[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Servermissbrauch

Date: Sun, 30 Dec 2001 19:41:52 +0100 (MET)
From: daniel _at__ roedding.de (Daniel Roedding)
Subject: Re: Servermissbrauch

Lieber Herr Hirschfelder,

> die Notleine (Strippe) ist gezogen; hier noch weitere Erkenntnisse aus privat
> zugegeangenen Mails (Dank an H. Plate und H. Alpers):
> - dsnx.exe und
> - ncx99.exe
> sind Trojaner, die eine Hintertuer (backdoor) installieren.

sowas wird gerne gemacht. Populärster Einsatzzweck derart aufgehackter
Rechner ist z. Zt. die Verwendung als "Sprungbrett" für weitere
Angriffe, entweder um eine schwer rückverfolgbare Kette zu erzeugen
oder in der Geschmacksrichtung "distributed denial of service", oder
im Fachjargon kurz DDoS genannt.

Das traurige ist, daß durch die doch recht gute Verfügbarkeit solcher
und ähnlicher Werkzeuge jedes Skriptkiddie plötzlich ernsthaften
Schaden anrichten kann. Früher mußte man noch nächtelang Datenberge
analysieren, viel ausprobieren und sehr umsichtig agieren, um auf
anderer Leute Kisten durchgreifende Ergebnisse zu erzielen...

In den Niederlanden ist übrigens vor ein paar Monaten das erste Mal
ein Nicht-Techniker vor Gericht wg. Wurmbau und -verbreitung verurteilt
worden. Er wollte der ganzen Welt seine Bewunderung einer Sportlerin
mitteilen und hat wohl nicht bedacht, daß die Verbreitung per Wurm nicht
nur die Informationsweitergabe beschleunigt, sondern auch negative
Folgen haben könnte...

Traurig ist auch, daß durch die "root kits" (so werden diese Trojaner-
baukästen im Unix-Bereich genannt) Software mit so vielen Wiederhaken
tief ins Fleisch des Systems reingepiekst wird, daß man eine derart
verwundete Maschine eigentlich nur durch Neuinstallation wieder auf
einen verläßlichen Stand bekommt.

> Es sind offenbar mehrere Eindringlinge am Werk gewesen (wir waren wohl ein
> heisser Tip in der Szene?), denn ncx99.exe treibt sich noch herum.

Naja, der "heiße Tip in der Szene" ist mittlerweile auch schon voll
durchautomatisiert. Die ein oder andere "Standard-Trojanersoftware"
meldet ihre Instanz an einer zentralen Stelle, damit gibt es "irgendwo"
quasi eine vollautomatisch geführte Liste der offenen Systeme.

> Einen Guten Rutsch wuenscht Ihnen und der Liste

Wünsche ich ebenfalls.

Viele Grüße,
Daniel Rödding (eingeschneit)


-- 
Daniel Roedding                                       phone: +49 5252 9838 0
daniel _at__ roedding.de                                      fax: +49 5252 9838 20

Prev by Date: Re: Servermissbrauch
Next by Date: HECLINET ab 1.1.2002 entgeltfrei bei DIMDI
Previous by thread: Re: Servermissbrauch
Next by thread: Re: Servermissbrauch
Index(es):
- Date
- Thread

Listeninformationen unter http://www.inetbib.de.