[Info] Hackerangriffe, Blacklist
- Ersteller vWalter
- Erstellt am
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,755
- Punkte
- 113
Hast Du Dich beim Link vertan ?
Abgesehen davon, daß ich da keine Liste finde ... ein Blog einer brasilianischen Firma mit einem letzten Eintrag, der sich rapide einem Alter von 3 Monaten nähert, soll
Abgesehen davon, daß ich da keine Liste finde ... ein Blog einer brasilianischen Firma mit einem letzten Eintrag, der sich rapide einem Alter von 3 Monaten nähert, soll
enthalten ? Was verstehe ich hier falsch ?
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,755
- Punkte
- 113
Dann sollte vWalter (für einen reinen Spam-Account sind 103 Beiträge in 9 Jahren etwas schmal und das wäre dann in der Tat eine teuflisch gute Tarnung) mal schnell seine Login-Daten im IPPF (und an allen anderen gleichlautenden Stellen) ändern ...
Auch wenn ich ihm dann tatsächlich 3 Klicks beschert habe, für einen "echten" SEO ist der Beitrag i.m.A. untypisch -> korrekte und sogar zum Thema passende Signatur, die auch angesichts der openSuSE-Version nicht so sehr alt sein kann.
Ich hatte den Beitrag schon einer (meiner Meinung nach auch kritischen) Bewertung unterzogen und hätte bei akutem Spam-Verdacht auch nicht nachgehakt, für mich paßt da einiges nicht zusammen.
Auch wenn ich ihm dann tatsächlich 3 Klicks beschert habe, für einen "echten" SEO ist der Beitrag i.m.A. untypisch -> korrekte und sogar zum Thema passende Signatur, die auch angesichts der openSuSE-Version nicht so sehr alt sein kann.
Ich hatte den Beitrag schon einer (meiner Meinung nach auch kritischen) Bewertung unterzogen und hätte bei akutem Spam-Verdacht auch nicht nachgehakt, für mich paßt da einiges nicht zusammen.
hmm, ich verstehe diese und die anderen Reaktionen nicht.
Vermutich seid ihr nur nicht davon betroffen. Na ja...
Auf der Blog-Seite sind aktive IPs gelistet, von denen derzeit aus eigener Erfahrung reichlich SIP-"Anrufe" getätigt werden möchten. Zwar erfolglos, verursachen solche Attacken schon mal GBs an Traffic.
vG
Vermutich seid ihr nur nicht davon betroffen. Na ja...
Auf der Blog-Seite sind aktive IPs gelistet, von denen derzeit aus eigener Erfahrung reichlich SIP-"Anrufe" getätigt werden möchten. Zwar erfolglos, verursachen solche Attacken schon mal GBs an Traffic.
vG
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,755
- Punkte
- 113
Vielleicht finde ich die angegebenen Informationen auch nur nicht ...
Bei mir wird jeder Versuch eines SIP-Pakets von einer unbekannten Adresse allerdings auch mit 1 h Einzelhaft (eher eine Gemeinschaftszelle) in einer passenden ipset-Liste bestraft und ich benötige diese Liste tatsächlich nicht.
Aber rein aus Interesse habe ich nachgelesen ... und wenn Du damit tatsächlich die 10 einzelnen im Text aufgeführten IPv4-Adressen meinen solltest, wenn Du von einer "Blacklist" sprichst, dann haben wir definitiv sehr unterschiedliche Vorstellungen von diesem Begriff und von der Angabe "aktuell" zusätzlich auch noch und den Zusammenhang im Text, daß es sich nur um die Top-10 einer irgendwie von dieser Firma erstellten Liste von IP-Adressen handelt, die im Vormonat ("Our IP blacklist grew exactly one hundred new entries in September,[...]") um 100 Einträge gewachsen ist (wieviele es am Ende sind, steht - nach flüchtigem Überfliegen des Textes - noch nicht einmal im Blog), hast Du dann offenbar auch vollkommen anders interpretiert als ich.
Vielleicht begründest Du ja die Angabe "Eine Blacklist aktuell aktiver IPs" doch noch etwas ... das ist ja definitiv etwas anderes als "von einer oder mehreren der dort angegebenen Top-10-Adressen (die, da die Liste schon aus dem Oktober stammt und Ereignisse des damaligen Vormonats beschreibt, auch schon sehr lange aktiv sind), werden auch derzeit noch immer Angriffe unternommen". Wenn irgendjemand das nur im Entferntesten als Quelle für eine richtige Blacklist heranziehen sollte, wird er - ohne weitere Maßnahmen - sicherlich sehr schnell und schmerzhaft den Unterschied zwischen "Top 10" und einer "Liste" lernen.
Oder habe ich die "Liste" tatsächlich übersehen ? Weil auch diese Möglichkeit nicht von der Hand zu weisen ist, hatte ich erst einmal eine Nachfrage an Deine Adresse gerichtet.
Vielleicht kurz OT:
Ich könnte eine (bei Bedarf stundenaktuelle) Liste der IPs hier einstellen, welche versuchen, über verschiedene Ports/Dienste Zugriff auf meine Boxen zu bekommen.
Prozentuale Verteilung (saisonal schwankend): 70 vH. China, 15 vH. USA, Rest Mittel- und Südamerika, Europa, Restasien.
Umfang: Ca. 100 pro Tag pro Box.
Ich könnte eine (bei Bedarf stundenaktuelle) Liste der IPs hier einstellen, welche versuchen, über verschiedene Ports/Dienste Zugriff auf meine Boxen zu bekommen.
Prozentuale Verteilung (saisonal schwankend): 70 vH. China, 15 vH. USA, Rest Mittel- und Südamerika, Europa, Restasien.
Umfang: Ca. 100 pro Tag pro Box.
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,755
- Punkte
- 113
Auch OT, aber keinesfalls nur kurz:
Bei meiner statischen Adresse sind das (gemittelt) die Angriffsversuche in zwei Stunden auf die FRITZ!Box ... jedoch habe ich es inzwischen aufgegeben, diese Angriffe ständig zu überwachen und somit zähle ich jetzt die FRITZ!Boxen (bei der 6490 ohnehin unerläßlich) einfach schon zum "Providerterritorium", das vereinfacht vieles (beim Handling, nicht bei der Konfiguration).
Server (überwiegend bei STRATO inzwischen) stehen noch viel mehr unter Beschuß, da ist das Scannen von IP-Bereichen ja auch einfacher und lohnender. Entweder die IPS/IDS beim Provider funktionieren eher suboptimal oder die Angreifer haben sich inzwischen so weit professionalisiert, daß sie nicht mehr mit dem Holzhammer von einer einzelnen Adresse aus auf einen Server eindreschen und anstelle dessen ganze Subnetze in der Hand haben oder Bot-Netze verteilt angreifen lassen. Anders kann ich mir die - bei systematischen INVITE-Requests an einen Asterisk als Honeypot gut zu verfolgende - Aufteilung der "Nummernblöcke" auf verschiedene IP-Adressen als Absender, aber in engem zeitlichen Zusammenhang, ansonsten nicht erklären.
Und jeder, der einen SSH-Zugang an eiiner festen IP-Adresse betreibt (auf dem Standardport) und dort Kennwort-Authentifizierung zuläßt, kann in kürzester Zeit eine umfassende Liste gebräuchlicher Account-Namen von den Angreifern erstellen lassen, wenn diese das vermeintliche Opfer erst einmal gefunden haben.
Deshalb ist eine Blacklist auch etwas vollkommen anderes als ein "Pranger" für 10 IP-Adressen.
Und die prozentuale Verteilung bei Dir hat imho nicht nur damit zu tun, daß die Chinesen besonders aktiv bei solchen Angriffsversuchen sind, das sind - meine Meinung, die ich naturgemäß nur begründen, aber nicht beweisen kann - nur sehr viele Zombies in China, was vermutlich auf die große Anzahl von Menschen (auch wenn längst nicht jeder einen Computer dort hat) und auf den nicht unbedingt galoppierenden Reichtum zurückzuführen ist, wo dann eben schnell mal zu einer dubiosen Quelle für Betriebssysteme und Programme gegriffen wird und man die Infektion des Rechners dann auch gleich gratis dazu erhält. Auch das - schon von staatlicher Seite nicht besonders ausgeprägte - Verständnis für Copyrights leistet solchen Seuchenherden dann wieder Vorschub ...
Nicht zuletzt ... wer schon mal versucht hat, an eine chinesische "abuse"-Adresse eine Meldung abzusetzen (wenn eine solche Adresse überhaupt ausgewiesen war), kann sich mit einiger Sicherheit auch das Verdienst zurechnen, in irgendeinem Büro in diesem Land für Erheiterung bei schwer arbeitenden Menschen gesorgt zu haben.
Du Glücklicher ... da tippe ich mal auf dynamische IP-Adressen und damit dann "nur" auf Angriffe im Rahmen von Portscans.
Bei meiner statischen Adresse sind das (gemittelt) die Angriffsversuche in zwei Stunden auf die FRITZ!Box ... jedoch habe ich es inzwischen aufgegeben, diese Angriffe ständig zu überwachen und somit zähle ich jetzt die FRITZ!Boxen (bei der 6490 ohnehin unerläßlich) einfach schon zum "Providerterritorium", das vereinfacht vieles (beim Handling, nicht bei der Konfiguration).
Server (überwiegend bei STRATO inzwischen) stehen noch viel mehr unter Beschuß, da ist das Scannen von IP-Bereichen ja auch einfacher und lohnender. Entweder die IPS/IDS beim Provider funktionieren eher suboptimal oder die Angreifer haben sich inzwischen so weit professionalisiert, daß sie nicht mehr mit dem Holzhammer von einer einzelnen Adresse aus auf einen Server eindreschen und anstelle dessen ganze Subnetze in der Hand haben oder Bot-Netze verteilt angreifen lassen. Anders kann ich mir die - bei systematischen INVITE-Requests an einen Asterisk als Honeypot gut zu verfolgende - Aufteilung der "Nummernblöcke" auf verschiedene IP-Adressen als Absender, aber in engem zeitlichen Zusammenhang, ansonsten nicht erklären.
Und jeder, der einen SSH-Zugang an eiiner festen IP-Adresse betreibt (auf dem Standardport) und dort Kennwort-Authentifizierung zuläßt, kann in kürzester Zeit eine umfassende Liste gebräuchlicher Account-Namen von den Angreifern erstellen lassen, wenn diese das vermeintliche Opfer erst einmal gefunden haben.
Deshalb ist eine Blacklist auch etwas vollkommen anderes als ein "Pranger" für 10 IP-Adressen.
Und die prozentuale Verteilung bei Dir hat imho nicht nur damit zu tun, daß die Chinesen besonders aktiv bei solchen Angriffsversuchen sind, das sind - meine Meinung, die ich naturgemäß nur begründen, aber nicht beweisen kann - nur sehr viele Zombies in China, was vermutlich auf die große Anzahl von Menschen (auch wenn längst nicht jeder einen Computer dort hat) und auf den nicht unbedingt galoppierenden Reichtum zurückzuführen ist, wo dann eben schnell mal zu einer dubiosen Quelle für Betriebssysteme und Programme gegriffen wird und man die Infektion des Rechners dann auch gleich gratis dazu erhält. Auch das - schon von staatlicher Seite nicht besonders ausgeprägte - Verständnis für Copyrights leistet solchen Seuchenherden dann wieder Vorschub ...
Nicht zuletzt ... wer schon mal versucht hat, an eine chinesische "abuse"-Adresse eine Meldung abzusetzen (wenn eine solche Adresse überhaupt ausgewiesen war), kann sich mit einiger Sicherheit auch das Verdienst zurechnen, in irgendeinem Büro in diesem Land für Erheiterung bei schwer arbeitenden Menschen gesorgt zu haben.
Die Portscanner zähle ich auch nicht! Ich meine ausschließlich Angreifer, welche direkt den Dialplan angreifen und dabei, unerkannt, innerhalb weniger Tage durchaus GBs an Traffic verursachen können.
Es geht um Asterisk auf PC-Hardware, nicht um Fritzboxen. Sonst hätte ich woanders gepostet.
vG
Es geht um Asterisk auf PC-Hardware, nicht um Fritzboxen. Sonst hätte ich woanders gepostet.
vG
Zuletzt bearbeitet von einem Moderator:
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,755
- Punkte
- 113
Danke für das (überflüssige) Vollzitat.
Wie Du sicherlich auch problemlos feststellen konntest, richtete sich diese Antwort/dieser Beitrag an JohnDoe42 in #7. Ich habe niemals irgendwo behauptet, Du hättest etwas von Portscans oder über FRITZ!Boxen geschrieben.
Meine Frage an Dich aus #6 bleibt für mich weiterhin ungeklärt ... vielleicht findest Du ja noch die Muße. Ich habe durchaus verstanden, daß Dich jemand von einer der dort gelisteten Adressen angegriffen hat (zumindest kann man das zwischen den Zeilen lesen), das erklärt mir aber den Beitrag bzw. die von mir unverstandenen Zusammenhänge (Anzahl der Adressen und Aktualität) immer noch nicht.
Die Tatsache, daß das am Ende die "Werbung" einer brasilianischen Firma ist, die ihre Dienste als "Fraud Prevention" anbietet, wenn man nur den Verbindungsaufbau über sie als Proxy ausführen läßt (so lese ich jedenfalls den ersten (untersten) Artikel mit den Fragestellungen von der Messe aus Chicago - wenn ich mich recht erinnere, ich will da jetzt nicht noch weitere Page-Impressions erzeugen), will ich dabei noch gar nicht bewerten.
Das wirkt schon als Blog (Laufzeit 10.08.2014-23.10.2014 mit insgesamt 4 Beiträgen) eher lieblos und unausgegoren und - wenn ich nicht nur zu blöd zum Finden bin - von den versprochenen Instruktionen im ersten Blog-Post
Daher muß die Frage nach dem Sinn des Blogs (und spätestens damit dann auch nach dem Sinn Deines Links dorthin, jedenfalls mit der durch die Beschreibung ausgelösten Erwartungshaltung beim Leser) gestattet sein ... es steht Dir ja frei, Deine Entscheidung mit passender Argumentation zu untermauern (oder es auch zu lassen, wenn Du nicht willst).
Wie Du sicherlich auch problemlos feststellen konntest, richtete sich diese Antwort/dieser Beitrag an JohnDoe42 in #7. Ich habe niemals irgendwo behauptet, Du hättest etwas von Portscans oder über FRITZ!Boxen geschrieben.
Meine Frage an Dich aus #6 bleibt für mich weiterhin ungeklärt ... vielleicht findest Du ja noch die Muße. Ich habe durchaus verstanden, daß Dich jemand von einer der dort gelisteten Adressen angegriffen hat (zumindest kann man das zwischen den Zeilen lesen), das erklärt mir aber den Beitrag bzw. die von mir unverstandenen Zusammenhänge (Anzahl der Adressen und Aktualität) immer noch nicht.
Die Tatsache, daß das am Ende die "Werbung" einer brasilianischen Firma ist, die ihre Dienste als "Fraud Prevention" anbietet, wenn man nur den Verbindungsaufbau über sie als Proxy ausführen läßt (so lese ich jedenfalls den ersten (untersten) Artikel mit den Fragestellungen von der Messe aus Chicago - wenn ich mich recht erinnere, ich will da jetzt nicht noch weitere Page-Impressions erzeugen), will ich dabei noch gar nicht bewerten.
Das wirkt schon als Blog (Laufzeit 10.08.2014-23.10.2014 mit insgesamt 4 Beiträgen) eher lieblos und unausgegoren und - wenn ich nicht nur zu blöd zum Finden bin - von den versprochenen Instruktionen im ersten Blog-Post
finde ich einfach weit und breit keine Spur.
Daher muß die Frage nach dem Sinn des Blogs (und spätestens damit dann auch nach dem Sinn Deines Links dorthin, jedenfalls mit der durch die Beschreibung ausgelösten Erwartungshaltung beim Leser) gestattet sein ... es steht Dir ja frei, Deine Entscheidung mit passender Argumentation zu untermauern (oder es auch zu lassen, wenn Du nicht willst).
Es gib ja auch Leute, die suchen im Internet ständig "neuen Speicherplatz".
Der wird bei "Erfolg" dann mit "Geheimdokumenten" gefüllt, dann darauf extern verlinkt, ohne dass es dem ursprünglichen Speicherplatz-Eigentümer groß auffält.
Der wird bei "Erfolg" dann mit "Geheimdokumenten" gefüllt, dann darauf extern verlinkt, ohne dass es dem ursprünglichen Speicherplatz-Eigentümer groß auffält.
Ich wollte nur ggf. anderen Betroffenen Hinweise auf aktuell aktive IPs geben. Die IPs in der genannten Blogseite passen, das ist alles. Mit solchen Diskussionen habe ich beim besten Willen nicht gerechnet.
PeterPawn - cool bleiben
Dann gibt's auch weniger "Vollzitate"vG
Zuletzt bearbeitet von einem Moderator:
Die "versuchten" Ports sind zu ca. 60 Prozent Port 80, zu ca. 30 Prozent Port 443 und der Rest Port 22. Und in der Tat ist es so, daß sich bei den IPs komplette /24-Ranges herauskristallisieren, zumindest bei den asiatischen ...
D.h., das es sich im Wesentlichen um ein paar Dutzend /24 Netze handelt, die (vermutlich auch dank Tools wie diesem hier) zumindest die IP-Range meiner Provider durchforsten. Bei Bedarf kann ich diese /24-Netze natürlich auch hier einstellen.
Dann hab' zumindest ich dort schon mal für Lacher gesorgt.
Grüße,
JD.
Zuletzt bearbeitet:
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,283
- Punkte für Reaktionen
- 1,755
- Punkte
- 113
Sorry, dieses Anliegen wird aber - zumindest für mich - beim besten Willen nicht klar und letzten Endes auch nicht erfüllt. Ich bin ja nun nicht vollkommen blöd und kann lesen, was Du da wirklich geschrieben hast.
Da wäre das Anführen der einzelnen Adressen hier (es sind ja nur 10) - ggf. mit Quellenangabe - der bessere Weg gewesen. Und für die Leser, die des Englischen nicht ausreichend mächtig sind, sogar der einzig sinnvolle ...
Ich wollte nur verstehen, warum Du das so und nicht anders gemacht hast bzw. was Du damit erreichen wolltest. Die Tatsache, daß von diesen IPs (immer noch) aktuell Angriffe auf Deine Infrastruktur ausgehen, hast Du eben glatt unterschlagen ... die mußte man sich als Leser dann "dazudenken" ?
Die ausufernde Diskussion und Erklärung meinerseits hast Du erst selbst mit der Bemerkung
ausgelöst. Wenn Du die Reaktionen und die aufgeworfenen Fragen nicht verstehst, muß man sie Dir eben ausführlicher erläutern. Was ist daran falsch ? Zu dem - im zweiten zitierten Satz mitschwingenden - Vorwurf habe ich dabei noch gar keine eigenen Spekulationen angestellt.vWalter schrieb:
Ehrlich ... ich bin die Ruhe selbst und daher verzichte ich auch demonstrativ darauf, meinem Unverständnis Ausdruck zu verleihen, wo der Zusammenhang zwischen meinem Gemütszustand und der "Strafe" durch Vollzitate zu finden ist. Hoppla, das ist ja mal gründlich daneben gegangen. :mrgreen:PeterPawn - cool bleiben
@JD:
Ich "oute" mich auch, schon zur Belustigung beigetragen zu haben, das war mehr ein Erlebnisbericht oder eine Anekdote ... aber ich habe es inzwischen aufgegeben, nicht mal mehr der "Rosa Riese" in D behandelt nach meiner Erfahrung solche Meldungen standardkonform oder wenigstens nachvollziehbar und reagiert mit einem Takedown bei statischen Adressen und im Wiederholungsfall.
Zuletzt bearbeitet:
Neueste Beiträge
-
[Problem] FritzBox 7590 2,4GHz WLAN nur noch sehr sehr schwach- Letzte: Zwanzigeinundzwanzig
-
Fritz!DECT 302 regelt nicht mehr- Letzte: SnoopyDog
-
Tasmota Nous Smart Wifi Socket schaltet zwar, aber es fließt kein Strom
- Letzte: Erforderlich
-
Welches Backbone bei easybell?- Letzte: das.schaf
-
Rufumleitung Agfeo per Keypad im Amt möglich?
- Letzte: ip-phoneforum72
-
VPN Kaskadiert fixe IP- Letzte: stoney
