angriff oder megascan auf geteilt.de?

[essig]

habe gestern wie so oft unter http://www.geteilt.de/usage/ in unsere zugriffsstatistik geschaut und unter http://www.geteilt.de/usage/usage_200604.html#DAYSTATS beim 20.04.06 in der trafficauswertung den ersten riesen schreck bekommen.

an einem tag 770 MB traffic obwohl es eigentlich nur so um die 80 mb sein dürften? da stimmt was nicht. echte besucher haben diesen traffic auch nicht verursacht, da sich deren zahl normal verhielt. auffällig war noch die große anzahl abgefragter seiten (28199) was wieder auf einen scan schließen lässt.

das einzige was mir der normale webalizer noch sagt ist, dass die anfragen und der traffic von p508e4208.dip.t-dialin.net verursacht wurden. zum thema robots, crawler, spider: googlebot und msnbot machen auch ne menge traffic aber nicht im ansatz so viel wie dieser fall.

nun habe ich mir das logfile vom 20.04. gezogen (entpackte 12 mb) und dort nochmal geschaut. 22701 zugriffe von ip 80.142.66.8 zwischen 15:17 uhr bis 20:29 uhr. absender der anfragen ist übrigens Wget/1.9+cvs-stable (Red Hat modified) und wget ist ein tool mit welchem man ganze websiten runterladen und lokal speichern kann. dies wurde also scheinbar auch gemacht.

die ip 80.142.66.8 ist heute leider nicht mehr erreichbar war es aber gestern abend noch.

nun meine frage ob sich hier jemand mit sowas auskennt und ob grund zu sorge besteht? sind solche megascanns (700 mb je scan) eigentlich erlaubt? wenn nein kann man überhaupt gegen 80.142.66.8 bzw. p508e4208.dip.t-dialin.net vorgehen? hätte schon interesse zu erfahren wer dafür verantwortlich war.

habe HIERmal das logfile bereitgestellt (gepackt 637 kb).

[Klaus]

Dieser Webserver liefert willkürlich generierte E-Mail-Adressen, um damit Spam-Versender , die Webseiten nach E-Mail-Adressen abgrasen , in die Irre zu führen.

p5090ede6.dip.t-dialin.net

[vauwe]

Die IP-Adresse stammt (natürlich) aus dem Pool der dynamischen IP-Adressen (T-Online). Wenn dahinter ein T-DSL User steckt, dann wechselt seine IP-Adresse alle 24 Stunden (mindestens).

Zu wget:

Das ist ein FTP/HTTP Download Tool unter Unix-Systemen (Linux, BSD, *nix), das entweder einzelne Seiten (http) oder ganze Bäume von einer Website herunterladen kann.

Aus der man-page zu wget:

Code: Alles auswählen

GNU Wget is a free utility for non-interactive download of files from the Web.  It supports HTTP, HTTPS, and FTP protocols, as well as retrieval through HTTP proxies.

Man kann dieses Tool z.B. auch dazu benutzen, um einen Mirror einer fremden Website anzulegen (meistens wird dieses Tool benutzt, um fremde Inhalte zu klauen, das muß es aber nicht immer heißen).

man page:

Code: Alles auswählen

Wget can follow links in HTML and XHTML pages and create local versions of remote web sites, fully recreating the directory structure of the original site.  This is sometimes referred to as ``recursive downloading.''

wget ist robots.txt-aware.

Code: Alles auswählen

While doing that, Wget respects the Robot Exclusion Standard (/robots.txt).

Man kann also wget anweisen, die Site nicht zu spidern.

sind solche megascanns (700 mb je scan) eigentlich erlaubt?

Ich sag's mal andersrum: Wäre es verboten, Webseiten von einem Server abzurufen, dann dürften wir alle nicht surfen. DoS- und DDoS-Attacken sind nicht erlaubt, aber 700 MB innerhalb von Stunden abzurufen, kann man kaum als DoS-Attacke werten.

Das Logfile gucke ich mir mal durch. Notfalls ziehe ich es mal durch 'analog' durch, wenn's mir per Hand zu anstrengend wird.

[essig]

dann denke ich mal das es ne einmalige aktion von jemanden war der aus welchen gründen auch immer ne offline kopie von geteilt.de braucht. da hätte man aber auch freundlich fragen können und wir hätten es als zip geschickt : ))

vielleicht bekommen wir ja auf umwegen doch noch raus wer das war. wenn nicht ist aber auch nicht schlimm solange es nicht häufiger passiert.

[essig]

sorry für den doppelpost aber ich habe klaus beitrag übersehen:

Dieser Webserver liefert willkürlich generierte E-Mail-Adressen, um damit Spam-Versender , die Webseiten nach E-Mail-Adressen abgrasen , in die Irre zu führen.

wirklich? wie hast du das denn rausbekommen? nun bin ich doch wieder durcheinander und ein wenig besorgt

[slarky]

für deine sorge habe ich völliges verständnis


diese googlebot geschichten und irgendwelche spinner die irgendetwas ablegen wie z.b. irgendwelche fXX seiten kotzt mich an

[Klaus]

[18.04.06 11:22:18] Zwanzig nach Elf am Vormittag


Dieser Webserver liefert willkürlich generierte E-Mail-Adressen, um damit Spam-Versender , die Webseiten nach E-Mail-Adressen abgrasen , in die Irre zu führen.

p5090ede6.dip.t-dialin.net Zwischengespeicherte Seite

http://cc.msnscache.com/cache.aspx?q=3113114920165&lang=de-DE&mkt=de-DE&FORM=CVRE4

[Klaus]

Wenn man sich mal genau im www umsieht, trifft man fast immer auf dip.t-dialin.net , wenn es um Zugriffsstatistiken geht. Zum Beispiel
http://stats.otaku-forum.net/site_200305.html

MfG
Klaus

[vauwe]

Ich würde mal eher auf einen Zombie-Host tippen (Client [Schwadrone] eines Bot-Netzwerkes).

Wäre ja glatt mal interessant, den online (mit Wissen seiner IP-Adresse) zu erwischen und einen Scan auf diesen Zombie zu machen. Ich wette, der hat so einige nette Ports offen, über die er sich fernsteuern (und manipulieren) läßt.

Aber ich habe mir vor Jahren schonmal Ärger eingehandelt, weil ich eine infizierte Maschine über's Netz wieder gesäubert habe (haha, da hatte ich dann fürchterlich gelacht, als ich eine infizierte Maschine über's Netz vom Back-Orifrice gesäubert hatte und Tage später dann eine Abmahnung vom ISP bekam). Die Begründung war "Überwindung von Sicherheitsvorkehrungen" (die Maschine stand so offen, wie ein Scheunentor - nichts mit Sicherheit, aber jeder sieht das natürlich anders). Also ich lasse die Finger davon - wer will, darf sich aber gerne mit dieser Maschine austoben! Der User weißt wahrscheinlich gar nicht, daß er einen Zombie betreibt.

[Klaus]

Eine Antwort von Wikipedia :

Habe hier mal nachgeschaut :

http://de.wikipedia.org/wiki/Portscanner

Sehr interessant.

[M0rGu3]

Ich hatte mal so ein Buch, da stand was drin, wenn man die IP-Adresse und den exakten Zeitraum hat, kann man dies an den ISP übermitteln, welcher eigentlich Daten haben sollte, wer zu dieser Zeit diese IP hatte...
Könnte aber auch sein, dass es diese nicht mehr gibt, denn bei Flat-Nutzern müssen ja jetzt die daten gelöscht werden

[vauwe]

Morgue,

vor Jahren war das kein Problem. In meinem früheren Leben war ich noch Netzaktivist und habe das Netz von diversesten Idioten befreit. Damals reichte es, wenn man den Provider mit den entsprechenden Daten (exakter Zeitstempel, IP-Adresse und 'vergehen') kontaktierte (abuse@) und der User wurde abgemahnt bzw. bei mehrfachem Verstoß oder mehreren Meldungen einfach beim Provider gesperrt.

Die Welt sieht heute aber anders aus. Die Masse an Idioten im Netz und deren Vergehen, macht es fast unmöglich, noch irgendetwas zu verfolgen, wenn man es nicht zu seiner Lebensaufgabe machen wollte.

Heutzutage reagieren die Provider kaum noch und eigentlich muß man für jeden Pups einen richterlichen Beschluß vorlegen. Selbst bei der Anfrage auf Sicherstellung von Logdateien mit Hinweis auf polizeiliche Ermittlungen (das war früher ein absolutes K.O.-Kriterium für die ISPs), scheint heute nicht mehr wirklich reagiert zu werden.

Dein Einwurf mit den Flatrate-Daten ist soweit erstmal korrekt. Der Fall, auf den Du anspielst, wird aber von T-Online auch nicht so hingenommen und die wollen in die nächste Klageinstanz (OLG, glaub ich) gehen. Außerdem wird sich diese Geschichte demnächst ohnehin erledigt haben, wenn die massenhafte, prophylaktische Vorratsdatenspeicherung über alle EU-Bürger kommt (sofern sie nicht auf nationaler Ebene doch noch über das BVG zu Fall gebracht wird).

Die Realität sieht also im Moment so aus, daß zwar gespeichert wird, aber es wird kaum noch ein Vergehen (außer auf richterliche Anordnung) verfolgt, da die Provider ganze Heerscharen von abuse-Mitarbeitern beschäftigen müßten, um die Flut zu bewältigen. Also tolerieren sie so einiges.

Anders sieht es bei Urheberrechtsverletzungen aus, da die Rechteinhaber (und deren Vertreter = Verwertungsgesellschaften) aus der letzten UrhG-Novelle einige Zugriffsrechte auf die Providerdaten erhalten haben, was schon an eine Frechheit grenzt, daß bestimmte Interessensgruppen andere Rechte haben, als alle anderen. Wie war das: Vor dem Gesetz sind alle gleich? hmm...

BTW, exakte Zeitstempel: Hier ist NTP (network time protocol) gefragt, da sonst sämtliche Logeinträge hinfällig sind. Weicht die Uhrzeit des Logservers auch nur um 2 oder mehr Sekunden ab, kann es schon (dank dynamischer IP-Adressen) den falschen User erwischen. Also immer darauf achten, daß wichtige Maschinen, die Logs generieren, auf einen offiziellen Zeitserver (Stratum-2) synchronisiert sind.

[M0rGu3]

BTW, exakte Zeitstempel: Hier ist NTP (network time protocol) gefragt, da sonst sämtliche Logeinträge hinfällig sind. Weicht die Uhrzeit des Logservers auch nur um 2 oder mehr Sekunden ab, kann es schon (dank dynamischer IP-Adressen) den falschen User erwischen. Also immer darauf achten, daß wichtige Maschinen, die Logs generieren, auf einen offiziellen Zeitserver (Stratum-2) synchronisiert sind.

Stratum-2? Wasn das?
Ich synchronisiere bei mir immer mit ntp0.fau.de oder ntp2.fau.de, damit ich nicht in die falschen Zeiten rutsche
Aber ehrlich mal, was ist dieses Stratum-Dings?

[vauwe]

Ich habe mal schnell eine kurze Abhandlung zu NTP geschrieben und auch das Stratum-Konzept kurz umrissen (ja... diesmal wirklich kurz! *g*).

Um diesen Thread hier nicht off-topic zu führen, ist's im neuen Thread zu finden:

http://www.geteilt.de/phpBB2/viewtopic.php?p=6272#6272

[essig]

nun war es mal wieder soweit. nach eins und zwei nun drei. jemand scannte geteilt.de und verursachte in weniger als zwei stunden 1,5 gbyte traffic. ergibt eine bandbreite von 1,8 mbit/sek, es war also niemand von uns

der scan dauerte von 20:16 bis 22:07 und wurde von 87.122.37.163 also einem versatel nutzer mit dem programm "Acunetix Web Vulnerability Scanner" geführt. dieses tool dient dazu die "sicherheit" von webseiten zu testen und nun gibt es zwei varianten:

jemand von uns hat freundlicher weise unsere eigene sicherheit getestet und wird das ergebnis mitteilen. sollte dies nicht der fall sein dann stellt sich die frage warum jemand bei uns stundenlang und systematisch nach sicherheitslücken sucht?

könnte es vielleicht mit unserer petition zusammenhängen? oder mit den altbekannten beschimpfungen? wer könnte ein interesse haben uns auf sicherheitslücken zu scannen? wenn wir morgen nicht mehr online sind dann wurden welche gefunden also schnell noch backup machen

wenn sich in den nächsten tagen niemand meldet werde ich das erstmal an abuse(ät)versatel.de schicken und schauen was man sonst noch machen kann. wenn jemand kontakte zu versatel hat oder sonstige hinweise geben kann bitte per PN oder email melden.

ps: wer interesse am logfile (24mb, gepackt 1mb) von gestern hat einfach bescheid sagen.