>Info zum Stichwort 3points | >diskutieren | >Permalink 
Hagbard schrieb am 19.9. 2001 um 23:51:13 Uhr über

3points

Analyse der Angriffe auf den Blaster-Server
Am Sonntag den 9. September 2001 wurde ab 10:09:22 auf verschiedene Art und Weise versucht, in den Server des Assoziations-Blasters einzudringen. Gleichzeitig wurde eine sog. Denial-of-Service-Attacke gestartet, es wurde also versucht, den Server lahm zu legen. Es kam die »NT INETINFO.EXE 100% CPU Utilization«-Attacke zum Einsatz, die wie der Name schon sagt gegen Microsoft-Server wirkt, wir arbeiten schon lange mit Unix. Insgesamt verschickte unsere Schutz-Software 1501 »Alerts«.

Die Quell-IP-Adresse dieses Angriffs war 62.133.28.231, der entsprechende Nameserver-Eintrag lautet auf bate.de. Die IP-Adresse des 3Points-Webservers lautet 62.133.28.230 und unterscheidet sich damit vom Angreifer nur um eine Ziffer.

Der Provider wurde über den Missbrauch bereits Sonntag Abend informiert.

Der Inhaber der Domain »bate.de« ist laut DENIC ein gewisser Marco Kaiser.

Eine Suche mit Google ergibt, dass ein »Marco Kaiser« <kaiser@3points.de> vor einiger Zeit diverse technische Fragen in Mailinglisten stellte.

In den Meta-Tags der 3Points-Homepage steht (Stand 11.9. 2001, 0:45 Uhr) ein gewisser Marco Kaiser als Autor ...

Montag, 10. September 2001: Wir erhalten gegen 22:30 Uhr eineinhalb Dutzend Mails eines Porno-Anbieters, aus denen hervorgeht dass jemand unsere E-Mail-Adresse in mehrere tägliche Porno-Newsletter eintragen wollte. Da Dragan keinen gescheiten darunter fand und Alvar glücklich verheiratet ist, hat uns das nicht viel Freude bereitet.

Nahezu gleichzeitig wird wieder versucht, in den Server des Assoziations-Blasters einzudringen, diesmal deutlich massiver. Es gab mehrere Versuche »root«-Zugriff zu erlangen, also die volle Kontrolle des Systems zu übernehmen. Gleichzeitig Portscans und wiederum versuchte DoS-Angriffe nach dem schon vom Vortag bekannten Muster.

Die IP-Adresse des Angreifers war die Adresse einer Arcor-DSL-Leitung. Von der gleichen IP aus wurden kurz darauf mehrere abstruse und seltsame Beiträge in das Forum der Offline-Protest-Seite gesetzt. Ein genaueres Recherchieren ergab, dass in den HTTP-Kopfzeilen des Nutzers u.a. der folgende Eintrag zu finden ist:

HTTP-Via: 1.0 voyager.intranet.3points.de:3128 (Squid/2.3.STABLE3)

Dies ist ein typischer Eintrag eines Squid-Proxy-Servers, der auf einem Rechner namens »voyager.intranet.3poins.de« läuft. Genau der gleiche Eintrag war übrigens auch bei den 3Points-Mitarbeitern zu finden, die sich im Forum als solche zu erkennen gaben.

Somit wurden von einem Rechner, der offensichtlich »voyager.intranet. 3points.de« heisst, Attacken gegen den Server des Blasters gefahren. Dieser Server gehört der Merz Akademie und hostet viele studentische Projekte.

Es bleibt jedem selbst überlassen, die entsprechenden Schlüsse aus diesen Angaben zu ziehen.

Quelle: http://www.assoziations-blaster.de/attacke.html


   User-Bewertung: +6
Oben steht ein nichtssagender, langweiliger Text? Bewerte ihn »nach unten«, wenn Du Bewertungspunkte hast. Wie geht das?.

Dein Name:
Deine Assoziationen zu »3points«:
Hier nichts eingeben, sonst wird der Text nicht gespeichert:
Hier das stehen lassen, sonst wird der Text nicht gespeichert:
 Konfiguration | Web-Blaster | Statistik | »3points« | Hilfe | Startseite 
0.0111 (0.0055, 0.0042) sek. –– 849833007