Archive for the ‘Deutsche Telekom’ Category

Missbräuchliche Nutzung Ihres DSL Anschluss – woher kommt die Telekom Logdatei?

4 Januar 2011

Wie im ersten Artikel https://newyear2006.wordpress.com/2010/12/30/missbruchliche-nutzung-ihres-dsl-business-anschlusses/#comment-20975 aufgeführt, stellt einem die Telekom eine LOG-Datei zur Verfügung.

Diese LOG-Datei entsteht nicht, weil die Telekom Ihre Pakete ausschnüffelt und auf auffälliges Verhalten untersucht. Vielmehr entsteht die LOG-Datei weil die Telekom von Betreibern von sogenannten Honeypots http://de.wikipedia.org/wiki/Honeypot darauf aufmerksam gemacht wird. Diese LOG-Datei muss auch nicht alle gefährlichen Datenpakete enthalten sondern stellt evtl. nur eine Teilmenge der unerwünschten Kommunikation dar. Es kann durchaus passieren, dass in einem späteren Schreiben ein Eintrag für den Zeitraum einer vorherigen LOG-Datei auftaucht.

Im konkreten Fall wurde die Telekom von shadowserver.org darauf aufmerksam gemacht (zu sehen an der IP-Adresse 74.208.164.166). shadowserver.org ist eine Organisation in Amerika die in verschiedenen Datencentern Rechner betreibt um gefahren aus dem Internet zu untersuchen und darauf aufmerksam zu machen. http://www.shadowserver.org/wiki/pmwiki.php/Shadowserver/Mission

Jeder Internet Provider in der Welt kann sich bei shadowserver.org registrieren und bekommt dann regelmäßige Berichte, alle 24 Stunden, welche Kunden des Providers in einem Honeypot von shadowserver.org gesichtet wurden. http://www.shadowserver.org/wiki/pmwiki.php/Involve/
GetReportsOnYourNetwork
. Die einzelnen Reports die von shadowserver.org erstellt werden und in welchem Format, kann man hier nachlesen: http://www.shadowserver.org/wiki/pmwiki.php/Services/Reports

Übrigens wenn man weitere Infos nach 72.208.164.166 abfrägt, dann kommt heraus, das die IP-Adresse zu 1&1 gehört, ob das was zu bedeuten hat? Zwinkerndes Smiley http://www.ipaddress-locator.com/74.208.164.166. Nein, denn 1&1 stellt nur den Sinkhole Server zur Verfügung. Der Sinkhole Server ist quasi wie ein Honeypot, allerdings um nicht neue Infektionen anzuziehen sondern um so zu reagieren wie es ein bereits infizierter Rechner von seinem C&C Server erwartet. Übrigens kennt Wikipedia zum ersten mal einen Begriff nicht, deshalb hier ein Link für eine Beschreibung von Sinkhole: http://en.citizendium.org/wiki/Sinkhole_(Computer_network)

Der Sinkhole Server simuliert also einen C&C Server von einem Botnetz und macht den Client, also den infizierten Rechner, glauben das er noch warten soll. Gleichzeitig wird nun eben die Telekom über den Vorgang benachrichtigt.

Soweit also zu dem Thema woher kommt die Telekom LOG-Datei. Als nächstes werden wir uns den Inhalt der LOG-Datei näher anschauen.

Wireshark Anzeigefilter per Kommandozeile mitgeben

2 Januar 2011

Für bestimmte Auswertungen kann es ganz interessant sein bei Wireshark den zu verwendenden Anzeigefilter per Kommandozeile mitzugeben.

Beispiel:

wireshark –r inputfile.pcap –R "ip.dst == 74.208.164.166"

Im obigen Beispiel wird z. B. die IP-Adresse eines sinkhole von Shadowserver.org angegeben. Allerdings stehen einem dann die restlichen Pakete aus inputfile.pcap nicht zur Verfügung, somit reagiert –R nicht als Anzeigefilter sondern gleich als Lesefilter.

Aber für den schnellen Blick, ob bestimmte Pakete enthalten sind oder nicht sicherlich sinnvoll.

Missbräuchliche Nutzung Ihres DSL Business Anschlusses

30 Dezember 2010

Seit Dezember 2010 hat die Deutsche Telekom ein System am Laufen, wo der Web-Transfer der Kunden beobachtet wird und gegebenenfalls reagiert wird, wenn die DSL-Leitung des Kunden für SPAM-Versand benutzt wird.

Man erhält ein Schreiben per Post vom “Abuse-Team Telekom Deutschland GmbH” wo auf ein Datum, wann die missbräuchliche Nutzung stattfand, hingewiesen wird.

Der zweite Satz des Schreibens lautet:

Von Ihrem Zugang wurde seit 13.12.2010 09:03:31 mehrfach eine missbräuchliche Nutzung (z. B. Spamversand) festgestellt und gemeldet. Wir möchten Sie darauf aufmerksam machen, dass Sie damit gegen die in unseren A…

Bei nähere Nachfrage erhält man auch eine LOG-Datei, welche z. B. so aussehen kann, zugemailt:

Abuse-ID: 8stellige Nummer
IP-Adresse: 91.17.xxx.yyy
Datum/Uhrzeit des Vorfalls: Mon, 13 Dec 2010 08:03:31 +0000
Infection: sinkhole
Zeile in der Meldung:
"2010-12-13 08:03:31","91.17.xxx.yyy",1317,3320,"DE","-","-",,"tcp","sinkhole",,,"74.208.164.166",80,8560,"US",,1,,,"Windows","2000 SP4, XP SP1+"
IP-Adresse: 91.17.xxx.yyy
Datum/Uhrzeit des Vorfalls: Tue, 21 Dec 2010 08:34:10 +0000
IP-Adresse: 91.17.xxx.yyy
Datum/Uhrzeit des Vorfalls: Wed, 15 Dec 2010 12:48:10 +0000
Infection: sinkhole
IP-Adresse: 91.17.xxx.yyy
Datum/Uhrzeit des Vorfalls: Tue, 14 Dec 2010 12:36:46 +0000
"2010-12-14 12:36:46","91.17.xxx.yyy",3340,3320,"DE","-","-",,"tcp","sinkhole",,,"74.208.164.166",80,8560,"US",,1,,,"Windows","2000 SP4, XP SP1+"

Außer einem allgemeinen Blabla Schreiben wo auf auf verschiedene Würmer, Trojaner und Spam-Themen hingewiesen wird ist weiter nichts verwertbares mit dabei.

Auch telefonisch kann man nicht mehr Infos erhalten.

Da stellen sich jetzt natürlich viele Fragen wie:

Wie funktioniert ein solcher Scan der Daten
Wie oft wird man verwarnt?
Wann wird die Leitung abgeschaltet?
Was passiert bei einer Neuinfektion?
Wie führt man einen Nachweis, dass man alles mögliche gemacht hat um das Problem aus der Welt zu schaffen?
Wie ist die Log-Datei zu interpretieren?
Welcher Rechner im lokalen Netz war der Übeltäter?

Fragen über Fragen. Einige Antworten gibt es bereits und werden in diesem Blog die nächsten Wochen näher erläutert.