Kommentare zu: Spam-Honigtopf

Von: peter

peter — Thu, 31 Aug 2006 12:58:50 +0000

ja..
nur ich bin mir ziemlich sicher dass es einen hack-angriff gegeben hat.. ich habe nämlich einen trojaner gefunden, und mir wurde mein steam-account gehackt (wenn dir das was sagen sollte ^^)
-> passwort und \”not-email\” wurden geändert, und ich bin 150€ los… :(
und naja seit dem versucht eben auch immer irgendwas zuzugreifen..
jede sekunde..
das sind jetzt an die 300000zugriffe bissher :-\\
aber irgendwie kann da was nicht richtig sein..

Von: Johannes

Johannes — Thu, 31 Aug 2006 12:43:23 +0000

Also 192.168er Adresse sind reserviert für lokale IP-Netzwerke, werden also z.B. nur innerhalb deines Heim-Netzwerks hinter deinem Router verwendet, ebenso wie 239er für UDP. Da scheint also irgendein Programm auf deinem Rechner lokal per UPD broadcasten zu wollen und wird von deiner Firewall blockiert.

Googel doch einfach mal nach den IP-Nummern und Ports, vielleicht steht ha irgendwo, was genau das ist. Gefährlich muß das erstmal nicht sein.

Von: peter

peter — Thu, 31 Aug 2006 12:33:38 +0000

hmm achso…
es gab verschiedene ip adressen:

192.168.178.1
192.168.178.21
192.168.0.241
192.168.0.88
und dann stand da nochwas
239.255.255.250

Warnung Firewall

31.08.2006 14:39:27

Quelle: IP 192.168.178.1 UDP-Anschluss 1900,
Ziel: IP 239.255.255.250 UDP-Anschluss 1900.

Von: Johannes

Johannes — Thu, 31 Aug 2006 11:54:46 +0000

Die IANA ist aber nur ganz allgemein die Organisation, die die Vergabe von IP-Nummern im Internet regelt, also kein Provider o.ä.

Aber vielleicht findest du hier eine Lösung für dein Problem?
http://www.nwlab.net/art/blackhole/blackhole-1.iana.org.html

Oder anders gefragt: von welcher IP-Nummer aus wurdest du angegriffen?

Von: peter

peter — Thu, 31 Aug 2006 11:47:00 +0000

OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 192.168.0.0 – 192.168.255.255
CIDR: 192.168.0.0/16
NetName: IANA-CBLK1
NetHandle: NET-192-168-0-0-1
Parent: NET-192-0-0-0-0
NetType: IANA Special Use
NameServer: BLACKHOLE-1.IANA.ORG
NameServer: BLACKHOLE-2.IANA.ORG
Comment: This block is reserved for special purposes.
Comment: Please see RFC 1918 for additional information.
Comment:
RegDate: 1994-03-15
Updated: 2002-09-16

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

so an die daten bin ich durch \\\”legale\\\” wege rangekommen….

sitz ist in den usa…
abuse@iana.org wär die einzigste möglichkeit da also ranzukommen…
ich bin mir nicht sicher.. ^^

Von: Johannes

Johannes — Thu, 31 Aug 2006 10:34:55 +0000

Also an die (deutschen) Daten kann man prinzipiell rankommen. Allerdings geht das natürlich nicht mal eben einfach so, sondern nur über Staatsanwaltschaft/ermittelnde Behörden, die dann beim Provider des Angreifers die Herausgabe der Verbindungsdaten beantragen können. Wenn die Musikindustrie Filesharer verfolgt wird das so gemacht, und auch du solltest das machen, wenn dir z.B. ein Schaden entstanden ist etc. Ein einfaches Skript, das sich z.B. vergeblich versucht bei dir einzuloggen, wir aber wahrscheinlich keinen wirklich interessieren.

Es gibt auch die Möglichkeit, sich direkt mit Mißbrauchsbeschwerden an die Provider zu wenden (Stichwort “Abuse”, häufig gibt’s zu dem Zweck auch E-Mail-Adresse wie abuse@provider.de oder Web-Interfaces wie https://abuse.t-ipnet.de/), ob und in welchem Umfang die dann tätig werden (z.B. Kündigung des Accounts, Strafanzeigen) ist mir aber nicht bekannt.

Und wenn der Angriff von einem russischen Dial-In-Account kommt, hast du wahrscheinlich überhaupt keine Chance.

Von: peter

peter — Thu, 31 Aug 2006 09:51:35 +0000

hallo..
ich hatte was ähnliches…
ich habe die ip von einem programm und/oder hacker, der schon einmal auf meinen pc zugriff hatte, jetzt aber geblockt wird…
ist es möglich den hacker zu lokalisieren bzw ihn zu erwischen?
ich denke nicht, dass wir es hier mit einem professionellen zu tun haben.. eher so ein kiddy.. das mal ein paar scripts ausprobiert Oo….
naja wäre euch dankbar für antworten..
auf anfragen kann ich die ip auch posten.. wenn das erlaubt ist ^^
immerhin begeht er ja eine straftat oder!?
mfg
peter

Von: Dadabase.de » Postfix Anti-Spam Configuration

Dadabase.de » Postfix Anti-Spam Configuration — Fri, 04 Aug 2006 00:52:26 +0000

[...] Nach einigem Ausprobieren und der Beobachtung von einigermaßen vielen Spam-Mails – genug Anschauungsmaterial in Form von einigen hundert Spam-Mails pro Tag habe ich ja – glaube ich nun eine recht gute Konfiguration gefunden zu haben: keine unerwünschten Mails mehr in mir gehörenden Mailboxen, aber auch eine False-Negatives, also zu unrecht aussortierte Mails in den letzten Tagen. Here it is: [...]

Von: Marco

Marco — Tue, 28 Feb 2006 18:27:15 +0000

Bei Spiegel Online gab es letztens einen Artikel über Honigtöpfe, die eine deutsche Firma professionell betreibt und dann wohl auch die Spammer entsprechend handhabt. Recherchier doch mal dort!

Von: Hans

Hans — Tue, 28 Feb 2006 15:42:58 +0000

Woah, du bist ja raffiniert.

Gibt es nicht sowas wie einen Online-Pranger?
Da kannst du sie doch hinstellen.

Seit einiger Zeit bekomme ich auch immer mehr deutsche Spam-Mails.
Die 10.000 Adressen wurde mir auch schon angeboten. Die hat mein Spamfilter sogar durchgelassen.