das hier ist interessant:
http://www.unc.edu/~cigar/papers/FileSh ... ch2004.pdf
fazit der sache: tauschbörsen erhöhen die verkäufe von alben / konzerttickets (und das kumulativ - ein neuer "fan" stößt durch das tauschen neue "fans" an, etc.).
Arte: Krise der Musikindustrie
Hi Leute !
Ich hatte wirklich ein entspanntes Wochenende bis ich heute früh in die Firma kam und als erstes ein Mail von meinem Provider gelesen habe:
Also hab ich heute gleich mal einen Systemcheck samt ckrootkit durchgeführt und auch gleich eines gefunden 
Ich will jetzt weder irgendjemanden hier etwas unterstellen oder gar jemanden beschuldigen, aber ich hoffe das Ihr versteht das ich das file nicht weiter online lassen kann und die Maschine offline schalte.
Patrick
Ich hatte wirklich ein entspanntes Wochenende bis ich heute früh in die Firma kam und als erstes ein Mail von meinem Provider gelesen habe:
Code: Alles auswählen
Sehr geehrter Kunde!
Bitte an den zuständigen Administrator weiterleiten!
Wie Sie diesem Mail entnehmen können wird Ihr System/Netz
benutzt um Angriffe zu starten und/oder Spammails zu verschicken!
Hierbei handelt es sich nicht nur um ein Sicherheitsloch
für Sie, sondern es entstehen auch Mehrkosten durch erhöhten Traffic!
Um dies zu vermeiden Überprüfen Sie bitte ihre Rechner
auf Viren/Konfigurationsfehler und Sicherheislöcher!
Sollten Sie mehrere unserer Anfragen über längere Zeit
ignorieren sehen wir uns gezwungen Sie bis auf weiteres zu sperren.
Mit freundlichen Grüssen,
inode Abuse Department
Ich will jetzt weder irgendjemanden hier etwas unterstellen oder gar jemanden beschuldigen, aber ich hoffe das Ihr versteht das ich das file nicht weiter online lassen kann und die Maschine offline schalte.
Patrick
Falls das jemand aus dem Forum war, möchte ich mich einfach im Namen des Forums dafür entschuldigen, obwohl dir das den Arbeitsaufwand nicht wieder reinholen wird. Vielleicht kannst du ja noch genauere Infos über den Einbruch herausbekommen. Vielleicht kommt die Email gar nicht wirklich von deinem Rechner (gefälschte Absenderaddressen gibts ja genug und falsche Warnhinweise auch) und der Rootkit war schon länger drauf oder ist unabhängig von der Aktion draufgekommen.
Falls das wirklich jemand von uns war, und er als Anfgriffspunkt deine genannte URL und Passwd benutzt hat, ist das wirklich aller tiefstes Niveau. Arbeit auf solch eine dumpfe Weise auszunutzen und zu zerstören ist das Allerletzte.
cu
Falls das wirklich jemand von uns war, und er als Anfgriffspunkt deine genannte URL und Passwd benutzt hat, ist das wirklich aller tiefstes Niveau. Arbeit auf solch eine dumpfe Weise auszunutzen und zu zerstören ist das Allerletzte.
cu
Das ist natuerlich sehr aergerlichHZB hat geschrieben:Also hab ich heute gleich mal einen Systemcheck samt ckrootkit durchgeführt und auch gleich eines gefunden
. Hast du ne Ahnung welcher Dienst kompromittiert wurde? eagle
"I love deadlines. I love the whooshing sound they make as they fly by." -- Douglas Adams
Ich habe mich etwas gewundert, warum Du Dich für einen ssh account entschieden hast. FTP hätte vollkommen gereicht. Es gibt ausserdem Methoden, einen ssh-Zugang auf sftp einzuschränken, wenn man auf die Verschlüsselung nicht verzichten will. Das hätte dem Hacker das Leben erschwert. (Vorausgesetzt, der sshd ist up-to-date).
Tip: suche im /tmp nach "versteckten" Dateien, deren Namen mit einem Punkt beginnen. Darunter könnten cache-Files vom Compiler sein, die vom Kompilieren des Root-Kits herrühren. Deren Timestamps könnten in Verbindung mit Deinem download-log-file (in /var/log/messages müssten Meldungen vom sshd sein) Hinweise liefern, wer dafür in Frage kommt.
Tut mir Leid, dass Dir diese Unannehmlichkeiten entstanden sind. In Zukunft anonymer vorgehen. Z.B. das File in ein P2P-Netz stellen und den donkey-link mitteilen.
Gruss basman
Tip: suche im /tmp nach "versteckten" Dateien, deren Namen mit einem Punkt beginnen. Darunter könnten cache-Files vom Compiler sein, die vom Kompilieren des Root-Kits herrühren. Deren Timestamps könnten in Verbindung mit Deinem download-log-file (in /var/log/messages müssten Meldungen vom sshd sein) Hinweise liefern, wer dafür in Frage kommt.
Tut mir Leid, dass Dir diese Unannehmlichkeiten entstanden sind. In Zukunft anonymer vorgehen. Z.B. das File in ein P2P-Netz stellen und den donkey-link mitteilen.
Gruss basman
Alles halb so schlimm. Der "Lustige" hat den sshd umkonfiguriert und wilde Attacken in die Welt geschickt. 80 % sind allerdings an der Firewall hängengeblieben. Einerseits ein wenig ärgerlich, andererseits wieder etwas dazu gelernt. Oder hätte ich sonst jemals das Coroner Toolkit in Verwendung gehabt ? Übrigens wirklich ein gutes Tool.
Ich hatte mich für einen ssh Zugang entschieden, da ich in der Annahme war, dass es für alle das einfachste ist. FTP ist gererell bei uns verboten und ich wollte nicht unsere Checkpoint umkonfigurieren. Der Rechner war ja auch nur für diesen Zweck abgestellt, also nicht wirklich ein Schaden.
Werd aber noch weiter die Platte untersuchen, weil die Forensik irgendwie Spass macht und die Tricks der Angreifer auch irgendwie wissenswert sind.
lG aus Wien
Ich hatte mich für einen ssh Zugang entschieden, da ich in der Annahme war, dass es für alle das einfachste ist. FTP ist gererell bei uns verboten und ich wollte nicht unsere Checkpoint umkonfigurieren. Der Rechner war ja auch nur für diesen Zweck abgestellt, also nicht wirklich ein Schaden.
Werd aber noch weiter die Platte untersuchen, weil die Forensik irgendwie Spass macht und die Tricks der Angreifer auch irgendwie wissenswert sind.
lG aus Wien
Wieviel Personen haben eigentlich einen Antrag auf die Zugangsdaten gestellt, d.h. wieviel Personen kommen eigentlich in Betracht dies Verbrochen zu haben. Ich bin der Meinung, wenn du es heruasbekommst wer da auf den PC sein Unwesen getrieben hast, dann sollte diese Person auch bestraft bzw. zumindest öffentlich genannt werden. Ich halte dieses Verhalten für außerordentlich schäbich.
-
emge
- Beiträge: 1525
- Registriert: 20.10.2003 22:05:46
- Lizenz eigener Beiträge: Artistic Lizenz
- Wohnort: 50° 45' 0" N 12° 10' 0" E
Ich weiss nicht, der Vorschlag riecht ein wenig nach Selbstjustiz. Wenn schon, dann konsequent sein und eine Anzeige gegen Unbekannt stellen und die Ergebnisse der eigenen Untersuchungen zugänglich machen.gloom hat geschrieben:Wieviel Personen haben eigentlich einen Antrag auf die Zugangsdaten gestellt, d.h. wieviel Personen kommen eigentlich in Betracht dies Verbrochen zu haben. Ich bin der Meinung, wenn du es heruasbekommst wer da auf den PC sein Unwesen getrieben hast, dann sollte diese Person auch bestraft bzw. zumindest öffentlich genannt werden. Ich halte dieses Verhalten für außerordentlich schäbich.
Ich würde mir z. B. nicht so sicher sein, ob ich mit meinen "Ermittlungen" passend liege und den Richtigen bezichtige.
Grüße, Marco
Beim Lesen von http://planet.debian.net/ fragte ich mich gerade inwieweit dieser Beitrag mit dem von hier in Verbindung stehen könnte? 
nagut, sicher sollte es schon sein, dass es sich um den Verursacher handelt. Selbstjustitz? Naja, weiss nicht, kann schon sein, das dies schon fast in die Richting zielt. Aber bei fester Sachlage wäre eine Stellungnahme des Täters schon interessant. Er muss sich doch im Klaren darüber gewesen sein, dass er Schaden anrichtet, so naiv kann doch keiner sein.emge hat geschrieben: Ich weiss nicht, der Vorschlag riecht ein wenig nach Selbstjustiz. Wenn schon, dann konsequent sein und eine Anzeige gegen Unbekannt stellen und die Ergebnisse der eigenen Untersuchungen zugänglich machen.
Ich würde mir z. B. nicht so sicher sein, ob ich mit meinen "Ermittlungen" passend liege und den Richtigen bezichtige.
Ich finde es halt verachtenswert, wenn jmd die Gefälligkeit von anderen (auch auf Kosten der Community, denn das Patrick nochmal so freundlich ist, Daten auf seinen Rechner anderen hier zu Verfügung zu stellen, bin ich mir nicht so sicher) so ausnutzt.
Aber im Grunde liegt es an Patrick, wie er die Sache weiterverfolgt. Er ist der Leittragende dieses Vorfalls.