28.02.2017

Euroweb: Ihr wolltet das doch lassen ... (Ein kurzer) Blick in meine Logfiles... "Ich glaub, es hackt!"

Feb 28 16:08:15 banana sshd[4948]: Did not receive identification string from 78.130.190.201

Hm. Da wollte wohl jemand auf meinen ssh-Server zugreifen. Aus Plovdiv, Bulgarien. Genau da wo die Euroweb jene "beschissen" angebundenen und technisch veralteten Server herumstehen hat, auf denen die Webseiten und Mails der insoweit ├╝bel abzockten, ja betrogenen "Referenz" Kunden gehostet werden.

Schauen wir mal weiter:

Zwischen 16:07 und 16:16 insgesamt 58, an sich ganz legale Zugriffe auf meinen Webserver. Von der IP 193.142.0.1. Georgi Angelov Grozdev, Technikchef der Euroweb und GF der Viscomp OOD, aber auch der Euroweb OOD also. Vom Gateway/Router aus. Der steht in Plovdiv.

Was noch?

78.130.190.201 - - [28/Feb/2017:16:08:41 +0100] "OPTIONS / HTTP/1.1" 200 8834 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; http://nmap.org/book/nse.html)"

Das zehn mal, parallel mit nmap auf meinen Server "gefeuert". Da bin ich doch ein wenig "b├Âse" geworden und habe die Firewall dar├╝ber informiert, dass mir das irgendwie gegen den Strich geht. Damit war zumindest das zu Ende.

Update:

Um 15:20 hat sich der Idiot "vertan" und versucht einen Administrationsbereich von fastix.org aufzurufen, den es jedenfalls da, wo er ihn blind vermutet hat, gar nicht gibt. Gelandet ist er im Honeypot. Ich bekam also folgendes Mail, von dem ich allerdings nicht alles wieder gebe:

- 193.142.0.1 Die IP wurde in .htaccess eingetragen.
Siehe: http://www.fastix.org/netztools/?addr=193.142.0.1&action=whois
  • User-Agent: : Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36 
  • SERVER_PROTOCOL: HTTP/1.1 
  • REQUEST_METHOD : GET
Es fehlt die URL, damit das nicht noch andere versuchen und sich so aussperren. Ich hab das Mail bisher nur nicht beachtet. Es gebot aber, das Logfile zu betrachten.

Update 2:

Aus dem Log von fastix.org geht hervor, dass es nach den ersten Sperren ( also ab 16:39 bis 17:25)  weitere rund 8000 Hackversuche von der bulgarischen IP 78.130.233.70 aus gab. Benutzt wurde ein Perl-Skript namens "nikto" in der Version 2.1.6. (Aus dem Bulgarischen ├╝bersetzt hei├čt das ├╝brigens "niemand".) Auch den dazu geh├Ârenden Adressbereich habe ich gesperrt. Den zust├Ąndigen Abuse werde ich morgen "briefen". Ich sch├Ątze mal, Georgi Angelov Grozdev muss sich Sorgen um seinen Internet-Zugang machen. Es wurde (Euroweb-typisch: erfolglos) versucht auf (nicht existierende) Dateien wie .ssh/id_dsa, .ssh/id_rsa - mithin auf Dateien mit privaten Schl├╝sseln und Passw├Ârtern zuzugreifen. Zudem auf weitere (nicht existierende!) Dateien wie fastix.tar.bz2 in denen wohl ebenfalls Passw├Ârter vermutet werden. Das Skript weist diese Abrufversuche explizit als "Test:sitefiles" aus. Die Schwelle zur kriminellen Handlung wurde damit eindeutig ├╝berschritten.

Ich glaub, es hackt!

Euroweb-Skript-Kiddies: Ihr wolltet das doch lassen? Hattet Ihr diese einstweilige Verf├╝gung nicht als letzte Regelung akzeptiert?

Die besagte Viscomp OOD ist eine  80%-ige Tochter der Euroweb. Georgi Grozdev ist Gesch├Ąftsf├╝hrer derer "bulgarischen Aktivit├Ąten", die, wie sich gerade zeigte, eben manchmal "kriminelle Aktivit├Ąten" sind:



Ich frage mich jetzt sehr ernsthaft, wie bl├Âd man in den Chefetagen bei der Euroweb wohl sein muss um nach dem Anerkenntnis der EV einen solchen, strunzd├Ąmlichen Angriff von der eigenen Tochter machen zu lassen.

Update 3:

Beschwerden mit logfiles an die zust├Ąndigen abuse von cooolbox.bg und neterra.net sind raus. Ich habe mich ausdr├╝cklich wegen krimineller Handlungen beschwert und auf den Beschluss des AG D├╝sselorf bezug genommen.

Kann gut sein, die schalten jetzt den Zugang ab.

Update 4:
  1. Das AG D├╝sseldorf hat Post bekommen.
  2. Ich hab das gesehen:
 Fortsetzung folgt.

Kommentare:

Anonym hat gesagt…

Ich mach mich nass vor lachen "Euroweb-Skript-Kiddies" :-)))

Problemb├Ąrdompteur I. hat gesagt…

die sind derma├čen d├Ąmlich, dass es weh tut.
Da wird's wohl Zeit f├╝r eine neue Lektion f├╝r die Skript-Kiddies.

. hat gesagt…

"Da wird's wohl Zeit f├╝r eine neue Lektion f├╝r die Skript-Kiddies."

Und deren Juristen.

Problemb├Ąrdompteur I. hat gesagt…

und deren, sich f├╝r Juristen haltende, Vertreter.

Ich bin jetzt schon gespannt, wie die diese d├Ąmliche Bl├Âdheit zu rechtfertigen suchen, bzw. wie sie versuchen werden, die Sache durch L├╝gen zu bestreiten.

Anonym hat gesagt…

Hallo Herr Reinholz!

K├Ânnten Sie vor Gericht bitte f├╝r mich fragen, ob soviel Bl├Âdheit weh tut?

Fritze hat gesagt…

Aus der Erfahrung wissen wir ja, dass die besagten Herren selbst auf Mitarbeiter setzen, die glauben, die gro├čen Hacker zu sein und Attacken gegen deinen Server fahren.
Dazu werden diese Mitarbeiter wochenlang sogar von der Arbeit freigestellt und mit dem n├Âtigen Kleingeld versorgt, was sie brauchen, um fremde ausl├Ąndische Server f├╝r ihre Aktion zu nutzen.

J├Ârg, ich pers├Ânlich finde es gut, dass du gegen├╝ber der Euroweb-Gruppe so standhaft bleibst.
Ich denke, dass durch deine Berichte viele Unternehmer gewarnt werden, nichts bei denen zu unterschreiben.

Mach weiter so!



Kommentar ver├Âffentlichen