wie Angreifer ausforschen?

Re(2): wie Angreifer ausforschen?

Dennis666 — Sat, 29 Nov 2003 19:11:26 GMT

bevor du Paronoia bekommst, möchte ich dir dein Algorithmus vorstellen, wie sich W32Blaster fortpflanzt:
Er generiert eine IP-Adresse und versucht, den Computer mit dieser Adresse zu infizieren. Die IP-Adresse wird anhand der folgenden Algorithmen generiert:

* In 40 % der Fälle wird die IP-Adresse nach dem Schema A.B.C.0 generiert, wobei A und B den ersten beiden Teilen der IP-Adresse des infizierten Computers entsprechen.
Quelle: Security Response Symantec

Re: wie Angreifer ausforschen?

dingsbums — Sat, 29 Nov 2003 18:58:01 GMT

Gestern schrieb ich noch dass der sich hinter einem Firewall versteckt.

Heute kann ich sagen, durch Mithilfe eines Profis, der Blaster Wurm Sender ist aus gemacht. Und, nichts ist mit falsche Hostadresse oder so. Der Sender gab sich in der Registry selbst die Blösse mit seiner Hostadresse.

Die Domain 4t.com
ist registriert wie folgender Auszug zeigt:
#######################################################
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
AAAQ Whois Server Version 1.0

   Domain Name: 4t.com
   Registrar:   AAAQ.COM
   Whois Server: whois.aaaq.com
   Referral URL: http://www.aaaq.com
   Name Server: ns1.freeservers.com
   Name Server: ns2.freeservers.com
   Status:      Active
   Updated Date 2003-11-13
   Creation Date: 2003-11-06
   Expiration Date: 2005-10-08
Registrant:
Sherry Johnson  sherryjohnson03@yahoo.com
137 Heberton Avenue

SI, NY 10302

718-981-4123   Fax:

Administrative Contact:
Sherry Johnson sherryjohnson03@yahoo.com
137 Heberton Avenue

SI, NY 10302

718-981-4123  Fax:

Technical Contact:
Administrator DNS administrator@siteprotect.com
1 N State Street
12th Floor
Chicago, IL 60602

312-236-2132 Fax: 312-236-1958

Billing Contact:
Sherry Johnson sherryjohnson03@yahoo.com
137 Heberton Avenue

SI, NY 10302

718-981-4123 Fax:
#######################################################
MEIN MAIL AN DEN WURM SENDER :
From the Domain http://www.hidro.4t.com  IP: 208.185.127.169

becomes the virus Worm W32.Blow (msblast.exe) and (enbiei.exe) spreads.

I found the Domain in the installation Windows Regedit.
we User are not stupidly and don't find the address of virus station!

Domain 4t.com

one registers like following departure shows:
The Registry database contains ONLY .COM, .NET, .EDU domains and

Registrars.

AAAQ Whois servers version 1.0
   Domain name: 4t.com

   Registrar:   AAAQ.COM

   Whois servers: whois.aaaq.com

   Referral URL: http://www.aaaq.com

   Name servers: ns1.freeservers.com

   Name servers: ns2.freeservers.com

   Statuses:      Active

   Updated Date 2003-11-13

   Creation Date: 2003-11-06

   Expiration Date: 2005-10-08

Registrant:

Sherry Johnson sherryjohnson03@yahoo.com

137 lifter-clays avenue

SI, NY 10302,

718-981-4123 faxes:

Administrative Contact:

Sherry Johnson sherryjohnson03@yahoo.com

137 lifter-clays avenue
SI, NY 10302,
718-981-4123 faxes:
Technical Contact:

Administrator DNS administrator@siteprotect.com

1 N State Street

12th Floor

Chicago, IL 60602,
312-236-2132 faxes: 312-236-1958

Re: wie Angreifer ausforschen?

dingsbums — Fri, 28 Nov 2003 23:18:16 GMT

Spielerei hat auch seine Grenzen!
Wenn der Angreifer hinter einem Hardware Firewall sitzt kannst Du vielleicht noch den Hostnamen herausbekommen aber dann ist Feierabend. Dann weisst Du immer noch nicht wie seine volle Anschrift ist! Die bekommst Du mit Visual Router heraus.

Arbeite mit Visual Tracer. Active Whois, eMail Tracer und spreche aus Erfahrung.

So´n netter Kumpel, nennt sich http://www.hidro.4t.com IP 208.185.127.169
ist Sender vom msblaster exe - Blaster Wurm
fand die WEB Adresse in der regedit heraus.
Mein Archiv über "Angreifer" umfasst bereits 4 DIN A4 Seiten - aus allen Herrenländer - die meisten mit voller Anschrift.

Um dies mal zu sagen

Übrigens der Blaster Wurm kommt auch als < enbiei.exe > !

DINGSBUMS
von Nebenan

Re(4): wie Angreifer ausforschen?

Wolle190480 — Tue, 18 Nov 2003 11:24:14 GMT

*lol* na dann hoff ich dass ich im sinne des Erstposters, dass ich Unrecht habe AUA das kann schmerzhaft sein LG Wolfgang

Re(3): wie Angreifer ausforschen?

MG — Tue, 18 Nov 2003 10:52:52 GMT

Mag sein. Da ich kein Windows verwende kenne ich die idiotien der Application Level Firewalls nicht.
Wenns dann tatsächlich so sein sollte, gehört der Erstposter dieses Threads aber geteert und gefedert.

Re(2): wie Angreifer ausforschen?

Wolle190480 — Tue, 18 Nov 2003 10:35:33 GMT

kommt diese meldung nicht, wenn man ein programm updated und dann den traffic blockiert? LG Wolfgang

Re: wie Angreifer ausforschen?

MG — Tue, 18 Nov 2003 10:29:39 GMT

> Bemerkung "Executeable File Change Denied"

Wäre interessant zu wissen, was deine "Firewall" damit meint.

Re: wie Angreifer ausforschen?

ufo12 — Mon, 17 Nov 2003 19:07:46 GMT

meine antwort von chello bezüglich einer beschwerde:
(angreifer aus dem chello netz)

Sehr geehrte Dame,
Sehr geehrter Herr,

Um diesen Fall ordnungsgemaess zu bearbeiten, duerfen wir Sie bitten alle zu diesem Vorfall notwendigen Logfiles / Nachweisdaten an uns zu uebermitteln.

Diese Daten sollten vor allem folgendes umfassen:
*) IP-Adressen der Verursachers
*) IP des Systems / der Systeme auf die zugegriffen wurde
*) Ports auf beiden Seiten (Quell- und Zielports)
*) Datum + Uhrzeit (hh:mm:ss) inkl. verwendeter Zeitzone (Mit welcher Zeitbasis/Zeitserver wird diese abgeglichen?),
*) alle Zugriffsanfragen einzeln / fuer eine einzige IP gesammelt
*) Bei Zusammenfassungen unbedingt die Dauer des Intervall angeben + Anzahl der Zugriffe, etc. (sollten nicht mehr als 1/2h ueberschreiten)

Aufgrund beweissichernder Massnahmen, gesetzlicher Vorschriften und damit keine unberechtigten Vorwuerfe vorgebracht werden, muessen wir auf beweis- und aussagekraeftige Daten bestehen.

Dies bedeutet allerdings NICHT, dass ihre Meldung keine Basis hat oder wir sie nicht erst nehmen wuerden!

Hochachtungsvoll
Ihr chello Abuse Team

Re(2): wie Angreifer ausforschen?

Psychopath — Sun, 16 Nov 2003 12:15:45 GMT

Jo - weil RIPE nur fuer den europaeischen Raum (und einige andere Gebiete) ist. hier sind die anderen angefuehrt.

Re(5): wie Angreifer ausforschen?

bimpf — Sun, 16 Nov 2003 11:20:32 GMT

naja hab jetzt auch ein wenig zu dem Wurm gefunden:

http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_RANDEX.Q

also der "Angreifer" muss gar nichts davon wissen. vielleicht hab ich ja auch schon einige andere angegriffen.

is aber ziemlich unguat, wenn man sowas am pc hat. ich fühl mich jetzt so verletzlich ..

sollte jetzt aber damit:
http://www.trendmicro.com/download/dcs.asp
und damit:
http://www.trendmicro.com/download/pattern.asp
herunterinstalliert worden sein. *hoff*

kann aber zu meiner verteidigung sagen, dass ich nicht outlook express verwende, immer wenn ich was davon gehört habe ein internet explorer/windows xp update gemacht habe und keine mir verdächtig erscheinenden dateien geöffnet habe.

Re(4): wie Angreifer ausforschen?

Tom2k — Sun, 16 Nov 2003 11:08:14 GMT

das ärgerliche ist ja, dass ich in letzter zeit ca. 15-20 trojaner und backdoor-sachen

daran bist du aber sicher auch nicht ganz unschuldig
viell. sind dass halt einfach noch zugriff-versuche auf deine trojaner.
beschweren bringt meiner meinung nach nix...

lg
tom2k

Re(4): wie Angreifer ausforschen?

rudi_ibk — Sun, 16 Nov 2003 11:08:03 GMT

schau mal hier nach, dann weißt es genau!
http://www.de.sophos.com/virusinfo/analyses/w32randexq.html

Re(3): wie Angreifer ausforschen?

bimpf — Sun, 16 Nov 2003 11:03:09 GMT

das ärgerliche ist ja, dass ich in letzter zeit ca. 15-20 trojaner und backdoor-sachen (ist sowas ähnliches wie ein trojaner, oder?) oben hatte und eigentlich erst deshalb die firewall installiert habe.
und der eine angriff war gestern schon mal und heute noch einmal und wer weiß wie oft vorher schon. und er wollte immer eine datei ändern. die datei hat dann auch immer probiert ins internet zu kommen. name der datei war: musirc4.71.exe - denk nicht, dass ich die installiert habe.

Re(2): wie Angreifer ausforschen?

TheTrumpeter — Sun, 16 Nov 2003 10:42:28 GMT

> bringt es etwas, wenn ich mich bei der Adresse, die im whois-Entrag
> steht beschwere? schaut so aus, als ob das ein internet-provider ist.

Würd' mal sagen, solange Dir nichts passiert, sprich die Firewall alles abfängt, kann's Dir egal sein, oder? Was meinst Du, was die Provider zu tun hätten, wenn die jedem potentiellen Angriff nachgehen müssten?!

Re: wie Angreifer ausforschen?

the-mk — Sun, 16 Nov 2003 09:52:35 GMT

In der Regel (= wahrscheinlich nicht oft) kann man dort ( http://www.ripe.net/db/whois/whois.html ) mehr über die IP rausfinden.

Habe mal konkret die IP genommen, die du angegeben hast, und über die findet man nicht wirklich was raus... leider...

Über die http://www.geizhals.at -IP findet man schon was raus

Re: wie Angreifer ausforschen?

bimpf — Sun, 16 Nov 2003 09:48:50 GMT

hab gerade gesehen, dass die Firewall das mit "Backtrace" und "whois" machen kann.

bringt es etwas, wenn ich mich bei der Adresse, die im whois-Entrag steht beschwere? schaut so aus, als ob das ein internet-provider ist.

wie Angreifer ausforschen?

bimpf — Sun, 16 Nov 2003 09:31:37 GMT

hi!

mich versucht immer folgende ip-adresse anzugreifen: 66.98.168.214 . also denk ich mir das so, weil in der firewall schon zweimal die adresse steht und als Bemerkung "Executeable File Change Denied".

würd gern wissen wer bzw von wo der ist. kann aber nur ping und tracert. tracert hüpft ziemlich oft hin und her und ist dann denk ich mir in amerika.

gibts da noch andere spielereien, damit man mehr über die ip rausfinden kann?

bimpf