debianforum.de

22:41 [quakenet] -!- Dauerhaft gebannt aufgrund von Usern, die die Regeln gebrochen haben und keiner antwort von T-Online trotz zahlreicher Versuche.
Glined bis T-Online antwortet. Bitte kontaktieren Sie T-Online ( 0180 5 34 53 45 / kundenservice@t-online.de ) für Hilfe..

Auch 'ne Möglichkeit die Aufmerksamkeit von grossen Unternehmen zu bekommen.

Patrick

pdreker hat geschrieben:Auch 'ne Möglichkeit die Aufmerksamkeit von grossen Unternehmen zu bekommen.

Quakenet scheint langsam echt eine Abneigung gegen T-Online-User zu entwickeln. Schon vor einiger Zeit haben sie Einstellungen vorgenommen, die T-Online-User auf eine Connection pro Host beschränken.

Naja mir soll's egal sein, hab aber leider doch ziemlich viele Leute im quakenet die ich schon sehr lange kenne

<insider>
Hehe... 2:0 für QSC
</insider>

blackm hat geschrieben:<insider>
Hehe... 2:0 für QSC
</insider>

grrrr

hallo

also ich kenn das gar nicht anders. Im dal.net werden immer wieder t-online und aol benutzer komplett gebanned. Und das aus dem Grund heraus, weil sich scheinbar die isps nicht darüm kümmern was für sch???e manche Kunden machen und somit die Admins druck auf die Firmen machen.

Gruss penthesilea

Man muss aber auch sagen, dass die "Spacko Quote" im DALNet schon überdurchschnittlich ist... Dass es dadurch dann immer die grössten ISPs trifft, ist normale Statistik (die haben die meisten User...)

Patrick (Du willst mich SYN Flooden? Hier, ich schenke Dir das ICMP Paket des Grauens...)

pdreker hat geschrieben:Man muss aber auch sagen, dass die "Spacko Quote" im DALNet schon überdurchschnittlich ist... Dass es dadurch dann immer die grössten ISPs trifft, ist normale Statistik (die haben die meisten User...)

das gleiche trifft wohl für's Quakenet auch zu

Patrick (Du willst mich SYN Flooden? Hier, ich schenke Dir das ICMP Paket des Grauens...)

exec hack.exe && exec ping_of_death.exe

was will das qnet schon für nen Druck ausüben, ist doch sowieso das Lamer Netzwerk hoch 1

und auf dal ist doch auch niemand wirklich angewiesen, sollen sie halt machen

Ich find die "glined bis t-online antwortet" Meldung allerdings witzig, als ob das jemanden kümmern würde *g*

try hat geschrieben:

Patrick (Du willst mich SYN Flooden? Hier, ich schenke Dir das ICMP Paket des Grauens...)

exec hack.exe && exec ping_of_death.exe

Ich bin doch kein Script Kiddy...
Dann kreativ sein

Achtung: Das kann illegal sein...
Ich habe 'mal mit einem sing Aufruf, einen richtig grossen Internetzugang (mehr als 100 MBit/s) für 5 Minuten vom Netz geholt, weil der Border Router mit dem ICMP Paket (bzw. ca. 1000 davon) echt lange beschäftigt war... War allerdings ein Versehen: Ich wollte das eigentlich einem Kollegen im internen Netz demonstrieren, habe mich allerdings bei der Ziel IP vertippt, und so war das dann ausserhalb des lokalen Netzes... Zum Glück war das am Wochenende...

Patrick

pdreker hat geschrieben:Achtung: Das kann illegal sein...

Aber der Name ist auf jeden Fall schonmal cool! Send ICMP Nasty Garbage packets *g*

Aber das mit dem vertippen merk ich mir mal

hm... immer noch g-lined.
ich frag mich langsam ob das nur ich bin.. keine Seiten berichten darüber.

Glaubt mir ja sowieso keiner, aber es war wirklich ein Versehen... Ich schiesse doch den Arbeitgeber meines Bekannten (und damals auch noch meiner) nicht aus dem Netz. Was ich von zu Hause aus mache, steht auf einem anderen Blatt, aber normalerweise bin ich sehr umgänglich und geduldig.

Ich habe das bisher nur einmal wirklich eingesetzt (und ich finde die Story immer noch lustig, obwohl das mittlerweile fast 2 Jahre her ist... Hinweis: alles aus dem Chat ist sinngemäss, ich habe es leider damals vergessen zu loggen...):
Meine Firewall zeigte plötzlich konstante 10K/s inbound Traffic. Ich habe aber nichts gemacht (ein bisschen IRC, aber keine 10K/s), und mein Mitbewohner war auch nicht da, also was geht ab? Ein Blick nach /var/log/syslog zeigt laufende Portscans aller Art (SYN, Half-Open, FIN, XMAS, usw...), alle von der gleichen IP, und alles schon mehrfach (Warum sollte man den gleichen Portscan 2mal laufen lassen? Vielleicht weil man unter Win den Output nicht zur weiteren Analyse in eine Datei pipen kann... )

Ich habe den Typen dann in dem IRC Channel gefunden (War Zufall), in dem ich rumhing, und habe ich ge /msg't, und habe Ihm freundlich gesagt, dass er doch bitte woanders spielen gehen sollte, weil sich an der Firewall nichts ändern würde, egal wie oft er da noch rumscannt. Antwort: Irgendein unzusammenhängendes Anti Linux Geseiher (War ein Linux Channel...) und dass er es mir schon zeigen würde. Ausserdem könnte ich ja doch nix unternehmen, weil er eine Firewall hätte.

(Log nachgestellt) Oh ja, die ganzen grossen Hacker sind mit Win98 unterwegs, das hatte ich ja vergessen...

Als ich Ihm dann meine neuesten Erkenntnisse mitteilte, ging ca. 20 Sekunden später ein SYN Flood los. Immer noch von der gleichen IP. erst habe ich Ihm ein paar ICMP Source Quenches geschickt (Sagt der Gegenstelle, dass sie langsamer machen soll (NB: funktioniert normalerweise nicht)) aber mein QoS hat mich auch so problemlos im Netz gehalten (mein Downstream ist definitiv grösser, als sein Upstream). Die SYN sind ja eh' alle an der FW gedropped worden...

Dann sage ich zu Ihm: "Ich muss Dir was schlechtes mitteilen: Ich bin immer noch da... ". Irgendwie hat Ihn das aber nicht beruhigt... Ich habe dann ein iptables Zeile eingefügt, die alle Pakete von seiner IP an seine IP weiterleitet. Das war scheinbar eine gute Idee, denn der SYN Flood wurde daruafhin deutlich langsamer (wahrscheinlich weil sein Firewall eine Million Warnungen ausgeworfen hat.) Seine Reaktion: "heh was soll das?". Ich erkläre Ihm in einfachen Worten was gerade passiert (Dass er sich im Prinzip gerade selbst SYN Floodet). Dann ist plötzlich Ruhe.

Ich denke schon, das war es jetzt, aber falsch gedacht. Ca. 1 Stunde später (Ich hatte die iptables Sachen und so wieder rausgenommen) springt meine IDS (Snort) pötzlich an: "Shellcode Alert!". Nachgeschaut: Ach, nee, die IP kenne ich doch... Kontrolliert, was er da versucht: irgendeinen "Sploit" gegen meinen Apache. Mein Apache kommentiert das aber immer nur mit "Bad Request". Ist wohl zu alt der Exploit...

Also erstmal den Apache Port mit iptables zumachen, damit er da nicht weiter rumspielt (Er hat ja immerhin eine Stunde gebraucht, um einen nicht funktionierenden Exploit zu finden, das sollte also erstmal für Ruhe sorgen) und dann wieder /msg. Bevor ich was sagen kann, kommt sowas wie "Jetzt kriegst Du es!". Darauf ich: "Wohl eher nicht Du Amateur. (Falls Du es nicht kapierst: Der Exploit funktioniert nicht, und ich habe den Port gesperrt.) Auf Wiedersehen."

Kurze Zeit darauf geht er auf den SSH Port, wiederum ohne Erfolg. An dieser Stelle ist meine Geduld dann doch erschöpft. Bis jetzt war es ja noch irgendwie lustig, aber jetzt wird es langweilig. /msg... "Hallo, OK, Du hast gewonnen, ich habe die Schnauze voll: Ich werde jetzt im Channel sagen, dass Du gewonnen hast...Du hast meine Kiste gehackt. Ist es das was Du willst?" Keine Reaktion. "Liest Du den Channel?" - "ja". Also ins Channel Window: "/me schickt foobar jetzt nach Hause", im Msg Win kommt fast sofort: "WTF?" - Ich: "Du gehst jetzt offline." (Hinweis: Das ist nicht die richtige Zeile... Im Prinzip ist das was da steht nur ein ganz profanes Flood Ping mit einem String im Paket. Ich will ja niemanden zu etwas animieren... Das was ich Ihm damals geschickt habe war schlimmer... viel schlimmer. Wieviele Optionen von sing kann man wohl sinnvoll gleichzietig benutzen? )
Keine 2 Sekunden später, erscheint im Channel: "foobar hast Quit (Ping timeout)". Er ist dann noch 2mal mit anderen IPs zurückgekommen, aber irgendwie hat sich seine Situation dadurch nicht verbessert. Danach war Ruhe.

Meiner Meinung nach war das Selbstverteidigung...

Patrick (Ich mag'Skript Kiddies. Am liebsten mariniert und gegrillt.)

Antwort von Quakenet:

Hello

QuakeNet have had to gline a series of t-dialin hosts in order to
remove a persistent abuser from the network. This action was taken as T-
Online failed to respond to our abuse reports.

Sorry if you've been affected by these glines, but they are necessary.
Feel free to contact T-Online and urge them to contact us.

Thanks

Schade das es immer wieder Idioten geben muss unter denen andere Menschen leiden müssen.