (Kernel-Version 2.2.21), Der Newsserver (Ports 119, 434 und 435) ist
ein "Diablo", der DNS ein "MaraDNS", der Mailserver "Postfix", der ssh ist
(auch wenn du das nicht siehst) OpenSSH 3.4P1, eine "Firewall" existiert
nicht. Welche gravierenden Sicherheitsluecken existieren?
Nein, antworte nicht, die Frage ist eher Rhetorisch ...

[Rudolf Polzer]

Scripsit ille Juergen Ilse <jue...@usenet-verwaltung.org>:
> Scripsit illud Haluk <Ho...@gmx.de>:

(Ich habe mal die Einleitungszeile übersetzt)

[Müll, wie immer]

Juergen:

> Egal wie viel im Netz gesurft oder Mail versendet wird: das beeinflusst
> die ausgabe von nmap keineswegs.

Eine kleine Ausnahme gibt es da. Sie ist aber sehr spezifisch und der
dadurch geöffnete Port ist nur für kurze Zeit offen. Du kennst sie mit
Sicherheit. Das Protokoll wird sogar vom IE so einigermaßen unterstützt
(allerdings ist diese Unterstützung alles andere als brauchbar).

Mal sehen, ob Haluk sie findet... (arva, rf vfg *avpug* VPZC)

--
[mpg123d] Just playing: .../lopster/megumi/iravati/11 Reflection.mp3

For the sake of who I am, I am myself. [EoE Part II, translated]

[Bernd Eckenfels]

Rudolf Polzer <AntiATFiel...@durchnull.de> wrote:
> Eine kleine Ausnahme gibt es da. Sie ist aber sehr spezifisch und der

> dadurch ge?ffnete Port ist nur f?r kurze Zeit offen.

Und auch jeweils ein anderer. Du redest von UDP Query port des resolvers?

Gruss
Bernd

[Rudolf Polzer]

Scripsit ille Bernd Eckenfels <ecki-new...@lina.inka.de>:

Stimmt, den gibt's auch noch. An den hatte ich jetzt nicht gedacht -
zumal der IE für dieses Protokoll AFAIK gar nicht verantwortlich ist
(er delegiert doch an die entsprechenen Winsock-Funktionen?).

Ich meinte einen TCP-Highport.

BTW: Stimmt was mit meinem Ümläütën nicht?

[Jens Suelwald]

On Thu, 15 Aug 2002, Haluk wrote:

> Christoph Bott wrote:
>
> > 3306/tcp open mysql
> Erwischt. Der Server bietet keine Datenbankdienste an. Daher muss dieser
> Port geschlossen werden.

Doch; IMHO läuft da ein Daemon.. *g*

mfg, WereBones
--
There are only 10 types of people in this world..
those who understand binary, and those who don't.

[Gaby Hornik]

Lasse Kliemann <stu3...@mail.uni-kiel.de> wrote:
> * According to Haluk <Ho...@gmx.de>:
>> >>> 25/tcp open smtp
>> >> Wird für E-Mails benötigt, also alles OK.
>> > SMTP-Server auf der Maschine? Welcher denn?
>> Der Port 25 war gerade offen, als die Maschine gescannt wurde.
>> Das heisst nicht, dass dort ein SMTP-Server läuft.
> Stimmt, es könnte auch irgendein anderer Dienst dort lauschen. Aber
> _irgendeiner_ bestimmt.

hornik@leela:~ > telnet barop.wh.uni-dortmund.de 25
Trying 129.217.129.129...
Connected to barop.wh.uni-dortmund.de.
Escape character is '^]'.

220 barop.wh.uni-dortmund.de ESMTP Sendmail 8.10.2/8.10.2/SuSE Linux

8.10.0-0.3; Sun, 18 Aug 2002 15:50:51 +0200

:-)))

>> Dieser Port wird im Intranet für das Empfangen von E-Mails
>> benötigt. Daher war er zum Zeitpunkt des Scanns offen.

> Man definiere, was ein offener Port ist. Bis dahin ist das alles
> nur Gefasel.

Quark. Der Port ist immer offen. Ist ja auch gut so, wenn man
Mails empfangen will. :-))

>> >>> 53/tcp open domain
>> >> Das ist der Port für DNS, alles daher OK. Man könnte zwar nur
>> >> UDP 53 nehmen, aber die Performance wäre schlecht.
>> > DNS-Server auf der Maschine? Welcher? Bind?
>> Das ist die DNS des "Netzanbieters". Weitere Informationen kann
>> und werde ich nicht weitergeben.

Och....ich helfe mal aus...siehe unten.

> ROTFL
> Hey, Haluk, ich habe hier auch noch jede Menge geheimer DNS's. Ich
> verrate Dir welche, wenn Du mir was von Deinen IP's verrätst.

nslookup> ls -d wh.uni-dortmund.de
[barop.wh.uni-dortmund.de]
$ORIGIN wh.uni-dortmund.de.
@ 1D IN SOA emil.nef hostmaster.nef (
2002071791 ; serial
4H ; refresh
1H ; retry
5w6d16h ; expiry
1D ) ; minimum

1D IN NS nx1.hrz.uni-dortmund.de.
1D IN NS emil.nef
1D IN NS auth03.dorf.de.
1D IN MX 10 mail.dorf
1D IN MX 20 dorf.ping.de.
1D IN MX 50 nx5.hrz.uni-dortmund.de.
1D IN RP admin.nef admin
....

Wow, ich kann h@cken...:-)))

Mfg, Gaby
--
Aus "Andromeda": "One head cannot contain all wisdom."
"The Olduvai Cycle" Systems University Archives
http://www.gabyhornik.de mailto:ga...@gabyhornik.de
ICQ: 105106979

[Juergen Ilse]

Hallo,

Ich denke, er bezog sich auf TCP, und da ist es nicht der DNS-Service ...

[Marcus Maskos]

# Rupert Haselbeck <mein-re...@gmx.de> wrote:

: Ich wundere mich zusätzlich, warum man hier nicht der bewährten

: Usenet-Manier folgt und den Troll ganz einfach verhungern läßt.
: Was hier an Trollfütterung so unternommen wird, ist erstaunlich

Tata! Damit kommen wir jetzt zur Aufloesung. Es war ein Experiment.
Haluk hat hier gezeigt, dass man, mit etwas List, von vielen Leuten
TCP/IP und ICMP schoen erklaert bekommt (inkl. ausfuehrlicher
Beispiele), ohne sich selbst mit RFCs, google und Literatur zu
"belasten" :-)

Ein wirklich schoenes Beispiel fuer social engineering.

--
Marcus

No RISC - No fun!

[Bernd Eckenfels]

Rudolf Polzer <AntiATFiel...@durchnull.de> wrote:
> Ich meinte einen TCP-Highport.

ein TCP Highport ist nicht offen wenn er eine ausgehende Verbindung macht.
Und nur bei einem kaputten TCP stack sollte nmap diese ports sehen. ODer hab
ich dic hfalsch verstanden?

Gruss
Bernd

[Andreas Krey]

* Marcus Maskos (squi...@hst-research.de)

>
>Tata! Damit kommen wir jetzt zur Aufloesung. Es war ein Experiment.
>Haluk hat hier gezeigt, dass man, mit etwas List, von vielen Leuten
>TCP/IP und ICMP schoen erklaert bekommt (inkl. ausfuehrlicher
>Beispiele), ohne sich selbst mit RFCs, google und Literatur zu
>"belasten" :-)
>

Quatsch. Auch Wissensaneignung aus dem Usenet erfordert verstehendes
Lesen, was bei $subject offensichtlich nicht funktioniert. Sonst
wuerde es nicht immer denselben Kran nicht verstehen.

Andreas

[Felix von Leitner]

Thus spake Lasse Kliemann (stu3...@mail.uni-kiel.de):

> Du bist nicht wirklich so dämlich, oder?

Ja. Das ist schon mehrfach rückhaltlos geklärt worden.
Plonken, nicht füttern.

[Andreas Dau]

Juergen Ilse schrieb:
>[Discussion with the Haluk being]

>
> Fuer E-Mail-Empfang muss auf dem empfangenden Rechner ein Mailserver laufen.

Ehm? Sorry? +v bitte. Meinst du direkt anmailen?

cu,
Andreas

[Immo 'FaUl' Wehrenberg]

begin followup to the posting of Andreas Dau

> Juergen Ilse schrieb:
>>[Discussion with the Haluk being]
>>
>> Fuer E-Mail-Empfang muss auf dem empfangenden Rechner ein Mailserver laufen

> Ehm? Sorry? +v bitte. Meinst du direkt anmailen?

Was sonst? Wenn man seine E-Mails via Imap liest braucht man natuerlich
keinen Imap-Server auf der clientseite.

FaUl
end
This article does not support incompatible and broken newsreaders.
--
Dieses Posting ist mit 128-Fach-ROT13 verschlüsselt.

[Rudolf Polzer]

Scripsit ille Andreas Dau <dev...@andreasdau.de>

Er meint das *Empfangen* von Mails, nicht das *Abholen*.

Jetzt dürfte es klar sein, oder?

[Andreas Dau]

Rudolf Polzer schrieb:

> Scripsit ille Andreas Dau <dev...@andreasdau.de>
>
>>Juergen Ilse schrieb:
>>
>>>[Discussion with the Haluk being]
>>>
>>>Fuer E-Mail-Empfang muss auf dem empfangenden Rechner ein Mailserver laufen.
>>
>>Ehm? Sorry? +v bitte. Meinst du direkt anmailen?
>
>
> Er meint das *Empfangen* von Mails, nicht das *Abholen*.
>
> Jetzt dürfte es klar sein, oder?
>

yup, alles klar ;-)
Thx,
Andreas

[Juergen Ilse]

Hallo,

Immo 'FaUl' Wehrenberg <im...@faul.dyndns.org> wrote:
> begin followup to the posting of Andreas Dau
>> Juergen Ilse schrieb:
>>>[Discussion with the Haluk being]
>>> Fuer E-Mail-Empfang muss auf dem empfangenden Rechner ein Mailserver laufen
>> Ehm? Sorry? +v bitte. Meinst du direkt anmailen?

Wenn ich in diesem Zusammenhang von Mailempfang rede, meine ich nicht das
pollen von Mailboxen via pop3 oder imap sondern Mailempfang via SMTP.
Mein Rechner tut das (ist auch permanent mit fester IP am Netz), die
meisten privat zu Haus aufgestellten Rechner werden das nicht tun.

> Was sonst? Wenn man seine E-Mails via Imap liest braucht man natuerlich
> keinen Imap-Server auf der clientseite.

Ein imap-Server laeuft bei mir auch nicht, da ich meine Mails nur lokal
auf dem Server lese (fuer etwas anderes habe ich momentan keinen Bedarf).

[Hillier Robert]

Falls sich Haluk nicht interessiert, ich würde mich sehr
über das Thema interessieren. Zudem ich einer der IHK-Prüfer
bin. (keine Angst nicht im Netzwerk).
Zumindest wäre ich an dem Theoretischen wissen interessiert.
Das praktische kann ich mir (nächtelang) rausziehen.

----------

[Adrian Knoth]

Hillier Robert <in...@grdv.de> wrote:

> Zudem ich einer der IHK-Prüfer bin. (keine Angst nicht im Netzwerk).

Merkt man. TOFU. Naja, ich wußte schon immer, daß der Laden die geballte
Inkompetenz darstellt. Schlimm nur, daß er eindeutig zuviel mit Ausbildung
zu tun hat und somit das Elend weiter potenziert.

--
mail: a...@thur.de http://adi.thur.de PGP: v2-key via keyserver

"Nicht heut' Nacht, Liebling! Ich habe ein Modem...."

[Hillier Robert]

Und wie kommst du dazu mir Inkompetenz zu unterstellen?
Lassen wir/du bitte Beleidigungen weg.

[Hillier Robert]

An Haluk (Michael Gebetsroither)

ich wünsche von Ihnen keine E-Mail.

ich habe nicht den kompletten Text hinzugefügt zur Antwort.
Nur den teil auf den ich mich Bezog.

Das sich andere über Dich bzw. das Thema Haluk aufregen
wird sicherlich nicht an mir liegen. Ich hab in den
Spiegel geschaut und mir an die Nase gefasst. Bin mir
also sicher das ich es diesmal nicht war.
Tue es auch mal.

mfg

robi

[Paul Muster]

"Hillier Robert" <in...@grdv.de> schrieb:

> Und wie kommst du dazu mir Inkompetenz zu unterstellen?

Es/Sie ist offensichtlich.

mfG Paul

--
Benjamin Schwenk in <aeqdnb$77v$1...@crusher.de.colt.net>: Ich postuliere hiermit
"Ben's Law": Man kann gegenüber dem Bund gar nicht genug Vorurteile haben, es
gibt immer einen (Ex-)Bundi, der sie übertreffen wird.
--- eMails ans From: werden ungelesen gelöscht. ---

[Hillier Robert]

ach so,
dann war ich jetzt doch das dummerchen
:-)

[Felix von Leitner]

Thus spake Hillier Robert (in...@grdv.de):

> Und wie kommst du dazu mir Inkompetenz zu unterstellen?

X-Newsreader: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Und

From: info@[domain]
^^^^^

> Lassen wir/du bitte Beleidigungen weg.

Beleidigung? Beobachtung! Feststellung!

[Hillier Robert]

k.a.

[Thomas Kaemer]

Hillier Robert wrote:
> k.a.

Merkst du eigentlich, wie sehr du dich hier selbst demontierst?

Thomas

[Hillier Robert]

ja

[Thorsten Glaser]

begin electrogrammati illius Hillier Robert

>An Haluk (Michael Gebetsroither)
>
>ich wünsche von Ihnen keine E-Mail.

Das ist eine Beleidigung, die Sie innerhalb von 16 Sekunden
zurücknehmen. Das kann ich nicht mit ansehen - ich hoffe,
wir treffen uns in den nächsten drei Jahren plus 1 Woche nicht.

$tgId: merkbefreiung.frm,v 1.6 2002/08/06 02:30:24 tg Exp $
-----BEGIN DOCUMENT-----
Die nachstehend eindeutig identifizierte Lebensform

Name : Hillier___________________________
Vorname : Robert____________________________
Geburtsdatum : unwichtig_________________________
Geburtsort : uninteressant_____________________
eindeutiges Kennzeichen : IHK_______________________________

ist hiermit für den Zeitraum von

[ ] ___________
[ ] 6 Monaten
[ ] 12 Monaten
[ ] 24 Monaten
[X] unbefristet

davon befreit, etwas zu merken, d.h. wesentliche
Verhaltensänderungen bei der Interaktion mit denkenden Wesen zu
zeigen. Die Einstufung der o.a. Person nach dem amtlichen Index
für Merkbefreiungen liegt bei dem Äquivalent von

[ ] einem Mensaessen vom Vortag
[ ] drei Hartkeksen in löslichem Kaffee Hag
[ ] einer Kiste Schwarzbrot in Dosen
[ ] einem Quadratmeterstück Torfmoos während einer
sechswöchigen Sommerdürre
[ ] einem Container erodierten Sandsteines
(Streusandqualität)
[ ] einem Mitglied des Bundestages
[ ] einer Drucksache der Senatsplanungskommission der
Universität Oldenburg (Präsidiumsvorlage)
[ ] einem Kilo Watt (Schlickwatt, Jadebusen)
[X] 1280_ AOL-CDs

Die ausgesprochene Merkbefreiung erlischt mit dem Ablauf des

[ ] dem Ablauf der o.g. Frist, beginnend mit dem
Zeitpunkt der Ausstellung
[X] dem Ablauf des 30.08.2005_
[ ] der vollständigen Erosion der körperlichen
Bestandteile der o.a. Lebensform

und gilt, sodaß die o.a. Lebensform durch das nachstehende
Kennzeichen als merkbefreit zu identifizieren ist:

[ ] eine rote Plastiknase
[ ] schwarze Hose, schwarze Schuhe, weiße Socken
[ ] eine umgedrehte Baseballkappe
[ ] abgewetzte Turnschuhe, Zeigefingersehnenentzündung
[X] olives Stoffstück mit weißem Rand, auf der Schulter
zu tragen
[X] die Lebensform ist durch den Gesichtsausdruck
zweifelsfrei als unbefristet merkbefreit zu
erkennen.

Die o.a. Lebensform ist durch den Erwerb dieses
Merkbefreiungsscheins automatisch für die folgenden Tätigkeiten
qualifiziert:

[X] Markierungshütchen bei Abmarkierungsarbeiten auf
deutschen Bundesautobahnen
[ ] Garderobenständer und Regenschirmständer in
Restaurants bis zu, aber nicht eingeschlossen, 3 Sterne
[X] Regelstab in Schwerwasserreaktoren
[X] Markierungsstab für das Fahrwasser im Nationalpark
Niedersächsisches Wattenmeer
[X] Landschaftsmerkmal/Orientierungshilfe in der Wüste
Gobi
[ ] Pegellatte in Prielen und Sielen
[X] Füllmaterial eines Salzstocks nach dortiger Endlagerung
von gebrauchten Brennelementen
[X] Müllschlucker für hausmüllähnliche Gewerbeabfälle
in Betrieben des Deichbaus oder der organischen Chemie

Die Merkbefreiung für die o.a. Lebensform wurde in einem
Öffentlichen Merkbefreiungsverfahren ausgesprochen und ist nach
Ablauf der Einspruchsfrist von 17 Sekunden rechtskräftig.

Weitere Auflagen:

[X] *PATSCH*
[ ] *PLONK*
[ ] *PLATSCH*
[X] Get a life!
[X] Geh weg!
[ ] Geh sterben!
[ ] Erlöse den menschlichen Genpool von dir!

Weitere Betreuung durch:

[ ] /dev/null - QUARANTÄNE
[X] Schwester Johanna
[X] Die Hilfspfleger

Es wird der/die

[X] Heilungsversuch
[ ] vorläufige Aufbewahrung
[X] Zwischenlagerung
[ ] Endlagerung

angeordnet.

Weitere Anordnungen:

[X] Froschpillenkur
[X] grüne Froschpillen
[X] rosa Froschpillen
[X] gestreifte Froschpillen
[X] blaue______ Froschpillen
[X] Einlauf
[X] mit Kamillentee°
[X] mit Froschpillen
[X] Tackern
[X] sonstige Behandlung nach Ermessen der Pfleger

[X] Die sofortige Vollziehbarkeit dieses Bescheids wird
hiermit angeordnet.
Begründung:
[ ] Notstandsmaßnahme
[X] unmittelbare Gefahr für die geistige Gesundheit
von Lesern
[X] ROTFL / Lächerlichkeit, Selbstdemontage
[X] Gesetzliche Einspruchsfrist von 17 Sekunden
ohne Widerspruch abgelaufen.
[ ] _____________________________________

Hochachtungsvoll!

Datum Unterschrift Dienstsiegel
23.08.2002 (unleserlich) [KBB]

Stirnabdruck des Merkbefreiten
*flansch*

Dieses Dokument wurde elektronisch erstellt
und ist deswegen ohne Unterschrift gültig.

Hochachtungsvoll

Der naturamistische Minister für Merkbefreiung
in der Republica Occultae Germanorum, per EDV.
-----END DOCUMENT-----

[Sebastian Bork]

* Thorsten Glaser <ty...@netcologne.de> schrieb:
> [X] unbefristet

> Die ausgesprochene Merkbefreiung erlischt mit dem Ablauf des

> [X] dem Ablauf des 30.08.2005_

Von so einem einfachen Formular überfordert? Kasper!

[Thorsten Glaser]

begin electrogrammati illius Sebastian Bork

>* Thorsten Glaser <ty...@netcologne.de> schrieb:
>> [X] unbefristet

... gilt sie.

>> Die ausgesprochene Merkbefreiung erlischt mit dem Ablauf des
>> [X] dem Ablauf des 30.08.2005_

... wird sie erneuert werden, gebe ich sie an das bundesdeutsche
Bundesamt für Merkbefreiungen ab oder was auch immer.

>Von so einem einfachen Formular überfordert? Kasper!

Nein - nur die Merkbefreiung auf vorläufig drei Jahre plus ein
bißchen beschränkt.

-Thorsten
--
Du hast eine [...] Startseite ohne graphischen Schwachfug. [...] Wenn qmail
ohne Not [...] auf der Gegenseite Resourcen verbrät ist das genau so, als ob
Du als Web-Designer auf der Gegenseite ein Java-Programm starten willst, um
ein <a href> zu simulieren. Es ist Scheiße und gehört bestraft. [ aus dasr ]

[Urs [Ayahuasca] Traenkner]

Thomas Kaemer wrote:

> Hillier Robert wrote:
>> k.a.

Das wage ich stark zu bezweifeln. Anstatt sich irgendwo hinter
einem Stein zu verkriechen und zu schaemen, wie das ein
vernunftbegabter Mensch tun wuerde, wird froehlich weiter
getrollt.

"wer den Namen seines Diskussionspartners im subject erwaehnt,
hat automatisch verloren" usw. usf.

fup2p, Gruss Urs...
--
Staendig muss ich Kaffee machen.
Dabei bin ich doch gar nicht so schlecht im Bett!

[Juergen Ilse]

Thorsten Glaser <ty...@netcologne.de> wrote:
> $tgId: merkbefreiung.frm,v 1.6 2002/08/06 02:30:24 tg Exp $
> -----BEGIN DOCUMENT-----

[...]

> ist hiermit für den Zeitraum von

> [ ] ___________
> [ ] 6 Monaten
> [ ] 12 Monaten
> [ ] 24 Monaten
> [X] unbefristet

^^^^^^^^^^^^^^^
Wie passt das denn mit ...

> Die ausgesprochene Merkbefreiung erlischt mit dem Ablauf des

> [ ] dem Ablauf der o.g. Frist, beginnend mit dem
> Zeitpunkt der Ausstellung
> [X] dem Ablauf des 30.08.2005_

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
... dem da zusammen? Da muesste man doch glatt den zustaendigen Sachbear-
beiter feuern und ihn selbst mit einem solchen Dokument ausstatten, wenn
ihm so grobe Fehler unterlaufen, oder?
Da es eigentlich nicht mehr um Sicherheit geht (ausser, dass diese Merk-
befreiung "mit Sicherheit inkonsequent" ist) FUP2 poster ...