PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Nachrichtendienst Spammer IP seit ueber einem Monat



freak
16.07.2003, 20:15
Sorry, wusste nicht in welches Forum es am besten passt und da hier auch einige Beitraege zum Windows Nachrichtendienst stehen, poste ich es mal hier:
Ich habe eine Linuxfirewall laufen und sobald ich mich ins Internet einwaehle erhalte ich UDP Anfragen an Port 135. Es scheint sich dabei um den Windows Nachrichtendienst zu handeln. Ist ja auch nicht weiter stoerend nur seit einiger Zeit werden meine Logfiles doch arg von einer gewissen IP geflutet:
209 times Jun 30 xx:xx:xx PORTSCAN DROP ppp0 udp 217.78.142.122 135
okay dachte ich mir nichts dabei, aber die IP scheint es wirklich permanent zu versuchen:
45 times Jun 30 xx:xx:xx PORTSCAN DROP ppp0 udp 217.78.142.123 135
35 times Jul 16 xx:xx:xx PORTSCAN DROP ppp0 udp 217.78.142.124 135
usw.
Da ich erst ab einer gewissen Intensitaet mir das ganze als html ausgeben lasse, habe ich mal mein Logfile nach dieser IP durchgesehen. Siehe da, jeden Tag erhalte ich mindestens zwei Anfragen auf den Port von dieser IP.
Ich habe den Verantwortlichen mal angeschrieben, aber bis heute keine Antwort erhalten.
Kennt einer die LiLiKo GmbH?
Hat jemand Aehnliche Erfahrungen?
Die IP-Range 217.78.142.120 - 217.78.142.127 ist jedenfalls erstmal von mir komplett gesperrt worden

BastardZivi
16.07.2003, 22:30
Das ist gut bekannt, zumindest wenn man eine Firewall hat, die so etwas loggt.
Die meisten versuchen auf dem Wege die Leute (vor allem unerfahrende) mit diversen Meldungen einzuschüchtern, wie schutzlos ihr System gegen Angriffe wäre.
Naja, wenn man solche Nachrichten erhält ist schon etwas dran, aber egal...
Habe schon viele solcher "Angriffe" von T-Online-IPs, anderen deutschen Firmen und auch aus dem Ausland erhalten und diese zusammen mit einer nur auf den jeweiligen Provider gefilterten Log-Datei gemeldet.
Eine Antwort, auch von T-Offline, habe ich bislang noch nicht erhalten. Die Zugriffe gehen aber locker weiter.
Auch von der IP, die Du angegeben hast (217.78.142.124), bekomme ich andauernd Pakete auf den Port. Laut whois gehören die zu CNE Gesellschaft fuer Telekommunikation mbH. Untervermietet, oder was?
Meine Firewall protokolliert allerdings alle paar Minuten mehrere Pakete von der Adresse, nicht nur zweimal am Tag.
Auf jeden Fall habe ich mich da auch schon beschwert. Da kam überhaupt nichts.
Da Du auch betroffen bist, neige ich dazu zu behaupten, dass das Methode hat.
Organisierte Sapmmer, die auf dem Windoof-Nachrichtendienst Werbung machen?
Scheint fast so.
Ich hoffe, dass sich hier noch mehr Betroffene melden, damit wir gemeinsame Strategien dagegen entwickeln können.

Trainiere Deine Firewall auch mal auf den Port 4662, der scheint sich in letzter Zeit immer größerer Beliebtheit zu erfreuen.
Gehört der zu Kaazaa oder ähnlichem?
Schau auch mal bei "Ständige Nachrichten !!!" - http://210112.homepagemodules.de/topic.p...&forum=11719959 (http://210112.homepagemodules.de/topic.php?&board=210112&id=329241&forum=11719959)
---
Ich bin stolz, ein Bastard zu sein - Bastard Zivi From Hell

freak
16.07.2003, 23:02
Der Hintergrund zum Nachrichtendienst ist, obwohl ich Linuxuser bin, mir bekannt.
4662 gehoert zum Edonkey/Emule Netzwerk. Wenn Du Pech hast, erhaeltst Du bei der Einwahl eine IP die kurz zuvor einen Server betrieben hat. Dann hilft fast nur noch sich erneut einzuwaehlen, um eine andere IP zu erhalten.
Keine Sorge, der Port ist dicht. Meine Firewall habe ich zusaetzlich mit einem IDS (Intrusion Detection System) gekoppelt.
Interessant ist allerdings, dass Du auch von der gleichen Adresse die Port Anfragen erhaeltst. Vielleicht finden sich wirklich noch andere, damit dagegen vorgegangen werden kann. Als Modemuser habe ich bei 10 min Einwahl am Tag halt nicht soviele Eintraege wie ein Flaterateuser.
Nach meiner whois Abfrage wurde der Adressraum von der CNE Corporate an:
inetnum: 217.78.142.120 - 217.78.142.127
descr: network of LiLiKo GmbH
vergeben. Daher die Frage nach dieser GmbH. Im Netz/Newsgroups habe ich zu dieser noch nichts gefunden.
Wenn sich noch mehr melden, dann ist es nicht unwahrscheinlich, dass es sich um einen professionellen Nachrichtendienstspammer handelt.

BastardZivi
16.07.2003, 23:43
Hab gerade noch mal meine Firewall gecheckt.
Die Pakete kommen periodisch, ca. alle 10 Minuten und dann gleich so 6 Stück hintereinander. Dazwischen kann aber auch einige Stunden Ruhe sein, bevor so eine Welle wieder losgeht.
Schein professionell zu sein.
Meine Firewall löst nach cne142-124.cne.de auf. Das stimmt auch mit der whois.ripe.net- und whois.denic-Abfrage überein.
Das bekomme ich auch bei http://www.whois-service.de.
Frage ich dort aber die IP ab, bekomme ich LiLiKo GmbH (217.78.142.124
cne142-124.cne.de) mit der route CNE und auch dort beheimateten Email-Adressen.
Deswegen bekam ich die Idee mit der Untervermietung; oder Tochtergesellschaft oder was weiß ich.
Vielleicht meldet sich ja noch mal ein Flatrate-User oder gar ein Admin, der auf seinem System ähnliche Erfahrungen gemacht hat.

Hm, wäre bestimmt nicht das schlechteste, ähnlich der Email- oder Faxspam-Abteilungen hier im Forum für diese Nachrichtendienst-Geschichten etwas zu errichten. Da könnte man dann auch Erfahrungen mit gewissen IPs und Firewall-Regeln austauschen, so dass sogar Newbies sich schnell eigene Regeln erstellen und ihr System sichern könnten.

Mit der 4662 ist nicht ganz so einfach, denke ich. Denn ich kann schon eine ganze Weile im Netz sein, dann fängt der Mist erst an.
Und müsste nicht die Gegenseite nach kurzer Zeit merken, dass die Verbindung geblockt wird, keine Daten mehr kommen?
Mir drängt sich da eher der Verdacht auf, dass auf dem Weg versucht wird, sich Zugriff auf einen Rechner zu verschaffen.
Denn Tauschbörsen sind wohl ziemlich verbreitet und bieten dementsprechend einen möglichen offenen Port, an dem man sich vergehen kann.

P.S. Hast bestimmt auch den IJB (Internet Junk Buster) laufen, oder? http://img.homepagemodules.de/cool.gif
---
Ich bin stolz, ein Bastard zu sein - Bastard Zivi From Hell

freak
17.07.2003, 00:22
N`Abend
So ich bin auch nochmal meine Logfiles durchgegangen. Seit Juni jedesmal wenn ich im Internet bin von der oben genannten IP Adresse die UDP Versuche auf Port 135.
Dabei habe ich noch ein anderen Kandidaten entdeckt 213.39.220.35 Zeitraum: 15. Jun - 9. Juli kann also kein Flaterateuser sein und war eine gezielte Kampagne. Danach kam dann alles von 213.39.220.217.
Ein eigener Bereich waere vielleicht wirklich nicht schlecht. Mal sehen wieviel sich hier noch melden.
Bei Port 6662 kann es damit zusammenhaengen, das Overpeerclients benutzt werden. Die arbeiten unabhaengig von einer Server/Client Loesung und fluten das Netz einfach mit UDP 6662 Anfragen.
zum ps: http://www.privoxy.org ist der legitime Nachfolger http://img.homepagemodules.de/lil.gif

BastardZivi
19.07.2003, 17:30
Tach auch!
Unser Patient ist kein Unbekannter. Hab mich mal ein wenig umgesehen:
http://www.dshield.org/warning_explanati...4&Submit=Submit (http://www.dshield.org/warning_explanation.php?fip=217.078.142.124&Submit=Submit)
Dort kann man seine Logs von Firewalls hinschicken.
Welchen Zweck das allerdings haben soll, ob die nur eine Statistik aufstellen oder ob die dagegen vorgehen, werde ich mir noch erlesen müssen.
to be continued...


---
Ich bin stolz, ein Bastard zu sein - Bastard Zivi From Hell

freak
19.07.2003, 23:14
Mal sehen, da die Anfragen auf meinen Port nicht aufhören, bin ich fast gewillt dahin meine Logs zu schicken. Vielleicht sind die ja von höherer Stelle und werden mehr beachtet.
Ist auch ganz interessant mal einen Scan gegen "deren" System (217.78.142.124)zu fahren. Haben auf dem einen Rechner VNC und diverses anderes laufen....
Könnte sein, dass die mal abgeschossen werden.


DShield.org is now helping users to fight back against attackers. We will analyze submitted log reports and pick a number of strong cases to forward them to the ISP from which the attack originated. A copy of the abuse report will be forwarded to the user.
You have to sign up for `Fightback`. We will not forward any of your log submissions unless you agree to by using the fightback option.
The user that submitted the log report will be copied on all correspondence. The ISP will receive all relevant log excerpts and we will include the e-mail address registered with DShield.org, in order to allow the ISP to contact the victim directly.

To sign up for the `FightBack` program, go to the login page, log in and then check the `FightBack` box. We`ll do the rest.
For more information, contact fightback [at] dshield.org

schara56
21.07.2003, 06:51
- UDP Port 135 ist der schöne End-Point-Mapper von Windows (wo trifft man sich um den Socket auszukarten) und
- UDP/TCP Port 137 ist der Nachrichtendienst