11.12.2016 12:47
Die
Angriffe die ich auf SSH habe sind keine abgestürzten dienste. Das
erkennt man im Log daran daß eine Liste verschiedener Usernamen benutzt
wird um sich anzumelden. Ein Script das irgendwo einen SSH-Tunnel
aufbaut oder so würde einen einzigen Usernamen verwenden oder einen
PreSharedKey.
http://www.banktunnel.eu/ssh-hack-20161117-dus.tar.bz2 ( oder
alternativ: http://www.take-ca.re /ssh-hack-20161117-dus.tar.bz2
)
~~~
c/o heißt CARE OF und soviel wie z. Hd. zu Händen (von). Um
sicherzustellen daß mit Domains kein Schindluder betreiben wird laufen
KK-requests immer bei denen auf die über Vetragsasbchlüsse im Bilde sein
müssen, der technischen Geschäftsführung. daher wurden bei NICs von uns
sofern es nichtd en Doaminhaber angeht (?REG-C:?) generell
Kontaktangaben gemacht wie
FIRMENNAME KUNDE UND DESSEN GESELLSCHAFTSFORM
c/o unsere Firma
unsere Anschrift
PLZ Stadt der zustädigen Nierdalssung
so sollt Domain Hijcaking wie esd amals häufiger vorkam vermieden
werden, die Politik hierbei ist jede KK-Anfrage abzulehen für die keien
VORHERIGE Kundenfreigabe beiusn vorliegt. Jtzt ist es so daß im
berich der interentfprofis viel auf UNIXsystem etwavon SUN/IBM oder hP
areiten. Dort gibt es oftmals probleme mit der richtigen Drastellung von
zeichesätzen die üer 7-Bit AscII (CP437) hinausgehen, isnebodere auf
der Konsole in iener Shell etwas bei der Komandozeilenverion von whois.
Niemd der greade auf eein Router eingelogt ist und ein whois emulirt
indem er ne telnet Session auf Port 43s atrte oder was Netcat ähnliches
nutz installert da zig wenn nicht gar hunderte meabytes an codepages. Um
dem rechnung zu tragen erlauben wir auch in Nic oder Ripe Eintraegen
egenrell keien Sondezeichenwie Umlaute sondern validierten auf den für
domainnamen zugelassenen zeichensatz ?[A-Za-z0-9.-]?. Als das ganze in
der entwikclungspase war wrudne soderzeichen wie der Schrägstrisch slach
druch ein anderes zeichen ersetzt das anziegen sollte daß der String
der avlidierung nicht mit dem string der beutzerEingabe
übereinstimmt.
?c/o? != ?c?o?
Beim DNS:net Robot wurde daraus ein S wie Siegfried.
Das ist den damaligen Enwtiklcungstadien der Robts geshculdet daß da
oftmals cSo drinnestand. Das aht aber ncihstd amit zu tun dass gerade
die Spezailisten für Adressen sichd adruch hervortaten daß Sie ihre
Adressen beid er denic nach einem Umzug im realen Leben in der offline
welt nicht einpflegten. Das ahte also mit usneren ?tch-c? und ?zoen-c?
Kontakte nichts zu tun.
~~~
Ich hab mich auch mal darüber aufgegert daß man beim Tippen in den
Visaul basic umgebungen von Microft unsinnigerweise beim Synatx
Highlighting nervende Warnungena gezeigt bekommt wenn nichtalle Klammern
bereits im Tippen geshclossen sind, was man nur dadruch ändernkann
indem man zuerst die schließsende klamer tippt udn dann den rest davor.
Schaltet man das festure ab dann hat man das problem daß man in
Komplexen unübersichtlichn Code-Kosntrukten die schleißenden Klammern
vergessen kann. Es gibt da keien
optimalen weg. Syntax highligthing ist Sch**SZe beim tippen, ohne Syntax
Highlighting verliert man die überciht bei den Klammer-Ebenen udn ich
ahsse es wenn eine anweisung über mehrer Zeilen umgebrochne ist weil es
die lesbarkeit des Codes erschwert. Oftmals sucht man, wennan per Copy
and Paste ein Codegement nachpfegt daß an meheren tellen eigfügt wrden
muss nachher eien fehlende oder zuviel gesetzte Klammer. Gerade bei
HTML/PHP/ASP istd as nervig weil aufgrund der ?RUNAT="CLIENT? und
RUNAT=?SERVER? quelltextmsichung um es mal mit Netscape/Jacascript-
Sprech zu formulieren der Code für eien Mchine quasi kaum noch lesbar
ist. (gehört die schließende Klammer zum Sreevrsiteigen Script oder dem
cleinsteitigen javascript). Tools wie Dreamwaver zerhacken dafür das
problem zu lösen den sauber formatierten Origanalquellcode. Der wrd ja
nicht ohne Grudn sauber formatiert sodnern weil er mt Datenbanken
interagierne muss.
~~~
alle usnere kudnen waren damsl über das netz 10.10.10.70 über IPsec
von userem Büro aus erreichbar aber sie konnten sich nicht untereinander
sehen. Auf Anraten von D.G seiens zeichen Sysops bei ?WEEKDAY SOCKS (http://ws2-media3.tchibo-content.de/newmedia/art_img/MAIN_HD-IMPORTED/87bfa6a6945f1f2b/7-paar-socken-mit-wochentagen.jpg)
mit T wie Theodor? hatten wir VNC, auf den RF1918 adressen Listenend im
Einsatz und man konnte eien FTP-Server zuschalten der mit ?QUTE SITE
EXEC? für den fall daß man das administarorpassort kannte es ebenfalls
eruabte kommandos auszuführen. Das hat mich mal gerettet als ich per
Transfer des Tools ?WinKick.exe? (Für UNIxer so ne art ?shutdown -r now?
und dessen Ausführung per Quote Site Exec eein rebot auslösen konnet
der emeien Abgestürzten Fernwartunsgdienst auf eien entferenten srever
wieder zum ?leben? erwwckte, soclhe abckdoorshaben druchus ihren Sinn.
Im nachhineien stellt sich das as ?TROJANER? heraus. Denn man konnte ja
über VBScript den Internet.Explorer fernsteuern. Es gibt da auch noch
ander möglichkeiten mit Appactivate dun Sendkeys aus anderen Sprachen
udn für andere Browser doer Apps heraus. Gefährlich heirbei ist daß man
Programm ?non interactive? ausführen kann also so daß der User nicht
sieht daß imHintergrund ein wzeiter Explorer werkelt. Set objIE = CreateObject(?InternetExplorer.Application?)
objIE.Navigate ?http://www.konkurrent.com/steleauschreibung/?
Das kann man durchaus verwenden um ohne dessen Wissen eienmKollegen für
ihn unschtbar den Browserverlauf vollzuschreiben. Nach der ausführung
löscht man das dann noch als Hacker. de Traffic innerhalb des VPNS
tauchte ja nirgends auf, er wurde nichtienmal genNATed. Die Zigriffe auf
Port 5800 udn 5900 ebenswoenig oder die auf den FTP für das quite site
exec oder den tarnsfer eies scripts falls amn es nichts chnell per copy
udn paste per vns ?schreibt?. Man hätte also jedem belibiges inseien Browerverlaufschreiebn können.
~~~
J:o)erg. Bei dem GRie SOSS Festival muss ich an deiene legendären
hadnkaäs essen denken für die Du handkase.de regsitriert ahtetst.
Nichtdestotrotz. in meeirn abwesenhet wollte ichkeien hwardwaregschäfte
getätigt haben, einfach weil man das immer sofort bezahlen usste udn
ich keein Kontovollmachtausstellenwollte. Dennoch stand nahc emeirn
abwesenheit ein Paket mit eienm rehner rum von dem sich ehruastellte
dass du ihn bestellt ahtetst. Der eigtnlcieh grudn des zerwuerfnsses aber
war eien andere. Wir hatten Im Krhaus eien srever seehen mit zwo
Etheret-Segmenten der folglich über wzo netzwerkkarten evrfügte. Das war
eein elndige rumksnfuiguerireie auf dem Plug and pray BIOS gewesen. Nch
eienr ancht langa rbeit hatte ich dann endlich beide Karten soweit daß
sie fultionerten, die Treiebr der emeisten hereteller sind schlampig
progarmmerit wenn man mehr als eienKarte eisnetzt, teils site es gar
nicht möglich. (Avm etwa verkaufte so die aktive B-ISDN Karte für ca.
1.000 DEM weil mehere passive Fritz-Karten füt 100 Euro sich
einfachnicht per Treiebr parallel aktivieren ließen unter Windows NT).
Nächtelang hatte ich dafür egsorgt daß die ihre Grafikarbeitsplätze an
einem eigen Kollisionsfreien Segment mit dem Server anshcließen konnten
Es war ncoh irgendeien kleinigkeit zu machen udn ich sagte ausdrücklich
FUMMEL UM HIMMELS WILLEN NICHT AN DEN KARTENTREIBER DOER DEN BINDINGS
HERUM. Das war ne nächtelange ocheseimitregsitry ditor etc. egwesen.
Es kam - aufrgudn herumspielen an den treibern - wie es kommen musste.
Ich drufte den ganzen Server neu aufsetzen (die regsityr ?verschluckte?
sich bei den Treibern was ohne Neuinstalltion nicht ZUVERLÄSSIG sondern
allenfalsl wacklig lösbar ist, ich hasse diese Backup-eisnpiel Lösungen
weil mn abda niemerh weiss welchen Teil der Kinfigurationen die registry
geshclckt hat und welchen teil nicht) Dennoch vilen Dank dafür
daß du mir wohl eein akte wien egschickt attest was bei mir nie
angekommen ist. Den Korkenzieher aber der ebilag hab ich bekommen.
~~
a propos Problem aus dem letzten Jahrtausend: BINGO = Bullshit
man konnte mir seitens ?Start? keine Layer-1 und Layer-2Infos geben sondern wollte irgendwelches CHAP(v2???) wohl als (synchornes oder asynchorens) PPP zwecks verbindugsdebug auf dem ISDN-Interface sniffen!
ftp://ftp.lancom.de/LANCOM-Releases/LC-OPTIONS/LC-OPTION-LEASED-LINE-MANUAL-DE.pdf
https://www.lancom-systems.de/docs/LCOS-Refmanual/9.10-Rel/DE/topics/aa1188630.html
Für mP kornberg habe ich eien RAWHDLC Wählanbindung zwichen Lancom 4000 und einer Linux Möhre amlaufen gehabt die sich per Rufnummer authentifiziert hat udns ich das ganze PPP/(CH|P)AP gGeraffelbeim verbindusgaufbau sparte. Obgelichd as ne Wählverbindung mit mehr als 10 km länge war konnte man ein ping stezen ohen daß es autimte wiel die verbinfung SOFORT da war das hatte fast standleitunsgqualität, anders als das was sie i mit ihren Bingos da absteln. Das beduete daß man auf den ISDN-Interfaces im Layer 2 udn 3 alles abschaltet was geht. Das Spart meherer sekunden bei jemdem ISDBNVerbidnunsgaufbau wobei der este auf 1000ms festeglegte teimut von Windows sonst mindestens ein, wenn nciht zwo mal pro neu gewähter PPP Verbindung auftritt. Je nachdem ob ich ein TRANSPARENTES Layer einstelle sehe ich u.U. eben entweder ppp und chap oder sowas wie schlimmsten- falls (fehkonfiguration) PPPOE Frames die ein CHAP enthalten satt einem CHAP vo dem ich auch nicht weiss welche Version, die POPTOP/PPTP-Linux Implementation kennt mehrer Unterarten.Ich war damals kurz davor denen ne gute ELSA Lancom zu schenken bei ?Start"t damit der vebindungsaufbau auch schell klappt dank CLIP/CLIR als Authetifizierung und (transparenten/ RAW) Layern. Einstellmöglichkeuten bei (Elsa) Lancom:
https://www2.lancom.de/kb.nsf/1275/1032525E4C56D421C1257FD500300CA2?OpenDocument
~~~
T*C AS1*84* verkauft Internetzugänge und betreibt eigene
Übetragungsweg anders als wir die keine eigenen Übertragungswege
betreiben sondern VPNs zumieteten oder Standleitungen auf den VPNs
liefen. Wir varkauften providerunabhägige Gateways zur anbindung an bei
uns gehosteter Server. Das beduete wir sind bei unserer Kundschaft auch
für die LAN-Schnitstellen-Seite zuständig gewesen. Wer nun eien FAIR-FLAT verkauft bei der ebstimmte Dienst ewta P2P-FILESHARING Platformen verboten
sind der muß in die Datenpakte seiner Kunden reinschauen um
vetragsverletzungend ruch TASUCHBÖRSENTRAFFIC zu finden. Beispile: Anruf
Thoms G. Ich solle dem Betriebsrat seien Anshcluss abstellten, er
betreieb daran eine externe Platte de er eienr tasuchbürse zur
verfügungs telle. IN Datenpakate allerdings sollte ein provider nicht
reisnchauen. Das ist was anders bei denen die die gateways betreiben,
meist der lokale Adminstrator/Supervisor, die haben sowieso zu allem
Zugang udnd as weiß auch jeder ind er Firma, de ahben da Kraft ihres
Jobs konkludent die genehmigung zu. Denjenigend er das amcht - auch
Extrene - kann man sich ja frei aussuchen als Unternehmen.
Wer FAIR Falt anbietet der sagt damit schonaus daß er inhaltsmäßig
seien Traffic durchsucht. Spätestens beim druchleitenaus eienem anderen
ÖFFENTLICHEN AS (also <= AS64511) sollte das zudem gegen die Auflagen
verstoßen wenn amn traffic weitterricht. Man stelle ich analog mal vor
dei Münchenr stadtwerke udnd ei Hamburegr Stadtwerke hättenjeweils
eiegen rovider, sagen wir M-NET usnd H-net. udn wzsichenbeiden läge das
AS der DTAG wo sie irhen Traffic tasuchen. ich galueb nicht daß es der
DTAG erlaubt ist da reinzsuchauen. Ich hab meien Konstelaltion
echtlich imemr so gestaltet daß ich LAN_seitig die üebrgabe mache udn
daß ich Intenetseitig nur aus dem eigenen ÖFFNTLICHEN (EBGP greouteetn)
AS als letztem Hop Traffic magae oder Leitungen nutze wo ich der
Endkudne bin. ospare ich ir das ganze Providerregulariongreaffel weil
ich sinngemäß nichts anderes gewesen bin als ein extrener Sysop der ein
Mietgerät zur vefügung stellt aber ekin Provider. Das backboneunabhägige
Dialbackup oder WIRELessBackup was ich as UNIQUE SELLING POINT zum VPN
anbot war ja anbindung an deneigene sreevr. Udn Srever hosten darf ich
wiederum rechtlich.
~~~
C.A von MW MM hatte auf deren Server so weit ich weiß PERL als
zusätzlihe Skriptsprache installiert. Ich vermute die Differenzen im
Traffic in Interfacestatistik und Webserverlog könnten von einem
HTTPTunnel auf Perl-Basis herrühren. S:M. von MP berichtet daß auf
seinen Linux Proxy Angriffe aus eienm netz bei ARCOR erfolgt seien.
[0] "201612111247-154328784338-0.jpg"
|
