Category Archives: Internet

Viren mit Minimalanschreiben

Posted on by

„Guten Tag.Dokument“ und ein ZIP File, das ist alles was man heute bekommt, wenn man von Kriminellen mit Schadsoftware per Email beglückt wird.

Schlechte Zeiten für Emailanalysten wie mich, oder doch nicht ? 🙂

Received: from atlantic704.dedicatedpanel.com (50-78-157-221-static.hfc.comcastbusiness.net [50.78.157.221])
(Authenticated sender: u000458)
by mx2.bredband2.com (Postfix) with ESMTPA id A4532235FE
for ; Wed, 22 Jul 2015 03:34:13 +0200 (CEST)

Spannend wird es allerdings, wenn man mal die Domain aufruft, die als Servername beim Absenden des Virus benutzt wurde:

http://atlantic704.dedicatedpanel.com/

Es erscheint eine Liste mit IP Adressen und Portnummer:

216.244.65.203:1080
212.57.179.29:2214
202.119.199.147:1080
?90.?7.2?4.4?:80?0
?0.2?0.2?2.6?:24?84
?90.?03.?98.?75:?080
?19.?7.1?1.1?7:1?130
?0.2?0.2?2.9?:33?19
?20.?4.2?2.1?4:8?80
?19.?10.?7.2?0:8?80
?90.?18.?9.2?2:3?28
?90.?44.?28.?98:?128
?90.?4.2?4.3?:80?0
?23.?03.?3.1?6:3?948
?19.?7.1?1.1?9:1?305
?77.?4.1?3.3?:31?8
?18.?2.2?7.1?0:1?279
?90.?7.7?.16?808?
?01.?11.?40.?6:8?80
?90.?05.?22.?8:8?80
?01.?09.?55.?5:8?80
?86.?8.1?8.6?:80?0
?0.2?0.2?2.6?:10?46
?23.?52.?3.2?7:3?965
?83.?32.?5.4?:13?89
?86.?3.1?1.1?2:8?80
?90.?07.?60.?41:?080
?00.?4.6?26:?080
?90.?06.?1.2?2:8?80
… geht noch 12 Bildschirmseiten weit runter…

Da nur wenige IPs vollständig sind, schauen wir uns die ersten drei mal an :

216.244.65.203:1080 ( sb4umail21.info )
212.57.179.29:2214 ( Instrument-making factory of City of Trekhgorny
)
202.119.199.147:1080 ( China University of Mining and Technology
)

202.119.199.147:1080 und 216.244.65.203:1080 scheinen jeweils ein SOCKs Proxy zu sein. Leider kann man die Ports aus Deutschland nicht erreichen, da die Dienste wohl abgeschaltet sind.

Da auch der RDQ ( steht für Relational Databases and Query Language ) Port 2214 nicht antworten möchte, kann man nur spekulieren, was diese Liste darstellen soll.

Vielleicht bekommt ja der eine oder andere Neugierige raus, was das darstellt und wieso die Ips verstümmelt sind. Das mir das jetzt keiner als Aufforderung zu einer möglichen Straftat missversteht, klar!

Die Sudomains atlantic70X…. führen übrigens zu den merkwürdigsten Seiten u.a. auch Webseiten von Switchen 😉 Wenn man mal mehr Zeit hätte 😉

Hacking Team

Posted on by

Tja, jetzt ist der Alptraum Wahrheit geworden, denn Wikileaks hat die gesamte Emailkorrespondenz von Hacking Team in einer durchsuchbaren Datenbank zur Verfügung gestellt.

Wer ist „Hacking Team“ oder auch „hacked Team“, wie manche neuerdings sagen ?

Hacking Team ist eine italienische Firma, die Exploits erstellt, verteilt und gleich noch die passende Überwachungssoftware zur Verfügung stellt. Jedem der zahlt versteht sich. Da man seit einigen Tagen die Kundenliste einsehen kann, kann man genau sagen, wer zum Kundenkreis gehört und das sind keine netten Regime.

Wer sich selbst einmal deren Emailkorrespondenz durchlesen will :

https://wikileaks.org/hackingteam/emails/

Such mal nach NICE.com, Android und Exploit, dann seht ihr wie diese Überwachungsfutzis wirklich drauf sind.

Viele Emails sind in italienisch verfaßt, weils interne Mails sind. Aber wofür gibts Google Translate 🙂

YUM: wenn das upgrade cache nicht gelöscht wird

Posted on by

Es ist wieder die Zeit gekommen, wo das Betriebssystem aktualisiert werden muß.

Kurz und knapp dieser Befehl:

yum update yum;yum clean all;yum -y –releasever=22 –disableplugin=presto distro-sync

Um das Upgrade durchzuführen, zieht sich YUM die ganzen RPMS schon mal ins Cache ( /var/cache/yum/… ) Wenn aber jetzt die Abhängigkeiten eines Pakets nicht stimmen, z.b.weil zwei neue Pakete ein und dieselbe Datei im Filesystem als Ihre bezeichnen und man den Fehler in einem Paket fixed, dann nutzt einem das nichts. YUM vergißt im REPO nach neuen Versionen nach zu sehen, weil es das ganze Repo mit Metadaten im Cache ablegt.

Alle „yum clean all“ Anweisungen sind nutzlos, weil dieser Speicher nicht aktualisiert/gelöscht wird.

Lösung:

rm -rf /var/cache/yum/{architektur}/{release}/{reponame}

alternativ kann man auch das ganze Cache löschen, aber dann muß man sich die ganzen RPMs auch wieder ziehen und dann kann ja bekanntlich eine Weile dauern.