Discussion:
ve308.venus.fastwebserver.de will eindringen
(zu alt für eine Antwort)
Helmut Hullen
2016-05-03 19:38:00 UTC
Permalink
Hallo alle miteinander,

ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.

Und Google zeigt, dass ich nicht das einzige Ziel solcher Versuche bin.

Heute gegen 9 Uhr habe ich "***@myloc.de" informiert; denen gehört
nicht nur der Adressbereich, die tauchen auch als letzte Stationen bei
"traceroute" auf.

Keine Änderung.

Gegen 15 Uhr habe ich angerufen und landete bei einer anderen Stelle,
die anscheinend nichts mit der Abuse-Stelle zu tun hatte. Kern der
Antworten:
Wir loggen nicht mit. Wenn sich einzelne Leute beschweren, dann
empfehlen wir, dass diese Opfer ihre Firewall-Einstellungen ändern. Es
kann durchaus 7 Tage dauern, bis wir den Kunden kontaktieren.

Um 17 Uhr immer noch keine Änderung, also habe ich auch noch das
Kontakt-Formular auf der Myloc-Seite ausgefüllt. Anscheinend hat aber
Myloc bereits Feierabend ... (und der Automat des Kunden immer noch
nicht)

Viele Gruesse!
Helmut
Andreas Kohlbach
2016-05-03 20:05:32 UTC
Permalink
Post by Helmut Hullen
Hallo alle miteinander,
ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
Und Google zeigt, dass ich nicht das einzige Ziel solcher Versuche bin.
nicht nur der Adressbereich, die tauchen auch als letzte Stationen bei
"traceroute" auf.
Keine Änderung.
Gegen 15 Uhr habe ich angerufen und landete bei einer anderen Stelle,
die anscheinend nichts mit der Abuse-Stelle zu tun hatte. Kern der
Wir loggen nicht mit. Wenn sich einzelne Leute beschweren, dann
empfehlen wir, dass diese Opfer ihre Firewall-Einstellungen ändern. Es
kann durchaus 7 Tage dauern, bis wir den Kunden kontaktieren.
Um 17 Uhr immer noch keine Änderung, also habe ich auch noch das
Kontakt-Formular auf der Myloc-Seite ausgefüllt. Anscheinend hat aber
Myloc bereits Feierabend ... (und der Automat des Kunden immer noch
nicht)
as5580.net (hibernianetworks.com Niederlande) scheint Uplink zu
sein. Aber bei asXXXX.net läuten bei mir immer schon die
Alarmglocken. Sonst hätte ich gesagt, man könnte zu denen eskalieren,
wenn myloc.de selbst nicht reagiert.
--
Andreas

I use a Unix based operating system, which means I get laid almost as often
as I have to reboot my computer.
Marc Haber
2016-05-03 20:26:10 UTC
Permalink
Post by Andreas Kohlbach
Aber bei asXXXX.net läuten bei mir immer schon die
Alarmglocken.
Weil das eine extrem gängige Benennung für die Infrastruktur mittlerer
Internetprovider ist, oder warum?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Andreas Kohlbach
2016-05-03 20:47:07 UTC
Permalink
Post by Marc Haber
Post by Andreas Kohlbach
Aber bei asXXXX.net läuten bei mir immer schon die
Alarmglocken.
Weil das eine extrem gängige Benennung für die Infrastruktur mittlerer
Internetprovider ist, oder warum?
Wusste ich nicht.

Aber dieses Muster taucht bei mir sehr oft in Verbindung mit Spam auf,
dass ich die alle - nun vermutlich zu Unrecht - über einen Kamm scherte.
--
Andreas

I use a Unix based operating system, which means I get laid almost as often
as I have to reboot my computer.
Marc Haber
2016-05-04 09:29:12 UTC
Permalink
Post by Andreas Kohlbach
Post by Marc Haber
Post by Andreas Kohlbach
Aber bei asXXXX.net läuten bei mir immer schon die
Alarmglocken.
Weil das eine extrem gängige Benennung für die Infrastruktur mittlerer
Internetprovider ist, oder warum?
Wusste ich nicht.
Aber dieses Muster taucht bei mir sehr oft in Verbindung mit Spam auf,
dass ich die alle - nun vermutlich zu Unrecht - über einen Kamm scherte.
Ja, Spam wird größtenteils per TCP übertragen. Klingeln jetzt bei
jedem TCP SYN die Alarmglocken?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Helmut Hullen
2016-05-04 10:51:00 UTC
Permalink
Hallo, Andreas,
Post by Andreas Kohlbach
Post by Helmut Hullen
ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
[...]
Post by Andreas Kohlbach
as5580.net (hibernianetworks.com Niederlande) scheint Uplink zu
sein. Aber bei asXXXX.net läuten bei mir immer schon die
Alarmglocken. Sonst hätte ich gesagt, man könnte zu denen eskalieren,
wenn myloc.de selbst nicht reagiert.
Hier (D): die letzten beiden Stationen vorm Zielrechner sind (sagt
"traceroute") von myloc.de

Der Automat werkelt immer noch, jetzt per "anonymous ftp". "Myloc"
scheint die "Mitstörer-Haftung" noch nicht zu kennen.

Viele Gruesse!
Helmut
Nomen Nescio
2016-05-05 00:59:49 UTC
Permalink
Um 17 Uhr immer noch keine Aenderung
Es koennte sich um eine Tor-Node handeln. Da kann der Provider nicht viel
machen. Verwendest du einfach zu erratende Passworte oder warum die
Aufregung?
Thomas Hochstein
2016-05-05 13:56:15 UTC
Permalink
Post by Helmut Hullen
ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
Das ist ja wahnsinnig spannend.

(Will sagen: dictionary-Angriffe auf SSH, SMTP-Auth und natürlich FTP
sind Alltag. Wenn ich da jedes Mal eine Mail schreiben würde, käme ich
zu sonst nichts mehr. Installier Dir halt fail2ban oder etwas in der
Art, dann müllt es Dir die Logs nicht zu - und Du siehst dann auch, ob
das nur ein Host ist oder ein ganzes Botnet.)

-thh
Helmut Hullen
2016-05-05 19:30:00 UTC
Permalink
Hallo, Thomas,
Post by Thomas Hochstein
Post by Helmut Hullen
ich "geniesse" gerade den Service von "myloc.de". Deren Kunde
ve308.venus.fastwebserver.de versucht seit gestern, per FTP in mein
System einzudringen, u.a. als "admin". Etwa alle 40 Minuten.
Das ist ja wahnsinnig spannend.
(Will sagen: dictionary-Angriffe auf SSH, SMTP-Auth und natürlich FTP
sind Alltag. Wenn ich da jedes Mal eine Mail schreiben würde, käme
ich zu sonst nichts mehr.
Wenn der Provider im Ausland sitzt, verfahre ich so ähnlich. Meistens
blocke ich dann */16- oder */24-Bereiche.
Post by Thomas Hochstein
Installier Dir halt fail2ban oder etwas in
der Art, dann müllt es Dir die Logs nicht zu - und Du siehst dann
auch, ob das nur ein Host ist oder ein ganzes Botnet.)
"etwas in der Art" läuft hier schon seit vielen Jahren. Aber bei
Versuchen im 40-Minuten-Takt ist die Grenze zu erlaubten
Anklopfversuchen schmal. Zudem halte ich es für "kollegial", die Abuse-
Abteilung rechtzeitig (und höflich) zu informieren. T-Online pflegt dann
rasch (und wirksam) zu reagieren, einige andere Provider auch.

Meistens (immer?) wird ja nicht ein einziges Opfer belästigt, sondern
ein grosser Stapel irgendwoher beschaffter IP-Adressen.

Am Rande: anscheinend hat "myloc" inzwischen den (virtuellen?)
Seitenschneider angesetzt - schön!

Viele Gruesse!
Helmut

Loading...