Erfahrungen : permanente, mysteriöse IP Belagerung ?

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Erfahrungen : permanente, mysteriöse IP Belagerung ?

Beitragvon persitaro » Di 31.07.2007 - 07:55

Liegen dem Forum Erfahrungen über permanente, mysteriöse Belagerungen der IP 62.189.244.254 vor, die vorzugsweise bei Blog.de, Mr. Wong, usw. ihr widerliches mapping treiben ( auch ohne Cookies Akzeptanz ) und nach mehrfachen Beschwerden beim Netzbetreiber ( UK-PIPEX-20000720, ORG-UA24-RIPE, 62.189.0.0 - 62.190.255.255 ) und den Blogs einfach nicht verschwinden ?

Was und wer steckt WIRKLICH da hinter, und was ist dies für eine IT Kultur ?

Also mehr als aus den Netzbetreiberinformationen und Suchergebnissen zu erfahren ist ?

Nach unseren Recherchen ( wir haben bisher 27 incident blocks, jeweils mit etwa 16 durchschnittlichen IP mapping der 62.189.244.254, Firewall Blockierungen unserseits, dies innerhalb eines Zeitbereiches von ca. 16 Minuten ) ergeben sich folgende, nicht gerade sauberen IT Einträge der IP 62.189.244.254 :

http://www.kgb.to/blacklist.html
IMR Worldwide (NetRatings, Red Sheriff)
61.213.156.128 - 61.213.156.159 (61.213.156.128/27)
62.189.244.254 (62.189.244.254/32)
…………………………………………

http://www.dnsstuff.com/tools/whois.ch? ... 89.244.254

http://www.eventid.net/firegen/mildco01 ... emand.html

http://lists.sans.org/pipermail/list/20 ... 16481.html

http://content.techrepublic.com.com/525 ... id=1856483

http://www.geocities.com/yosponge/blockips.txt

http://datenroulette.de/adblock.txt
:?:
persitaro
Grünschnabel
 
Beiträge: 8
Registriert: So 08.07.2007 - 06:48

RED SHERIFF MAPPING 62.189.244.254

Beitragvon persitaro » So 05.08.2007 - 08:36

Hier nun die Erklärung nach gezielter Suche zur IP 62.189.244.254 unter Yahoo :

62.189.244.254 - lycos-eu.imrworldwide.com#IMRworldwide (Red Sheriff)
http://keskustelu.suomi24.fi/show.fcgi? ... 0005169192

http://www.bluetack.co.uk/forums/index. ... topic=2297

http://www.cexx.org/sheriff.htm
Unlike most conventional spyware, imrworldwide.com's Red Sheriff is loaded as a Java applet embedded in a Web page you visit. Once loaded, it sends information about your Internet usage (how long the page took to load, how long you stayed, etc.) to the parent company, supposedly bypassing firewalls, cookie blockers and the like. A number of Internet Service Providers have begun including Red Sheriff on their start pages, which are programmed to load every time the user logs on to the Internet.
………………………..
Solutions:
The most obvious (if not user-friendly) solution is to disable Java in your web browser.


Jetzt sollte doch alles klar sein – oder ?

Festzustellen ist, dass nach mehrfachen Beschwerden und Posting seit den 3.8.2007 die RED SHERRIFF IP 62.189.244.254 und das damit verbundene Mapping von besuchten Blogs zunächst verschwunden ist.

Zuvor ist von dieser IP das Internet mit hunderten von schmuddeligen Einträgen überzogen.

Dafür taucht jetzt eine zuvor bereits bekannte - IP 213.61.112.161 gamigo.ivwbox.de - auf und geistert während konzentrierter Arbeit auf der Kommunikationslinie herum. http://www.hackerboard.de/thread.php?threadid=1064&sid=
:D
persitaro
Grünschnabel
 
Beiträge: 8
Registriert: So 08.07.2007 - 06:48

Beitragvon Robin Mehner » Mo 06.08.2007 - 15:00

1. Mapping ist der falsche Begriff, du meinst "Tracking".

2. Bitte versuche die Beiträge mit weniger Fettschrift zu gestalten, wie ich schon in einem vorherigen Beitrag zu dir schrieb wirkt das wie Schreien.

3. Zum eigentlichen Thema:

Es gibt so viele Wege jemanden zu tracken, dazu braucht man kein JavaApplet. Man kann dies nur sehr schwer verhindern. Die einfachste Variante (die natürlich nur für die eigene Seite funktioniert) sind die Logfiles. Bisschen spezifischer geht's dann mit Bildern die ein Script aufrufen (kann man quasi nicht verhindern, es sei denn man lässt keine Bilder anzeigen). Es handelt sich auch nicht wirklich um Spyware, eher um Statistiktools (die manchmal natürlich auch zu weit gehen).

Die im Link beschriebene Variante das per /etc/hosts zu lösen ist natürlich eine Variante, aber das verhält sich wie mit Keyword-Filtern bei Spam ... man läuft immer neuen Varianten nach.

Die andere Variante ist (oder auch zusätzliche) ein Browserplugin zu verwenden, die die Werbung etwas zähmen. Für Firefox gibt es das recht gute AdBlockPlus, das auch Whitelisting unterstützt.

Ein recht gutes Verfahren, welches allerdings einen relativ hohen initialen Einrichtungsaufwand hat, ist das Whitelisting. Man lässt einfach nur das zu was man wirklich will, explizit. Alles andere lässt man nicht zu.
TwoCom - www.2-com.de
Robin Mehner
Administrator
 
Beiträge: 28
Registriert: Mi 08.12.2004 - 14:35

Beitragvon nobody » Mo 06.08.2007 - 20:25

Was die ivwbox angeht.
Da die ja für jeden kunden eine eigene subdomain machen, ist es nicht nur lästig, das alles einzugeben, sonder auch nicht zuverlässig.

besser auf der eigenen maschine oder einem rest-pc einen eigenen DNS-Server installieren (linux OS)

in der named.conf einen neue zone definieren:
Code: Alles auswählen
zone "ivwbox.de" {
        type master;
        file "db.ivwbox.de";
        notify no;
 };




dann die daten der zone (db.ivwbox.de):

Code: Alles auswählen
ivwbox.de. IN SOA fake.domain.com. wmaster.somedomain.com. (
        2007010101; Serial number
        28800   ; Refresh after (seconds)
        7200    ; Retry after (seconds)
        604800  ; Expire after (seconds)
        86400   ; Expire after (seconds)
)
; Nameserver entries

ivwbox.de. NS   localhost.

;other hosts
*.ivwbox.de.     86400 IN A     127.0.0.1



Kleiner nachteil der methode, das auf das loopback-netzwerk umzulenken:
Die performance leidet etwas.

Besser:
Wenn man schon den eigenen DNS server laufen hat, dann dort gleich noch einen webserver aktivieren und statt auf 127.0.0.1 auf die ip des internen web-servers verweisen.

Dort, in der httpd.conf ein "Custom Error Document" eintragen,z.B. so:

Code: Alles auswählen
ErrorDocument 404 /filter/index.html


und dann dazu die index.html datei:
Code: Alles auswählen
<html>
<head>
</head>
<body>
<div align="center">
<img src="/images/filtered.png" align="middle">
</div>
</body>
</html>



das "filtered.png" sollte eine kleine grafik sein, vielleicht 32x32 pixel, hier kann man sich ja ein nettes symbol ausdenken.

Und aus ist es mit den statistikern - zumindest für alle pc im heim/firmennetzwerk, den eigenen DNS server verwenden.

Als zugabe hat man dann auch die logs des eigenen Webservers in denen protokolliert wird, was alles gefiltert wurde.
nobody
Hardcore-Poster
 
Beiträge: 1333
Registriert: So 19.09.2004 - 16:45

selbsternannter RED SHERIFF UK IP 62.189.244.254

Beitragvon persitaro » Di 07.08.2007 - 05:28

Danke für die wichtigen Hinweise, insbesondere die Tiefgang Informationen zur ivwbox, die für uns im Grundsatz zum selbsternannten RED SHERIFF der UK IP 62.189.244.254 keinen Bespitzelungscharakter aufweist und nach einmaliger Ablehnung nicht wiederkehrt.

Der RED SHERIFF UK IP 62.189.244.254 ist die Luft bei blog.de und Mr. Wong zu dünn geworden, so dass sie wieder weiter ziehen, nachdem bereits zuvor hunderte von schmuddeligen IT Einträgen getriggert worden sind.

Interessant ist bei der IP 62.189.244.254, dass offensichtlich öffentliche Einrichtungen/Postings einer gezielten Bespitzelung unterliegen.

Von Mapping kann zweifelsfrei mit insgesamt 39 geloggten incident blocks, jeweils mit etwa 16 durchschnittlichen IP 62.189.244.254 Einträgen, Firewall Blockierungen unserseits, dies innerhalb eines Zeitbereiches von jeweils ca. 16 Minuten, keine Rede sein. Verschiedene nationale abuse Stellen sind die IP Einträge seit dem 9.7.2007 gemeldet.

Durch Zufall hat unsere Firewall mit der gleichen IP 62.189.244. 254 bei der Anschauung von schönen WEB CAM Bildern der Costa Blanca ( Urlaubserinnerungen aus zurückliegenden Jahren in Spanien mit Wohnsitz seit Jahren in Asien ) die Alarmglocken läuten lassen. http://webcam.comunitatvalenciana.com/w ... _camara=42

Macht doch selbst mal den Test, blocket die 62.189.244.254 sowie auch die zur gleichen Familie gehörende IP 213.61.112.161 mit feedback hier im Forum. Wäre doch interessant, die Erfahrung einen breiten Leserkreis zu präsentieren.
:D
persitaro
Grünschnabel
 
Beiträge: 8
Registriert: So 08.07.2007 - 06:48

Beitragvon Robin Mehner » Di 07.08.2007 - 09:54

Hallo,

so, das ist jetzt der letzte Aufruf die Fettschrift hier sein zu lassen. Du bist ja auch fröhlich in anderen Foren völlig resistent gegen diesen Hinweis. Ich setz das dann halt einfach durch.

Zum Thema:

Du verwürfelst, mal wieder, extrem viele Begriffe auf einmal. Was sind bitte "schmuddelige IT Einträge"? Auch fehlt, schon wieder, jegliche ernsthafte Struktur im Posting. Schade, das Thema als solches ist sicher nicht uninteressant.

Der Beitrag von nobody zeigt auch einen sehr schönen Weg auf das zu machen, hat aber, wie immer bei solchen Ansätzen, das Problem das man ständig am hinterhertragen ist (wie eigentlich immer bei Blacklist-Ansätzen)
TwoCom - www.2-com.de
Robin Mehner
Administrator
 
Beiträge: 28
Registriert: Mi 08.12.2004 - 14:35

RED SHERIFF Bespitzelungsaktionen

Beitragvon persitaro » Mi 08.08.2007 - 03:37

Was die RED SHERIFF Bespitzelungsaktionen mit der IP 62.189.244.254 angeht, sind die Betreiber der Blogs, Mr. Wong usw., für deren Dienste die Kunden z.T. zahlen, für die qualifizierten Informationen und übermittelten Logs sehr dankbar.

Die redaktionellen Randnoten beinhalten keine unpfleglichen Absichten, sondern sollten lediglich die Aufmerksamkeit schärfen.

Für die zusätzlichen Tiefgang Informationen zur ivwbox von nobody bedanken wir uns.

Diese rein zu statistischen Zwecken verwandten Besucherdaten sehen wir jedenfalls als absolut harmlos an. Die Einbindung der aufgeführten ivwbox Einträge in das hostfile ist natürlich eine stets der Aktualität nachstehende Lösung, was wir für unsere Maschinen z.T. schon praktizieren.

Die kumulierten JAVA APPLETS der selbsternannten RED SHERIFFS entsorgen wir permanent mit dem CC Cleaner 1.37.456.

Auch diese Beiträge mit den wichtigen Hinweisen und allen Antworten sind für andere Betroffene im Ausland verfügbar gemacht. :lol:
persitaro
Grünschnabel
 
Beiträge: 8
Registriert: So 08.07.2007 - 06:48


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste