28.02.2017

Euroweb: Ihr wolltet das doch lassen ... (Ein kurzer) Blick in meine Logfiles... "Ich glaub, es hackt!"

Feb 28 16:08:15 banana sshd[4948]: Did not receive identification string from 78.130.190.201

Hm. Da wollte wohl jemand auf meinen ssh-Server zugreifen. Aus Plovdiv, Bulgarien. Genau da wo die Euroweb jene "beschissen" angebundenen und technisch veralteten Server herumstehen hat, auf denen die Webseiten und Mails der insoweit übel abzockten, ja betrogenen "Referenz" Kunden gehostet werden.

Schauen wir mal weiter:

Zwischen 16:07 und 16:16 insgesamt 58, an sich ganz legale Zugriffe auf meinen Webserver. Von der IP 193.142.0.1. Georgi Angelov Grozdev, Technikchef der Euroweb und GF der Viscomp OOD, aber auch der Euroweb OOD also. Vom Gateway/Router aus. Der steht in Plovdiv.

Was noch?

78.130.190.201 - - [28/Feb/2017:16:08:41 +0100] "OPTIONS / HTTP/1.1" 200 8834 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; http://nmap.org/book/nse.html)"

Das zehn mal, parallel mit nmap auf meinen Server "gefeuert". Da bin ich doch ein wenig "böse" geworden und habe die Firewall darüber informiert, dass mir das irgendwie gegen den Strich geht. Damit war zumindest das zu Ende.

Update:

Um 15:20 hat sich der Idiot "vertan" und versucht einen Administrationsbereich von fastix.org aufzurufen, den es jedenfalls da, wo er ihn blind vermutet hat, gar nicht gibt. Gelandet ist er im Honeypot. Ich bekam also folgendes Mail, von dem ich allerdings nicht alles wieder gebe:

- 193.142.0.1 Die IP wurde in .htaccess eingetragen.
Siehe: http://www.fastix.org/netztools/?addr=193.142.0.1&action=whois
  • User-Agent: : Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36 
  • SERVER_PROTOCOL: HTTP/1.1 
  • REQUEST_METHOD : GET
Es fehlt die URL, damit das nicht noch andere versuchen und sich so aussperren. Ich hab das Mail bisher nur nicht beachtet. Es gebot aber, das Logfile zu betrachten.

Update 2:

Aus dem Log von fastix.org geht hervor, dass es nach den ersten Sperren ( also ab 16:39 bis 17:25)  weitere rund 8000 Hackversuche von der bulgarischen IP 78.130.233.70 aus gab. Benutzt wurde ein Perl-Skript namens "nikto" in der Version 2.1.6. (Aus dem Bulgarischen übersetzt heißt das übrigens "niemand".) Auch den dazu gehörenden Adressbereich habe ich gesperrt. Den zuständigen Abuse werde ich morgen "briefen". Ich schätze mal, Georgi Angelov Grozdev muss sich Sorgen um seinen Internet-Zugang machen. Es wurde (Euroweb-typisch: erfolglos) versucht auf (nicht existierende) Dateien wie .ssh/id_dsa, .ssh/id_rsa - mithin auf Dateien mit privaten Schlüsseln und Passwörtern zuzugreifen. Zudem auf weitere (nicht existierende!) Dateien wie fastix.tar.bz2 in denen wohl ebenfalls Passwörter vermutet werden. Das Skript weist diese Abrufversuche explizit als "Test:sitefiles" aus. Die Schwelle zur kriminellen Handlung wurde damit eindeutig überschritten.

Ich glaub, es hackt!

Euroweb-Skript-Kiddies: Ihr wolltet das doch lassen? Hattet Ihr diese einstweilige Verfügung nicht als letzte Regelung akzeptiert?

Die besagte Viscomp OOD ist eine  80%-ige Tochter der Euroweb. Georgi Grozdev ist Geschäftsführer derer "bulgarischen Aktivitäten", die, wie sich gerade zeigte, eben manchmal "kriminelle Aktivitäten" sind:



Ich frage mich jetzt sehr ernsthaft, wie blöd man in den Chefetagen bei der Euroweb wohl sein muss um nach dem Anerkenntnis der EV einen solchen, strunzdämlichen Angriff von der eigenen Tochter machen zu lassen.

Update 3:

Beschwerden mit logfiles an die zuständigen abuse von cooolbox.bg und neterra.net sind raus. Ich habe mich ausdrücklich wegen krimineller Handlungen beschwert und auf den Beschluss des AG Düsselorf bezug genommen.

Kann gut sein, die schalten jetzt den Zugang ab.

Update 4:
  1. Das AG Düsseldorf hat Post bekommen.
  2. Ich hab das gesehen:
 Fortsetzung folgt.

6 Kommentare:

Anonym hat gesagt…

Ich mach mich nass vor lachen "Euroweb-Skript-Kiddies" :-)))

Problembärdompteur I. hat gesagt…

die sind dermaßen dämlich, dass es weh tut.
Da wird's wohl Zeit für eine neue Lektion für die Skript-Kiddies.

. hat gesagt…

"Da wird's wohl Zeit für eine neue Lektion für die Skript-Kiddies."

Und deren Juristen.

Problembärdompteur I. hat gesagt…

und deren, sich für Juristen haltende, Vertreter.

Ich bin jetzt schon gespannt, wie die diese dämliche Blödheit zu rechtfertigen suchen, bzw. wie sie versuchen werden, die Sache durch Lügen zu bestreiten.

Anonym hat gesagt…

Hallo Herr Reinholz!

Könnten Sie vor Gericht bitte für mich fragen, ob soviel Blödheit weh tut?

Fritze hat gesagt…

Aus der Erfahrung wissen wir ja, dass die besagten Herren selbst auf Mitarbeiter setzen, die glauben, die großen Hacker zu sein und Attacken gegen deinen Server fahren.
Dazu werden diese Mitarbeiter wochenlang sogar von der Arbeit freigestellt und mit dem nötigen Kleingeld versorgt, was sie brauchen, um fremde ausländische Server für ihre Aktion zu nutzen.

Jörg, ich persönlich finde es gut, dass du gegenüber der Euroweb-Gruppe so standhaft bleibst.
Ich denke, dass durch deine Berichte viele Unternehmer gewarnt werden, nichts bei denen zu unterschreiben.

Mach weiter so!



Kommentar veröffentlichen