Discussion:
Kommentarspam aus 109.230.
(zu alt für eine Antwort)
Sabine Engelhardt
2011-08-11 10:11:02 UTC
Permalink
Quak,

ich hab den Kandidaten schon länger auf dem Radar. Die Hosts aus dem
IP-Bereich 109.230.* lösen nicht rückwärts zu einem Domainnamen auf.
Gestern hatte ich ausnahmsweise mal einen, der zwar auflöste, aber auf
eine Domain, die auf eine völlig andere IP hinzeigt.

whois sagt mir, daß eine deutsche Firma dahintersteckt. Lohnen da
Beschwerden, oder hat der Kandidat schon eine Krankenakte? Wenn ja, würd
ich den Bereich einfach mal komplett in meine .htaccess werfen.

Gruß, Frosch
--
http://www.atari-frosch.de/ | http://blog.atari-frosch.de/
PGP encryption welcome! Key-ID: 0xCC0AEF3E @ usual places.
Und außerdem bin ich der Meinung, daß Deutschland kein Rechtsstaat ist.
Leonard Orb
2011-08-11 15:29:17 UTC
Permalink
Post by Sabine Engelhardt
ich hab den Kandidaten schon länger auf dem Radar. Die Hosts aus dem
IP-Bereich 109.230.* lösen nicht rückwärts zu einem Domainnamen auf.
109.230.* gibt es nicht. Das hat das RIPE in vier Tranchen quer über sein
Herrschaftsgebiet verteilt:
109.230.0.0/18 ist Orange in der Slowakei (SK-ORANGE-20100210)
109.230.64.0/18 ist Boomerang Rayaneh im Iran (IR-BOOMERANG-20100217)
109.230.128.0/18 ist Vsevnet in Rußland (RU-VSEVNET-20100224)
109.230.192.0/18 ist Marcel Edler (DE-OPTIMATE-SERVE-20100224)
Post by Sabine Engelhardt
Gestern hatte ich ausnahmsweise mal einen, der zwar auflöste, aber auf
eine Domain, die auf eine völlig andere IP hinzeigt.
Die ersten drei sind Dialup-Netze, bei denen wahrscheinlich die Betreiber
keinen großen Wert auf PTR-RRs legen.
Das vierte ist verteilt auf eine hübsche Anzahl unterschiedlicher Hosting-
Provider. Wenn die ihren Kunde den Reverse-DNS nach Wunsch konfigurieren
und nach Weggang des Kunden nicht wieder löschen, kann es auch ohne böses
Zutun zum beobachteten Verhalten kommen.
Post by Sabine Engelhardt
whois sagt mir, daß eine deutsche Firma dahintersteckt. Lohnen da
Beschwerden, oder hat der Kandidat schon eine Krankenakte? Wenn ja, würd
ich den Bereich einfach mal komplett in meine .htaccess werfen.
Wenn man Webspace und Server an Endkunden vermietet, kann es schnell
passieren, daß die Kunden sich durch Sicherheitslücken unerwünschte
Untermieter einfangen.

Ob Du die alle pauschal aussperren willst, bleibt Dir überlassen.
Allzuviele echte Besucher eines Webservice dürften aus dem IP-Bereich
109.230.192.0/18 mit, wie es scheint, ausschließlich Server-IPs
jedenfalls nicht kommen.

Hth, Leo
Sabine Engelhardt
2011-08-11 16:18:36 UTC
Permalink
Hi Leonard,
Post by Leonard Orb
109.230.192.0/18 ist Marcel Edler (DE-OPTIMATE-SERVE-20100224)
Danke, der ist dann wohl der Kandidat. Nach Abgleich stelle ich fest: Es
kommt nichts von unterhalb 109.230.21x.x rein. (Nein, ich werd mich wohl
nicht mehr an die neue Schreibweise für IP-Ranges gewöhnen ;-))
Post by Leonard Orb
Wenn man Webspace und Server an Endkunden vermietet, kann es schnell
passieren, daß die Kunden sich durch Sicherheitslücken unerwünschte
Untermieter einfangen.
Mag sein, aber der fällt zumindest mir doch sehr intensiv auf. Ich habe
auch immer mal wieder IP-Ranges anderer, auch deutscher, Server-Provider
dazwischen, aber nicht in diesem Maße.
Post by Leonard Orb
Allzuviele echte Besucher eines Webservice dürften aus dem IP-Bereich
109.230.192.0/18 mit, wie es scheint, ausschließlich Server-IPs
jedenfalls nicht kommen.
Naja, theoretisch könnten von anderen Servern Trackbacks/Pingbacks
kommen. Oder auch mal ein VPN-Benutzer. Aber stimmt schon, die
Wahrscheinlichkeit ist eher gering: also ist der ab sofort geblockt.

Gruß, Frosch
--
http://www.atari-frosch.de/ | http://blog.atari-frosch.de/
PGP encryption welcome! Key-ID: 0xCC0AEF3E @ usual places.
Und außerdem bin ich der Meinung, daß Deutschland kein Rechtsstaat ist.
Loading...