Moin,
gegeben ist in hirntoter Vollpatient im Netz der türkischen Telekom, der seit ca. 2 Wochen unsere Firma mit Mydoown.B flutet.
Der Idiot hat DSL und den Router "D-Link Corp., Software Release R2.01.B4(021206a/T93.3.23)", guggst Du hier:
,----[ admin, geheim ] | kretschmer@webserv:~$ telnet 81.215.179.131 | Trying 81.215.179.131... | Connected to 81.215.179.131. | Escape character is '^]'. | | ******************* | Welcome to Titanium | ******************* | | D-Link Corp., Software Release R2.01.B4(021206a/T93.3.23) | Copyright (c) 2001-2002 by D-Link Corp. | | login: admin | password: | Login Successful `----
Das Passwort war leicht zu erraten, 'admin'. Ich habe es mal auf den hochsicheren Wert 'geheim' gesetzt.
Nun wollte ich Filter setzen, und zwar möchte ich ausgehend Ziel-Port 25 schließen, damit mal Ruhe einzieht.
Also, kennt jemand das Teil und hilft mir? Ihr könnt es auch gleich selber machen, er war zumindest vor 3 Minuten noch Online.
(dynamische IP)
Danke.
Andreas
On 28.02.04 Andreas Kretschmer (kretschmer@kaufbach.delug.de) wrote:
Moin,
gegeben ist in hirntoter Vollpatient im Netz der türkischen Telekom, der seit ca. 2 Wochen unsere Firma mit Mydoown.B flutet.
Das Passwort war leicht zu erraten, 'yyyyy'. Ich habe es mal auf den hochsicheren Wert 'xxxxx' gesetzt.
Ganz blöd gesagt, habe ich was dagegen, diese Wert hier zu veröffentlichen.
Nun wollte ich Filter setzen, und zwar möchte ich ausgehend Ziel-Port 25 schließen, damit mal Ruhe einzieht.
Du willst ihm also den Mail-Verkehr auf seinem eigenen Router abklemmen? Hältst Du das für eine gute Idee, auch wenn ich Deine Gründe verstehen kann? Mydoom.B sollte ja inzwischen hinreichend dokumentiert sein: Ist das Filtern nach Subject möglich? Wie wärs mit dem Ansatz andersrum: Deine Firewall auf Port 25 für dieses Netzsegment hochziehen? Hast Du mal versucht herauszufinden, wer dieser "Vollpatient" ist, notfalls mal über Kontaktierung der türk. Telebumm?
H., ich weiß, dumme Ratschläge.
am Sat, dem 28.02.2004, um 11:21:32 +0100 mailte Hilmar Preusse folgendes:
On 28.02.04 Andreas Kretschmer (kretschmer@kaufbach.delug.de) wrote:
Moin,
gegeben ist in hirntoter Vollpatient im Netz der türkischen Telekom, der seit ca. 2 Wochen unsere Firma mit Mydoown.B flutet.
Das Passwort war leicht zu erraten, 'yyyyy'. Ich habe es mal auf den hochsicheren Wert 'xxxxx' gesetzt.
Ganz blöd gesagt, habe ich was dagegen, diese Wert hier zu veröffentlichen.
;-)
Nun wollte ich Filter setzen, und zwar möchte ich ausgehend Ziel-Port 25 schließen, damit mal Ruhe einzieht.
Du willst ihm also den Mail-Verkehr auf seinem eigenen Router abklemmen? Hältst Du das für eine gute Idee, auch wenn ich Deine Gründe verstehen kann? Mydoom.B sollte ja inzwischen hinreichend
Ich weiß, fies. Aber so würde er vielleicht mal merken, daß was nicht stimmt.
dokumentiert sein: Ist das Filtern nach Subject möglich? Wie wärs mit dem Ansatz andersrum: Deine Firewall auf Port 25 für dieses Netzsegment hochziehen? Hast Du mal versucht herauszufinden, wer
Die Mails kommen bei uns via fetchmail von unserem Provider. Der Virenscanner bimmelt halt recht oft...
dieser "Vollpatient" ist, notfalls mal über Kontaktierung der türk. Telebumm?
Nein, wäre aber eine Idee.
H., ich weiß, dumme Ratschläge.
An sich nicht. Ich weiß, daß mein Vorhaben, ähm, nicht so ganz sauber ist.
Andreas
On 28.02.04 Andreas Kretschmer (kretschmer@kaufbach.delug.de) wrote:
am Sat, dem 28.02.2004, um 11:21:32 +0100 mailte Hilmar Preusse folgendes:
Moin,
dokumentiert sein: Ist das Filtern nach Subject möglich? Wie wärs mit dem Ansatz andersrum: Deine Firewall auf Port 25 für dieses Netzsegment hochziehen? Hast Du mal versucht herauszufinden, wer
Die Mails kommen bei uns via fetchmail von unserem Provider. Der Virenscanner bimmelt halt recht oft...
Na dann ist doch gut. mailfilter ist Dein Freund. Die Patterns für Mydoom sollten auf den einschlägigen Seiten veröffentlicht sein. Ansonsten erzähl Deinem Provider er soll die Mails mit dem Subject "Virus enthalten" oder so kennzeichnen und Du wirfst den Mailfilter darauf an. Selbst Freemailer bieten mittlerweile Virenscanner für die Kunden an.
dieser "Vollpatient" ist, notfalls mal über Kontaktierung der türk. Telebumm?
Nein, wäre aber eine Idee.
Das Übel beim Erzeuger zu packen wär natürlich am besten: support@microsoft.com....
H., ich weiß, dumme Ratschläge.
An sich nicht. Ich weiß, daß mein Vorhaben, ähm, nicht so ganz sauber ist.
...will ich mal hoffen.
H.
Hi Andreas,
das ist ja mal 'ne kreative Idee der Netzmüllbekämpfung ... ;)
* Andreas Kretschmer kretschmer@kaufbach.delug.de [2004-02-28 10:25]:
gegeben ist in hirntoter Vollpatient im Netz der türkischen Telekom, der seit ca. 2 Wochen unsere Firma mit Mydoown.B flutet.
Bei dieser Firma kümmert man sich auch nicht wirklich um Beschwerden, vor ca. 2 Wochen kamen wieder häufiger Müllmails bei mir an, davor war lange fast gar nichts.
Von einem Nutzer der türkischen Telekom kam Werbung mit t-online.de Absender, einmal für Reisen und einmal Immobilien. Keine Reaktion auf meine Beschwerde beim Provider.
Aus Polen und Kroatien bekam ich Mails mit wenig Text, aber W32/Netsky.B@mm im Anhang.
Das merkwürdige ist, daß alles auf die private Adresse kam, die öffentlich nur über meinen PGP-Key zu finden sein dürfte, die anderen darin enthaltenen Adressen blieben jedoch verschont. Vermutlich hat sich irgendjemand, der mich im Adreßbuch hat den Wurm eingefangen und der hat das Adreßbuch weiterverbreitet.
Habt ihr auch einen Anstieg feststellen können? Normalerweise gingen die Virenepedemien an mir vorbei obwohl recht viele Leute meine Adressen hatten und selbst Spam kam nur auf einer öffentlich benutzten Adresse und da auch nur aller paar Monate.
Stefan
am Sat, dem 28.02.2004, um 13:25:48 +0100 mailte Stefan Moch folgendes:
Hi Andreas,
das ist ja mal 'ne kreative Idee der Netzmüllbekämpfung ... ;)
Jo.
Habt ihr auch einen Anstieg feststellen können? Normalerweise gingen die Virenepedemien an mir vorbei obwohl recht viele Leute meine
Also, ich hab zum März 2001 in der Firma angefangen. Im Februar hatten die dort wohl ein gröberes Problem, daher frickelte einer einen Cron-Job, der aller 5 Minuten die Postfächer abgrasen sollte und nach bestimmten Betreff-Zeilen suchen sollte. Davon mal abgesehen, das diese Idee schon krank und hochgradig stümperhaft ist, funktionierte es auch nur soweit, daß root eine Fehlermail bekam, weil ein Programmaufruf fehlschlug (grep oder so), Cron-Job halt und kein Pfad angegeben. Da aber niemand root-Mails las, fiel es auch nicht auf. Deppen halt.
Ich habe dann so im Mai oder so mit Amavis angefangen.
Im Juli/August fingen wir den ersten Virus. Damals kam so aller 2 Monate mal einer. Nun sind es mehrere Dutzend pro Tag, nicht nur von dem Deppen aus der Türkei. Da sind auch sehr viele T-Offliner und so dabei. Hab auch schon eine schöne Sammlung.
Mein erster MyDoom kam übrigens von unserem Software-Lieferanten aus Österreich. Wenig später kamen sie in Massen von Glasfirmen weltweit, die Ihre Software auch aus Österreich beziehen ;-)
Irgend wie ist es erschreckend. Die Windows-Deppen werden es nie lernen.
Andreas
Am 28. Februar 2004 schrieb Andreas Kretschmer:
Moin,
gegeben ist in hirntoter Vollpatient im Netz der türkischen Telekom, der seit ca. 2 Wochen unsere Firma mit Mydoown.B flutet.
Schon abuse@<türkische_Telekom> angeschrieben?
Der Idiot hat DSL und den Router "D-Link Corp., Software Release R2.01.B4(021206a/T93.3.23)", guggst Du hier:
,----[ admin, geheim ] | kretschmer@webserv:~$ telnet 81.215.179.131 | Trying 81.215.179.131... | Connected to 81.215.179.131. | Escape character is '^]'. | | ******************* | Welcome to Titanium | ******************* | | D-Link Corp., Software Release R2.01.B4(021206a/T93.3.23) | Copyright (c) 2001-2002 by D-Link Corp. | | login: admin | password: | Login Successful `---- Das Passwort war leicht zu erraten, 'xxxxx'. Ich habe es mal auf den hochsicheren Wert 'yyyy' gesetzt.
Apropos "hirntot", du hast also seinen Router geknackt, übernommen und hier öffentlich zugegeben. Das Ganze wird auch noch für die Nachwelt festgehalten. Wie einfach das durch das schlechte Passwort war, ist unerheblich. Du hast dir illegal Zugang zu einem geschützten Bereich verschafft und ausgenutzt. Damit machtst du dich strafbar. Nebenbei ziehen solche Postings das Ansehen der Liste herunter. Wir sind keine Hacker, die hier ihre Triumphe feiern.
Hast du schon einen Anwalt? In die Türkei reist du in nächster Zeit hoffentlich nicht, oder? Wenn doch, spar' dir das Geld für den Rückflug.
Nun wollte ich Filter setzen, und zwar möchte ich ausgehend Ziel-Port 25 schließen, damit mal Ruhe einzieht.
Hast du überlegt, welchen Vermögensschaden du damit anrichten kannst und welchen Forderungen du gegenüberstehen könntest?
Also, kennt jemand das Teil und hilft mir? Ihr könnt es auch gleich selber machen, er war zumindest vor 3 Minuten noch Online.
Öffentlicher Aufruf zum Mißbrauch dieses Routers? Gehts noch?
Stell das Passwort wieder zurück und fass das Ding nie wieder an. Dann bleibt dir nur zu hoffen, dass es keine Log-Files über deinen Angriff gibt und der Besitzer diese Liste nicht liest.
*Kopfschüttel*
BTW: Hätte ich die Möglichkeit und wäre es nicht stafbar, würde ich auch so eine (oder mehr!) Virenschleuder ins Netz stellen. Den Leuten, die Software einsetzten, ohne vorhandene Patches einzuspielen, muss es jeden Tag richtig weh tun, mit so einer Sch**** zu arbeiten. Ich mache das natürlich nicht und möchte auch niemanden dazu animieren.
Freundlich grüßend,
Erik
am Sat, dem 28.02.2004, um 15:08:47 +0100 mailte Erik Schanze folgendes:
Am 28. Februar 2004 schrieb Andreas Kretschmer:
Moin,
gegeben ist in hirntoter Vollpatient im Netz der türkischen Telekom, der seit ca. 2 Wochen unsere Firma mit Mydoown.B flutet.
Schon abuse@<türkische_Telekom> angeschrieben?
Die noch nicht, aber andere. Ich kann nicht behaupten, daß das sonderlich erfolgreich war.
Nun wollte ich Filter setzen, und zwar möchte ich ausgehend Ziel-Port 25 schließen, damit mal Ruhe einzieht.
Hast du überlegt, welchen Vermögensschaden du damit anrichten kannst und welchen Forderungen du gegenüberstehen könntest?
_ER_ verbreitet Viren. Wer grob fahrlässig wie er handelt, braucht sich nicht zu wundern, wenn andere es ausnutzen. Natürlich weiß ich auch, daß Selbstjustiz nicht der richtige Weg ist.
Stell das Passwort wieder zurück und fass das Ding nie wieder an. Dann bleibt dir nur zu hoffen, dass es keine Log-Files über deinen Angriff gibt und der Besitzer diese Liste nicht liest.
Über ersters denke ich nach, wenn die nächste Welle von Viren kommt und ich mal wieder auf die Kiste kommen kann. Geloggt hat die Kiste nichts. Neben dem Telnet-Zugang gibt es auch noch einen HTTP-Zugang. Das Auflisten aller Parameter dort ist easy, aber das ändern von Regeln ging irgendwie nicht...
Hätte ich die Möglichkeit und wäre es nicht stafbar, würde ich auch so eine (oder mehr!) Virenschleuder ins Netz stellen. Den Leuten, die
Ja, was soll denn das werden? Stelle Dir vor, $Firma mit dünner Anbindung, dahinter einen scannenden Mailserver (so wie ich). Wenn dann solche Mails zu Dutzenden kommen, macht es schon Probleme. Das hat aber nix damit zu tun, daß
Software einsetzten, ohne vorhandene Patches einzuspielen, muss es jeden Tag richtig weh tun, mit so einer Sch**** zu arbeiten.
Du kannst doch gar nicht wissen, welche Software, welchen Patchstand Deine Opfer haben. Also da halte ich Deine Idee doch erheblich bedenklicher als meine. Ich sehe meine Idee eher als Wink mit dem Zaunspfahl, chirurgisch sauber ausgeführt ;-)
PS.: der Virus fakt ja den Absender, auch das HELO. Ich hatte schon Viren mit gefakten Absender mitarbeiter.x@schollglas.com an mitarbeiter.y@schollglas.com, Betreff: 'You are a idiot' (wobei das nicht einmal direkt falsch war...) Der kam über einen regionalen WLAN-Anbieter in Österreich. Wir haben dann einen unseren Kunden informiert, der genau dort seinen Sitz hat. Treffer. Bin also nicht immer so böse ;-), sondern versuche die 'Opfer' über ihr Problem zu informieren.
Wie aber einer in der Türkei Dutzende Mailadressen unserer Firma kennt, ist schleierhaft. Aber es wurden auch schon Autos mit Laptops geklaut.
Andreas
On Sat, Feb 28, 2004 at 04:31:44PM +0100, Andreas Kretschmer wrote:
Wie aber einer in der Türkei Dutzende Mailadressen unserer Firma kennt, ist schleierhaft. Aber es wurden auch schon Autos mit Laptops geklaut.
Das ist ein Zombie. Der Wurm hat die Kiste infiziert und einen (semi-)offenen Proxy installiert, dieser telefoniert nach Hause und bekommt die Mails/Viren, die er dann verteilt. Wer der Urheber ist, läßt sich dann kaum mehr feststellen. Die meisten Würmer werden inzwischen von spammern in Umlauf gebracht, damit sie immer neue spamproxies zur Verfügung haben.
On Sat, Feb 28, 2004 at 03:08:47PM +0100, Erik Schanze wrote:
Am 28. Februar 2004 schrieb Andreas Kretschmer:
Hi,
Apropos "hirntot", du hast also seinen Router geknackt, übernommen und hier öffentlich zugegeben. Das Ganze wird auch noch für die Nachwelt festgehalten. Wie einfach das durch das schlechte Passwort war, ist unerheblich. Du hast dir illegal Zugang zu einem geschützten Bereich verschafft und ausgenutzt. Damit machtst du dich strafbar. Nebenbei ziehen solche Postings das Ansehen der Liste herunter. Wir sind keine Hacker, die hier ihre Triumphe feiern.
Hast du schon einen Anwalt? In die Türkei reist du in nächster Zeit hoffentlich nicht, oder? Wenn doch, spar' dir das Geld für den Rückflug.
Hmm, es gab mal eine Zeit wo man sich im Internet (oder hieß es damals noch nichtkomerzielles ARPA-Net?!?) gegenseitig geholfen hat und Passwörter verpönt waren... wo ist diese Zeit geblieben...
Nun wollte ich Filter setzen, und zwar möchte ich ausgehend Ziel-Port 25 schließen, damit mal Ruhe einzieht.
Hast du überlegt, welchen Vermögensschaden du damit anrichten kannst und welchen Forderungen du gegenüberstehen könntest?
Wie Andreas schon richtig anmerkte sollte der Betreffende sich lieber zurückhalten, an sonsten könnte man mal eine kleine Hochrechnung machen wieviel Kosten er durch seinen Spam verursacht hat, da dürfte es sicher zu interessanten Ergebnissen kommen...
Also, kennt jemand das Teil und hilft mir? Ihr könnt es auch gleich selber machen, er war zumindest vor 3 Minuten noch Online.
Öffentlicher Aufruf zum Mißbrauch dieses Routers? Gehts noch?
Wieso Mißbrauch? Andreas hat doch nur nett um Mithilfe gebeten ;)
Stell das Passwort wieder zurück und fass das Ding nie wieder an. Dann bleibt dir nur zu hoffen, dass es keine Log-Files über deinen Angriff gibt und der Besitzer diese Liste nicht liest.
*Kopfschüttel*
UND ICH SAGE ES GANZ LAUT, DAMIT ALLE RECHTSANWÄLTE, POLITIKER UND MÖCHTEGERN-INTERNET-MONOPOLISIERER ES HÖREN: ICH WÜRDE ES AUCH TUN! DAS INTERNET IST FREI!!! UND WER ZU BLÖD IST DAS INTERNET ZU NUTZEN DER MUSS SICH AUCH MAL HELFEN LASSEN...
BTW: Hätte ich die Möglichkeit und wäre es nicht stafbar, würde ich auch so eine (oder mehr!) Virenschleuder ins Netz stellen. Den Leuten, die Software einsetzten, ohne vorhandene Patches einzuspielen, muss es jeden Tag richtig weh tun, mit so einer Sch**** zu arbeiten.
Das halte ich wiederum für asozial, wem nützt du damit? Niemanden... Schreib lieber freie Software mit wenigen Bugs bzw. hilf bei der Verbreitung (wobei ich durchaus weiß das du Letzteres ja auch tust :))
Ciao, Tobias
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Erik Schanze -
Hilmar Preusse -
Stefan Moch -
Stefan Seyfried -
Tobias Koenig