[ps915]

Hallo,
gestern Abend hat ein Unbekannter eine Welle von Angriffen auf meine Homepage prasseln lassen. Es waren über 30.000 Zugriffe auf alle meine Formulare auf meiner Seite. In die Formulare wurden alle erdenklichen XSS-Codes und SQL-Injections eingegeben und abgeschickt.

Die Ip des Angreifers ist : 84.152.106.20
Habe das zu p54986A14.dip.t-dialin.net aufgelöst!

ripe.net sagt:

Zitat

inetnum: 84.136.0.0 - 84.191.255.255
netname: DTAG-DIAL20
descr: Deutsche Telekom AG
country: DE
admin-c: DTIP
tech-c: DTST
status: ASSIGNED PA
remarks: **************************************************
****************
remarks: * Abuse Contact: http://www.t-com.de/ip-abuse in case of Spam, *
remarks: * Hack Attacks, Illegal Activity, Violation, Scans, Probes, etc. *
remarks: **************************************************
****************
mnt-by: DTAG-NIC
source: RIPE # Filtered
person: DTAG Global IP-Addressing
address: Deutsche Telekom AG
address: D-90492 Nuernberg
address: Germany
phone: +49 180 5334332
fax-no: +49 180 5334252
e-mail: [email protected]
nic-hdl: DTIP
mnt-by: DTAG-NIC
source: RIPE # Filtered
person: Security Team
address: Deutsche Telekom AG
address: Germany
phone: +49 180 5334332
fax-no: +49 180 5334252
e-mail: [email protected]
nic-hdl: DTST
mnt-by: DTAG-NIC
source: RIPE # Filtered
% Information related to '84.128.0.0/10AS3320'
route: 84.128.0.0/10
descr: Deutsche Telekom AG, Internet service provider
origin: AS3320
member-of: AS3320:RS-PA-TELEKOM
mnt-by: DTAG-RR
source: RIPE # Filtered

Ich möchte nun per T-Online Abuse der Sache nachgehen. Ich glaube aber dass ich eher wenig Erfolg haben werde, da nichts gutes über den Absue-Service berichtet wurde.

Was kann ich noch machen um an ihn ranzukommen?

Gruß,
Toasterfraktion

[Internetkopfgeldjäger]

Zitat (Toasterfraktion: 04.01.2009, 02:59)

Hallo,
gestern Abend hat ein Unbekannter eine Welle von Angriffen auf meine Homepage prasseln lassen. Es waren über 30.000 Zugriffe auf alle meine Formulare auf meiner Seite. In die Formulare wurden alle erdenklichen XSS-Codes und SQL-Injections eingegeben und abgeschickt.

Für 2009 wurden doch von der STASI 2.0 Einbrüche angekündigt.

[Sanches]

Kannst auch Faxen machen, dann reagieren die eher. Zumindest meiner Erfahrung nach wird da am ehesten deiner Meldung nachgegangen. Bei der E-Mail Adresse, habe ich(!) schon einigen Tennis hinter mir.

[ps915]

Aber doch auch der Versuch, also die vielen Zugriffe mit den Injections sind doch schon strafbar?

[Gitarremann]

Kann man die IP nicht irgendwie auch faken? Also wenn man bei der Rückverfolgung auf ein "Security Team" der T-Com stößt dann sieht das doch sehr manipuliert aus und die haben damit vielleicht gar nichts zu tun.

[ps915]

Ich glaube beim Zurückverfolgen zu einer T-Online Ip ist das Security Team immer aufgeführt oder? O.o

[Gitarremann]

Zitat (Toasterfraktion: 04.01.2009, 14:00)

Ich glaube beim Zurückverfolgen zu einer T-Online Ip ist das Security Team immer aufgeführt oder? O.o

Ja aber wenn man normalerweise IPs zurückverfolgt, die irgendwie SQL-Injection versuchen, dann landet man doch auf irgendwelchen amerikanischen Servern und nicht bei T-Online oder der T-Com.

[ps915]

Ja, eigentlich schon! Aber es könnte ja auch einfach jemand gewesen sein der es mit seinem eigenen Internetanschluss gemacht hat, was ziehmlich blöd wäre!

Edit:
84.er sind wohl T-Online Ips, habe es mal bei verschiedenen überprüft, ist immer das Security-Team drin!

Dieser Beitrag wurde von Toasterfraktion bearbeitet: 04. Januar 2009 - 14:14

[Astorek]

Zitat (Toasterfraktion: 04.01.2009, 15:10)

Ja, eigentlich schon! Aber es könnte ja auch einfach jemand gewesen sein der es mit seinem eigenen Internetanschluss gemacht hat, was ziehmlich blöd wäre!

Wobei da gerade die Telekom extrem strikt ist. Ein Lehrer meiner Berufsschule (Ausbildung zum Fachinformatiker) hatte mal erzählt, dass wirklich ein Schüler so dumm war und einen Portscan übers Internet von seinem eigenen Anschluss aus gemacht zu haben. Ergebnis: Fristlose Kündigung des Telekom-Anschlusses und gestellte Strafanzeige (mit Schreiben vom Anwalt, was natürlich Mahngebühren nach sich zog). War allerdings noch vor dem Beschluss, "Hackertools" pauschal zu verbieten, deshalb dürfte er da wohl nochmal mit einem blauen Auge davongekommen sein... (Er wollte angeblich testen, ob sein eigener Rootserver übers Internet sicher ist, er hatte glücklicherweise niemanden, der eine Zivilklage in die Wege leitete...)

[ps915]

Ja, die einen schreiben dies und die anderen das! Ich habe oft gelesen dass der Spam/Hacks etc auch nach einer Abuse-Mail weitergingen.

Es waren aber auch ähnliche Sachen dabei wie Astorek schon sagte.

Ich werde wenn ich nun die Logs von meinem Hoster erhalten habe eine Mail an das Abuse-Team schreiben, obwohl ich gerne wüste wo er/sie wohnt, dann könnte man das bei einer Tasse Tee ausdiskutieren! ^^

Gruß,
Toasterfraktion

[ps915]

Die Ip hat von [03/Jan/2009:19:43:00 +0100] bis [03/Jan/2009:21:12:17 +0100] insgesamt 50.426 mal auf mein Domain zugegriffen!

Habe in den Logs immer wieder den schnipsel acunetix gefunden:

Zitat

84.152.106.20 - - [03/Jan/2009:19:45:46 +0100] "GET /?page=rss&search=\\' HTTP/1.0" 200 12985 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
84.152.106.20 - - [03/Jan/2009:19:45:46 +0100] "GET /?page=rss&search=\\\" HTTP/1.0" 200 12985 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
84.152.106.20 - - [03/Jan/2009:19:45:46 +0100] "GET /?page=home&seite=acunetix'\" HTTP/1.0" 200 17418 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
84.152.106.20 - - [03/Jan/2009:19:45:47 +0100] "GET /?page=home&seite=\\' HTTP/1.0" 200 17418 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
84.152.106.20 - - [03/Jan/2009:19:45:47 +0100] "GET /?page=home&seite=\\\" HTTP/1.0" 200 17418 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
84.152.106.20 - - [03/Jan/2009:19:45:47 +0100] "GET /?page=rss&melden=acunetix'\" HTTP/1.0" 200 12985 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
84.152.106.20 - - [03/Jan/2009:19:45:47 +0100] "GET /?page=rss&melden=%2527 HTTP/1.0" 200 12985 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
84.152.106.20 - - [03/Jan/2009:19:45:47 +0100] "GET /?page=rss&melden=\\\" HTTP/1.0" 200 12985 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"

Hab das mal gegoogelt und folgendes gefunden!

http://www.acunetix.com/
Is your Site hackable? Check with acunetix....

Dieser Beitrag wurde von Toasterfraktion bearbeitet: 05. Januar 2009 - 03:40