Wie man die Desktopnotifications für Updates los wird

Vor einigen Wochen habe ich GEDIT F21 auf die F20 Version gedowngradet, weil das Programm unerträglich unbrauchbar gemacht wurde. Seitdem Tag nervt mich der Desktop mit Notifications, daß genau dieses Paket komplett veraltet sein und ich doch die Updates einspielen solle.

Natürlich hatte ich YUM erzählt, die Updates nicht einzuspielen. Für die Desktopanwendung „Software“ aka PackageKit gilt die YUM Einstellung aber nicht, die macht das gerne selbstständig. Da PackageKit keine Configeinstellungen dafür parat hat, kann man es nur als Root abschalten :

systemctl stop packagekit
systemctl disable packagekit

Bevor man das macht, sollte man sicherstellen, daß man so einen CronJob z.b. als /etc/cron.d/yum angelegt hat:

 1 */2 * * * root yum -y update >>/var/log/messages

Sonst kommen nämlich gar keine Updates mehr an und das möchten man gar nicht haben.

Viren mit Minimalanschreiben

„Guten Tag.Dokument“ und ein ZIP File, das ist alles was man heute bekommt, wenn man von Kriminellen mit Schadsoftware per Email beglückt wird.

Schlechte Zeiten für Emailanalysten wie mich, oder doch nicht ? 🙂

Received: from atlantic704.dedicatedpanel.com (50-78-157-221-static.hfc.comcastbusiness.net [50.78.157.221])
(Authenticated sender: u000458)
by mx2.bredband2.com (Postfix) with ESMTPA id A4532235FE
for ; Wed, 22 Jul 2015 03:34:13 +0200 (CEST)

Spannend wird es allerdings, wenn man mal die Domain aufruft, die als Servername beim Absenden des Virus benutzt wurde:

http://atlantic704.dedicatedpanel.com/

Es erscheint eine Liste mit IP Adressen und Portnummer:

216.244.65.203:1080
212.57.179.29:2214
202.119.199.147:1080
?90.?7.2?4.4?:80?0
?0.2?0.2?2.6?:24?84
?90.?03.?98.?75:?080
?19.?7.1?1.1?7:1?130
?0.2?0.2?2.9?:33?19
?20.?4.2?2.1?4:8?80
?19.?10.?7.2?0:8?80
?90.?18.?9.2?2:3?28
?90.?44.?28.?98:?128
?90.?4.2?4.3?:80?0
?23.?03.?3.1?6:3?948
?19.?7.1?1.1?9:1?305
?77.?4.1?3.3?:31?8
?18.?2.2?7.1?0:1?279
?90.?7.7?.16?808?
?01.?11.?40.?6:8?80
?90.?05.?22.?8:8?80
?01.?09.?55.?5:8?80
?86.?8.1?8.6?:80?0
?0.2?0.2?2.6?:10?46
?23.?52.?3.2?7:3?965
?83.?32.?5.4?:13?89
?86.?3.1?1.1?2:8?80
?90.?07.?60.?41:?080
?00.?4.6?26:?080
?90.?06.?1.2?2:8?80
… geht noch 12 Bildschirmseiten weit runter…

Da nur wenige IPs vollständig sind, schauen wir uns die ersten drei mal an :

216.244.65.203:1080 ( sb4umail21.info )
212.57.179.29:2214 ( Instrument-making factory of City of Trekhgorny
)
202.119.199.147:1080 ( China University of Mining and Technology
)

202.119.199.147:1080 und 216.244.65.203:1080 scheinen jeweils ein SOCKs Proxy zu sein. Leider kann man die Ports aus Deutschland nicht erreichen, da die Dienste wohl abgeschaltet sind.

Da auch der RDQ ( steht für Relational Databases and Query Language ) Port 2214 nicht antworten möchte, kann man nur spekulieren, was diese Liste darstellen soll.

Vielleicht bekommt ja der eine oder andere Neugierige raus, was das darstellt und wieso die Ips verstümmelt sind. Das mir das jetzt keiner als Aufforderung zu einer möglichen Straftat missversteht, klar!

Die Sudomains atlantic70X…. führen übrigens zu den merkwürdigsten Seiten u.a. auch Webseiten von Switchen 😉 Wenn man mal mehr Zeit hätte 😉