szmmctag

  • Nach Update: Unknown Command ‘loadfont’

    Nachdem meine Frau gestern abend ein paar Updates für Ubuntu 10.04 gefahren hat, und heute in der Bibliothek den Rechner neu starten wollte, warf der Rechner folgende Fehler:

    error: unkown command 'loadfont'
    error: file not found

    (für die Lösung des Problems auf cyscon.de weiterlesen)

  • 1 Statistik + 1 Blog-Eintrag = Zeitungsente!

    … oder wie sich ein heise Security-Redakteur für die Klatschspalten bei Axel Springer's Bild.de bewirbt:

    Ein aktueller Bericht auf dem Heise-Online-Ticker zeigt einmal mehr, wie wichtig es ist, einen redaktionellen Beitrag selbständig zu recherchieren und nicht jeder Statistik, die auf irgendeinem Blog kursiert, allzu viel Bedeutung beizumessen. Auch und vorallem dann, wenn über die Herkunft der Daten keine Auskunft vorliegt.

    Er zeigt aber auch einmal mehr, wie sich solche Enten dann in Windeseile kopieren und von Cut- & Paste-Sklaven übernommen werden, ohne auch nur ansatzweise zu hinterfragen, ob die Erhebung denn inhaltlich überhaupt stimmen kann.

    Das war jetzt ein wenig schnell? Fangen wir mal von vorne an:
    Eine US-amerikanische Sicherheitsfirma namens Daballa veröffentlichte in ihrem Unternehmensblog einen Beitrag über Command & Control-Server und untermauerte diesen mit einer beindruckenden Statistik. Laut dieser Statistik betriebe die 1&1 Internet AG nahezu 11% aller Command & Control-Server, gefolgt von der OVH (mit 6%), einem weiteren sehr sehr großen Hosting-Unternehmen aus Frankreich und würden demnach 1/5 aller Steuerungsserver von Botnetzen ein zuhause geben.

    Von dieser unheimlich großen Zahl muss der für den Beitrag verantwortliche Redakteur dermaßen beeindruckt gewesen zu sein, dass er kurzerhand den Artikel ins Deutsche übersetze, und getrieben von der Gier nach einem Sensationsbericht, sämtliche sonst üblichen Recherche-Praktiken ausließ und kurzerhand auf heise.de online stellte.

    Es dauerte nicht lange da fanden sich auch schon die ersten Cut-n-Paste-Michel ein, und vervielfältigten das redaktionelle Meisterstück samt grammatikalischer Fehler … und flupp … die 1&1 war der Botnetz-Betreiber Nummer 1!

    Moment war da nicht was? Hat die 1&1 nicht Botnetzen den Kampf angesagt? Stimmt … da war was … jetzt fällt der Groschen … die machen das ja nur, weil sie so arg davon gebeutelt sind … wenn das mal keine negativen Auswirkungen auf das von der eco & dem BSI betriebenen Anti-Botnetz-Projekt ist …, schlussfolgerte der Redakteur.

    Lieber Redakteur:
    Hätten Sie sich wie ich die Mühe gemacht und vor Ihrer Publikation Hintergrund-Informationen zu dieser Statistik eingeholt, wüssten Sie, dass das Datenmaterial dazu totaler Grep ist:

    --snip--
    mail.gmx.com (74.208.5.67)
    mail.gmx.net (213.165.64.20)
    smtp.web.de (217.72.192.157)
    mx-ha02.web.de (217.72.192.188)
    mx-ha01.web.de (217.72.192.149)
    mx-ha02.web.de (217.72.192.188)
    mx-ha01.web.de (217.72.192.149)
    mx-ha02.web.de (217.72.192.188)

    {…}

    dns02-tld.t-online.de (62.157.138.31)
    mforward.dtag.de (194.25.242.123)
    relaysr.nbsp.net (212.185.199.202)
    smtp-01.tld.t-online.de (194.25.134.76)
    smtp-02.tld.t-online.de (194.25.134.12)
    --snap--

    Die vorgenannten Zeilen stellen natürlich nur einen kleinen Auszug aus der Liste dar, sind für mich aber keine CnC-Server, sondern Systeme der Mailserver- & Nameserver-Intrastruktur der 1&1 und Deutschen Telekom und sicherlich attraktive Ziele von Botnetz-Aktivitäten.

    Und die wenigen Domains, die in dem Feed wirklich ausgesehen haben, als wären sie klassische "malicious Domains" konnte ich anhand der WHOIS- und NS-Einträge eindeutig als Sinkhole/Honeypot-Systeme der Provider identifizieren.

    Ist es denn wirklich so leicht eine Ente in die Welt zu entlassen? Das ist jetzt schon das zweite mal, dass der besagte heise Security-Redakteur Behauptungen aufstellt, die nicht simmen ...

  • "Die Botnetz-Jäger" …

    … so titelt die Chip in Ihrer aktuellen Heftausgabe (08/2010) in einem Beitrag in dem nicht nur die spannende Arbeit eines Abuse Departments vorgestellt wird, sondern Experten auch Beispiele zur gezielten Zerstörung, der Ökonomie und ein Ausblick zur Zukunft von Botnetzen geben.

    Der Beitrag soll nicht nur fesseln, sondern auch aufklären … die Sinne des Endkunden schärfen. Aus meiner Sicht ist das dem Redakteur sehr gut gelungen.

    Alarm im Rechenzentrum Karlsruhe. In einer eigens aufgestellten Falle hat sich ein infizierter Rechner verfangen. Thorsten Kraft und seine Kollegen der Anti-Abuse Abteilung des großen Internetproviders 1&1 erkennen, dass er einem ihrer eigenen Kunden gehört. Sofort läuft eine Maschinerie an, die den Kunden informiert und die Gefahr beseitigen soll. Alltag im Kampf gegen eine der größten Bedrohungen im Internet: rießige Bot-Netzwerke, in denen Hacker gekaperte und ferngesteuerte Rechner zusammenschließen …"

    Die Leser lernen in einem spannenden Bericht, wie sich ein Rechner in nur 20 Sekunden zum willenlosen Werkzeug von Hackern verwandelt, Spam versendet, DDoS-Attacken fährt und Passwörter bzw. TAN-Nummern stiehlt, dass "Geldgier" das Motiv der Täter ist und wieviel davon sich mit ungepatchte, gekaperten Systeme von sorglosen Endkunden in nur einem Jahr verdienen lässt.

    Das Interview mit mir gibts natürlich auch hier:

    Wie gefährlich sind eigentlich Botnetze?
    Die Gefahr ist massiv. Botnetze bombardieren Internetnutzer mit Spam, ergaunern Passwörter und TAN-Nummern und legen wichtige IT-Infrastrukturen vollständig lahm. In Extremfällen können auch zivile Einrichtungen und militärische Systeme bedroht sein.

    Wie schützt 1&1 seine Kunden davor?
    Verteilt auf die Bereich Fraud (Betrug), Spam-Bekämpfung, IT-Sicherheit und Abuse (Missbrauch) beschäftigen wir mehr als 40 Mitarbeiter, die eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und den LKÄ zusammenarbeiten. Im Ernstfall leiten wir Massnahmen, wie Sperrung von Phishing-Webseiten ein. Außerdem ermitteln wir gezielt infizierte PCs, klären über Cyberrisiken auf und helfen im Infektionsfall.

    Was mach ich, wenn der PC infiziert ist?
    Scannen Sie die Festplatte mit einer aktuellen Antiviren-Software und ändern Sie vorsorglich alle persönlichen Kennwörter - vom E-Mail-Postfach bis hin zum Online-Banking-Zugang.

    Wie kann ich erneute Infizierung verhindern.
    Installieren Sie eine umfassende Internet-Sicherheits-Suite und aktualisieren Sie diese regelmäßig. Ferner sollten Sie alle verfügbaren Sicherheits-Updates für Betriebssystem und Anwendungen installieren. USB-Sticks und mobile Festplatten können ebenfalls mit Viren infiziert sein. Insofern sollte man auch bei externen Datenträgern stets vorsichtig sein.

    Also Jungs & Mädels: kauft sie Euch;)

  • Spam-Welle: Javascript trickst Filter aus

    Mit einem Trick umgehen Spam-Versender gegenwärtig Spam-Filter, die zwielichtige Nachrichten anhand von Links in einer E-Mail auf Verweise aussortieren. Mit dieser Methode war es bisher möglich Phishing-Mails zu erkennen und entsprechend zu verwerfen. Der Trick ist denkbar einfach: Die Versender platzieren den Link nicht mehr in der Original-E-Mail, sondern in einer daran angehängten HTML-Datei.

    Um Klicks zu erhaschen, locken die Spammer mit Betreffzeilen zu angeblichen Skandalen und dringenden Passwort-Änderungen, die bei sozialen Netzwerken gemacht werden müssen. Aber auch andere Köder werden ausgelegt: So kündigen manche Spam-Mails Virenfunde an, zum Entfernen soll man das angehängte Attachment öffnen.

    303196300_e4b1d69a98

    Bei den darüber beworbenen Seiten handelt es sich aktuell zumeist um Online-Apotheken in Übersee, die mit Potenzmitteln und anderen Medikamenten zu niedrigen Preisen werben.

    Manche Links verweisen jedoch auch auf Imitationen populärer Social-Networking-Seiten, die den Anwender dazu auffordern, sein Passwort zu ändern. Wer das tut, verrät seine Zugangsdaten damit den Phishern. Die E-Mails tarnen sich als Nachrichten mit persönlichem Inhalt unter Betreffzeilen wie "You Are My Sunshine" oder "You're My Everything". Andere täuschen vor, die Bestellbestätigung einer Shopping-Seite zu sein.

    Grundsätzlich eignet sich diese Masche jedoch auch dazu, den Browser auf trojanerverseuchte Seiten zu schicken.

  • Abuse-Reports an Facebook nur als Facebook-Nutzer?

    Als ich heute Abuse-Meldungen für die IP-Adresse 69.63.178.187 loswerden wollte, bekam ich von der hierfür zuständigen Abuse-Abteilung folgende E-Mail-Nachricht:

    "The email address from which you are writing is not associated with a Facebook account. We will not be able to assist you with your request until you respond from the email address that you use to log in to your account."

    Es ist richtig, dass unsere Spamtrap-Adressen keinen Facebook-Account inne haben, aber der türkisch-sprachige Spam reißt nicht ab, und es gibt für uns keine Mglk. diesen zu reporten.

    Abuse-handling #failed!

  • News: Festnahme wg. Kinderpornographie

    Bei einer Hausdurchsuchung, die das Landeskriminalamt Wien durchführte, stießen die Ermittler auf unglaubliches Datenmaterial: Der Verdächtige sammelte mehr als eine Million Bilder, auf denen spärlich bekleide Mädchen und Jungs unter 14 Jahren posierten. 30.450 Bilddateien zeigten Kinder bei sexuellen Handlungen, zudem wurden etwa 450 Filmdokumente mit Missbrauchsfilmen, auf denen Babys und Kleinkinder zu sehen waren, sichergestellt. Insgesamt fanden die Beamten acht Festplatten, einen PC und einen Laptop sowie 250 DVDs mit einschlägigem Material.

    Hinweise aus Deutschland

    Der Hinweis war von deutschen Netzwerkfahndern gekommen: Ein Österreicher sei sehr aktiv auf einer Kinderporno-Tauschbörse. Über die IP-Adresse seines Computers konnten die österreichischen Behörden den Mann schließlich ermitteln. Die Festnahme erfolgte Mitte April, nach Abschluss der Befragungen der Opfer und der Datenauswertung (die noch weiter läuft) wurde der Fall am gestrigen Freitag bekannt.

    Kindesmissbrauch in häuslicher Wohnung

    Der Mann hatte nach seiner Scheidung vor drei Jahren vorübergehend eine Thailänderin bei sich wohnen lassen. Die Frau brachte aus der Heimat zwei Töchter (fünf und sechs Jahre) mit, die der Mann mehrfach sexuell missbraucht haben soll. Auf die Kinder wurden die Ermittler aufmerksam, nachdem sie in der Wohnung Bilder der Kleinen fanden. Bei einer anschließenden Befragung der Mädchen stellte sich heraus, dass sie von dem 53-Jährigen sexuell missbraucht wurden. Die Mutter gab an, davon nichts mitbekommen zu haben.

    Bei seiner Vernehmung spielte der Mann seine Taten jedoch herunter: Er wolle die Mädchen nur auf den Schoß genommen und mit ihnen herumgeblödelt haben. Zu den Kinderpornos war der Frühpensionär geständig. Er schaue so etwas gerne und hätte Interesse daran. Die enorme Datenmenge rechtfertigte er damit, dass er Abwechslung haben wollte.

    Link zur Originalmeldung: http://news.bbc.co.uk/2/hi/world/europe/10351271.stm

  • Alert: SQL-Injection - Bekannte Webseiten lieferten Malware aus

    In dieser Woche hat es einen größeren Angriff auf Webseiten gegeben, die ein Banner-Ad-Modul in Verbindung mit Microsofts Internet Information Services unter ASP.net verwenden.

    Darunter sollen laut Angaben von Sicherheits-Experten prominente Seiten, wie die des Wall Street Journal, des Navigationssystem-Herstellers TomTom, The Jerusalem Post und einer britischen Polizeidirektion gewesen sein. Insgesamt seien aber mehrere tausend Seiten "infiziert" (die Schätzung reichen von 7.000 bis 114.000 Seiten).

    Auf den kompromitierten WebSeiten wurden nach ersten Erkenntnissen mittels SQL Injection sogenannte iFrames in (Werbe-)Bannern platziert, um über JavaScript-Code die Rechner der Opfer mit einer Malware namens "Mal/Behav-290" zu infizieren (hier: script src=http://ww.robint.us/u.js).

    Der Shadowserver Foundation ist es nun gelungen, die Domain robint.us, von der die Schadsoftware geladen wurde, unter Kontrolle zu bringen und sammeln nun darüber Informationen zu WebSeiten, die die Schadsoftware dort abholen wollen.

    Allerdings ist das keine dauerhafte Lösung für die betroffenen Server. Diese sind weiterhin anfällig für den Angriff, so dass beispielsweise ein Austausch der Domain möglich wäre, wie der Fall GoDaddy! beweisst. WebSeiten des US-Hosters wurde am morgen des 09. Juni erneut gehackt, diesesmal unter Verwendung einer anderen Auslieferungsdomain, als die die ShadowServer übernommen hat.

    Wieviele WebSeiten-Besucher sich nun mit dem Schädling angesteckt haben, bleibt abzuwarten. Angesichts der prominenten Webseiten, die den Angreifern als Sprungbrett gedient haben, könnten es jedoch ziemlich viele geworden sein.

    Quelle: http://blog.sucuri.net/2010/06/mass-infection-of-iisasp-sites-robint-us.html

  • Wir suchen Verstärkung: "Supportmitarbeiter Missbrauchsbekämpfung (2nd Level) (m/w)"

    Für unseren Standort in Karlsruhe suchen wir ab sofort eine/n:

    Supportmitarbeiter Missbrauchsbekämpfung (2nd Level) (m/w)
    Kennziffer: KA-TKa100501

    Der zentrale Abuse-Desk unseres Unternehmens kümmert sich um Missbrauchsfälle, die aus den angebotenen Dienstleistungen der 1&1 Internet AG entstehen können.

    Viren, Trojaner, Sicherheitslücken, oder auch Unachtsamkeit führen nicht selten zu einem Missbrauch durch Dritte. Wir erkennen diesen und informieren unsere Kunden detailliert darüber (siehe dazu: http://presse.1und1.de/xml/article?article_id=743 ).

    Wir wollen im Zuge der 1&1 Qualitätsinitiative unseren Kunden einen erstklassigen Service bieten und werden unsere Leistungen hier weiter ausbauen. Deshalb benötigen wir Sie, als telefonischen 2nd Level-Support zur Beratung betroffener Kunden.

    Aufgaben
    Ihre Hauptaufgabe besteht in der forensischen Analyse und telefonischen Unterstützung unserer Kunden in Missbrauchsfällen, wie Hacking, Phishing, Spamming, Portscanning uvm. Sie analysieren die Fälle, setzen Gegenmaßnahmen ein und stehen den betroffenen Kunden mit ihrem Fachwissen für Rückfragen, Beratung und weiter gehende Analysen zur Verfügung. Darüber hinaus sammeln Sie Informationen über häufig auftretende Beschwerdemuster und wirken so als Ideengeber bei der Verbesserung bestehender sowie bei der Entwicklung neuer Prozesse mit. Um die eingesetzte Technik bzw. Software ständig weiterzuentwickeln, arbeiten Sie eng mit den Kollegen des Bereichs Abuse-Development & -Operations zusammen.

    Anforderungen
    Idealerweise haben Sie eine Berufsausbildung und/oder Weiterbildung mit informationstechnischem und/oder kaufmännischem Hintergrund erfolgreich abgeschlossen. Sie bringen neben einem guten technischen Verständnis, ein generelles Interesse am IT-Umfeld mit und zeigen die Bereitschaft ihr Wissen in einem dynamischen technischen Umfeld aktuell zu halten. Unser perfekter Kandidat hat bereits Erfahrung mit Viren, Trojanern, Hacking-Techniken, Mailserver und im telefonischen Support gesammelt und verfügt über grundlegende Linuxkenntnisse.

    Grundlegende Englischkenntnisse wären von Vorteil. Sie bevorzugen eine eigenverantwortliche Arbeitsorganisation und haben kein Problem mit flexiblen Arbeitszeiten im wechselnden Schichtbetrieb. Ihre Bereitschaft auch Wochenendschichten zu übernehmen, setzen wir voraus.

    Als überzeugter Teamplayer teilen Sie gerne Ihre Kenntnisse und nutzen gleichermaßen die Ihrer Kollegen. Hohe Servicebereitschaft, Kommunikationsgeschick in Wort und Schrift sowie Verantwortungsbewusstsein gehören zu Ihren Stärken. Durch Ihre ausgeprägte Serviceorientierung und strukturierte Arbeitsweise leisten Sie einen großen Beitrag zur Zufriedenheit unserer Kunden.

    Ein stets freundliches und professionelles Verhalten gegenüber unseren Kunden rundet ihr Profil ab.

    Quelle: http://jobs.1und1.de/xml/JobsDetail?job_id=2451

  • DENIC-Probleme: Millionen .de-Domains nicht erreichbar

    “Das Internet ist kaputt!” - zumindest das deutsche Internet zu großen Teilen.

    Zahlreiche .de-Domains sind derzeit gar nicht oder nur unter Subdomains erreichbar. Will man die Domain aufrufen, bekommt man vom Browser einen Hinweis wie "Die von Ihnen aufgerufene Adresse http://www.irgendeinedomain.de/ ist zurzeit nicht erreichbar. Bitte überprüfen Sie die korrekte Schreibweise der Webadresse (URL) und versuchen Sie dann die Seite neu zu laden."

    Offenbar liegt das daran, dass die zuständigen Server bei der .de-Registry DeNIC zum Teil gar nicht und zum Teil falsch auf DNS-Anfragen antworten; die Zone-Files scheinen keine oder unverständliche Informationen zu liefern. Dass überhaupt für manche Nutzer noch einige .de-Server unter ihrem DNS-Namen erreichbar sind, liegt an den Caches der DNS-Server bei den Interent-Providern.

    Wenn der Name www.spamvz.de aufgelöst werden soll, wird zunächst bei einem der DNS-Root-Server nachgefragt, wer für die Domain "de" zuständig ist. Dann wird dort nach dem Zuständigen für spamvz.de gefragt, schließlich dieser Server nach www.spamvz.de. Da beim zweiten Schritt derzeit keine brauchbare Antwort kommt, schlägt die ganze Auflösung fehl.

    Denic untersucht derzeit die Probleme genauer und will sich melden, sobald man die ersten festen Erkenntnisse hat. Nach und nach sollen die mehreren Server bereits wieder die Arbeit aufgenommen haben. Bis der volle Funktionsumfang wiederhergestellt ist, soll es jedoch noch etwas dauern.

  • Vermeidung von SSH Dictionary Attacks mit DenyHosts

    DenyHosts ist ein Tool, das Login-Versuche auf SSH überwacht. Wenn es wieder und wieder fehlgeschlagene Login-Versuche von der gleichen IP Adresse aufspürt, blockt DenyHosts weitere Login-Versuche dieser IP Adresse, indem es sie in /etc/hosts.deny packt. DenyHosts kann als Cron oder Daemon ausgeführt werden.

    Diese Anleitung veranschaulicht, wie man DenyHosts installiert, konfiguriert, wenn man DenyHosts als Deamon ausführt.

    Seite 1: Installation

    Seite 2: Konfiguration
    Seite 3: Testen der Installation
    Seite 4: Quellen & Links

    1. Installation

    DenyHosts ist in Python geschrieben, daher müssen wir zunächst Python und die Python Development Dateien installieren:

    apt-get install python2.3-dev python2.3

    Die installation auf einem Debian-based System ist recht einfach:

    apt-get install denyhosts

    Bei anderen Systemen laden wir DenyHosts als Source runter und installieren es:

    cd /tmp
    wget http://mesh.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.0.tar.gz
    tar xvfz DenyHosts-2.0.tar.gz
    cd DenyHosts-2.0
    python setup.py install

    Seiten: 1 2 3 4

Footer:

Die auf diesen Webseiten sichtbaren Daten und Inhalte stammen vom Blog-Inhaber, blog.de ist für die Inhalte dieser Webseiten nicht verantwortlich.