Die Blogosphäre schlägt zurück: Server Mario Dolzers gehackt, Kopfgeld auf Hacker ausgesetzt

[gullinews]

Einige Blogs und Sites Mario Dolzers bzw. solche, für die er als Admin-C eingetragen ist, wurden gestern gehackt. Bloginhalte wurden verändert, das hilfe-forum.eu gar komplett gelöscht. Die Angreifer konnten offenbar root-Zugriff auf einen der Server erlangen, auf denen die defaceten Sites gehostet waren. Dolzer reagierte mit einer Belohnung von 25.000 Euro, die er für die Ermittlung des Täters auslobt.

Gelöscht wurde die komplette Datenbank des hilfe-forum.eu, die Inhalte der Blogs punish-punisher.de und mariodolzer.de wurden ebenfalls gelöscht bzw. verändert: "Ich soll nicht mit unsinnigen Trackbacks nerven", so der massenhaft wiederholte Lehrsatz auf punish-punisher.de. Darüber hinaus gelöscht wurden Inhalte einiger hundert weiterer Domains. Über Nacht wurden nun Backups eingespielt und Bugs gefixt.
Was die Motivlage des Angreifers klären dürfte

weiterlesen

[-deckel-]

Das Hilfe-Forum zu löschen, ist eine Frechheit

Wer hat denn gelöscht?

Gestern gegen 23:00 Uhr lief eine richtig gute Diskussion im Board.

Der Angriff war angeblich vor 2 Tagen.

Warum ist dann die Shoutbox erst vor wenigen Stunden gelöscht worden?

[tachy]

Warum ist dann die Shoutbox erst vor wenigen Stunden gelöscht worden?

Er konnte es halt nicht stehen lassen, was seine User über ihn ausplaudern ich konnte es noch lesen... lach...

[-deckel-]

Hier ist ein Thread, der vor 3 Tagen begann und bis vor 3 Stunden kontinuierlich weitergeschrieben wurde.

[sebamed]

Auch können solche Auslobungen in einem gewissen Umfang auch als notwendige Kosten der Rechtsverfolgung vom Hacker zurückverlangt werden.

wo steht das denn?


sonst haben Sie doch immer quellen, urteile, vergleichsfälle o.ä....würde ich in bezuug auf diese aussage von Ihnen auch mal interressieren.
ebenso was unter "einem gewissen Umfang" zu verstehen ist.

[tachy]

Hier ist ein Thread, der vor 3 Tagen begann und bis vor 3 Stunden kontinuierlich weitergeschrieben wurde.

GRRÖÖÖÖÖHL...

Und was haben wir daraus gelernt, wenn Dolzerchens Schreibe plötzlich vor Fehlern nur so strotzt? naaaaa? Der muss sich ja ganz hübsch aufgeregt haben...

hihi,.... ein paar Postings später hat er sich dann die Quotenfrau geholt, um die Userchen zu betören, damit sie Ruhe geben,....

[Froschauge]

Hier ist ein Thread, der vor 3 Tagen begann und bis vor 3 Stunden kontinuierlich weitergeschrieben wurde.

Du willst doch nicht die fabelhafte Wahrnehmung eines glühenden GrAfaZ und DüDiPaZ Fan anzweifeln??

[[[mörsifull]]]

Mit einer "Blogosphäre", die zweifellos unbequeme Geister einfach abschaltet, statt sich fleißig tippend mit ihnen auseinanderzusetzen, kann jedenfalls ich mich überhaupt nicht identifizieren. Ich nahm bisher an, Blogger hielten etwas von Meinungsfreiheit.

Ich will ja nicht kleinlich sein - aber nur weils in der Überschrift der News steht und dann ständig wiederholt wird: Woher nimmst du denn das Wissen, dass dies ein Angriff aus der "Blogosphäre" gewesen ist. Denke mal da haben ganz andere Menschen auch Grund sowas zu tun und sei es nur, mal hämisch lachen zu können.

(Kann mir allerdings ein Schmunzeln auch nicht verkneifen und der Schaden dürfte sich in recht engen Grenzen halten, wenn das Backup tauglich war)

[clockup]

Denke mal da haben ganz andere Menschen auch Grund sowas zu tun und sei es nur, mal hämisch lachen zu können.

Genau. Mario Dolzer war übrigens in seinem früheren Leben (ca. bis 2001) Promoter von Beruf. Der Begriff Guerilla-Marketing ist ihm damit seit frühestens 1996, spätestens seit Muckraker, alles andere als unbekannt.

[Hans002]

25000 Euro sind wohl etwas zuviel...gerade weil das Hilfeforum doch sowieso von vorne bis hinten mit "ungenauen" Zahlen ausgestattet ist. Da stimmen die Zahlen doch vorne und hinten nicht:
1238 User online (Registrierte Benutzer: 20, Gäste: 804).
Mehr als 100.000 registrierte Mitglieder und ganze 20 sind online?. Man vergleiche einmal die Statistiken mit Gulli http://www.tiny.cc/OFI9o

Ich denke hier leidet jemand gewaltig unter Realitaetsverlust ;-) Vielleicht sind es 25 Euronen die Mario auf sich einen Hacker aussetzt.

[klassenblatt]

Ich kann mich vor lachen kaum noch halten

Danke Mario - Danke für den Witz des Tages. Schade das das HilfeForum wieder online ist - wirklich sehr schade. Aber was ich im HF an erfahrungen sammeln konnte ist nett. Hier die Kurzfassung:

Mario will die DeNic mit seiner Community DDoS'n ... ein paar Leute (u.a. ich) decken das ganze auf => Zack User gelöscht.

Zum Glück habe ich die DeNic vorher warnen können. Aber naja seis drum.

Das HF iss im Grunde wie Freenet ... nur das im HF die Daten teurer verkauft werden.

[Pringle]

Mario will die DeNic mit seiner Community DDoS'n ... ein paar Leute (u.a. ich) decken das ganze auf => Zack User gelöscht.

Zum Glück habe ich die DeNic vorher warnen können. Aber naja seis drum.

Das HF iss im Grunde wie Freenet ... nur das im HF die Daten teurer verkauft werden.

Erzähl mal bitte ein bisschen mehr, hab da nicht so viel Ahnung.
Was bringt eine DoS-Attacke auf die Denic-Server?
Und was meinst du mit "daten teurer verkauft"?

[dmc5]

ließ dir mal das durch:
http://board.gulli.com/thread/472269...tet-justmacde/


(und ich glaube das auch)
http://board.gulli.com/thread/511726...n-der-haftung/

irgendwo hab ich auch noch etwas geschrieben, was in seinem forum ab geht/ging.. womit ich auch beweisen kann, dass mario (zumindest teilweise) unwahrheiten erzählt!

zur "DoS" attacke.. es ging hierbei um eine art gewinnspiel, wobei user preise gewinnen konnten, indem sie bei sich eine art trojaner installiert haben, der nach zum verkauf offen stehenden domains suchte.. und je nachdem wie lukrativ das für herrn D. war, gab es von 10 bis 100 punkte.. und der die meisten punkte hatte, hat glaube ich einen ipod gewonnen..

aber klassenblatt wird bestimmt auch noch was dazu schreiben..

im übrigen für den Herrn D.

ich bin immer noch nicht klassenblatt

[tachy]

25000 Euro sind wohl etwas zuviel...gerade weil das Hilfeforum doch sowieso von vorne bis hinten mit "ungenauen" Zahlen ausgestattet ist. Da stimmen die Zahlen doch vorne und hinten nicht:
1238 User online (Registrierte Benutzer: 20, Gäste: 804).
Mehr als 100.000 registrierte Mitglieder und ganze 20 sind online?. Man vergleiche einmal die Statistiken mit Gulli http://www.tiny.cc/OFI9o

Ich denke hier leidet jemand gewaltig unter Realitaetsverlust ;-) Vielleicht sind es 25 Euronen die Mario auf sich einen Hacker aussetzt.

Oh wie lustig, das erinnert mich grade an was: An alte Mailbox-Zeiten, da gab es in den frühen 90ern eine Mailbox namens GATEWAY in Berlin, betrieben von einem Typ namens Norman Th***, im Auftreten ähnlich grosskotzig wie md, hatte auch ähnliche Ambitionen, die Leute zu nerven, mit damals noch 0190-Werbung für/im BTX! Der hat auch alles mögliche getrickst, um die anderen Sysops und User zu verarschen.

Erstaunliche Parallelen eröffnen sich hier. Meine Güte, diese Typen werden nicht aussterben.

Oder doch, dieser Norman T. ist mittlerweile völlig vom Erdboden verschwunden... Es gibt also noch Hoffnung!

[klassenblatt]

auch einzelnen Wunsch eines einzelnen Herrn hier was kurzes zur DDoS Attake vom Dolzer.

Aaalso .. wie dmc schon gesagt hat, war das ganze hübsch als Gewinnspiel getarnt ... naja die grunddinge könnt ihr ja seinem Post entnehmen.

Nun zur Technischen Seite, ich habe das Teil mal auf nem Rechner inner VM installiert und mitm Ethereal sowohl am Host als auch am VM Rechner den Traffic überwacht. Es war hochinteressant, dass das Teil ~5 Domainanfragen pro SEKUNDE an die DENIC schickte.

Nun könnt ihr selbst überlegen, was das für Auswirkungen hat.

Erste Mail an die DENIC:

Sehr geehrte Damen und Herren,

ich habe berechtigten Grund zur Annahme, dass jemand eine DDoS Attacke
auf Denic Server plant. Warum ich Grund zur annahme habe?

Unter http://gewinnspiel.hile-forum.info
<http://gewinnspiel.hile-forum.info/> wird ein so genanntes
Gewinnspiel Programm angepriesen, das nichts anderes Tut als Denic
Server mit Domainanfragen zu bombardieren.

Ich habe es zum überprüfen Heruntergeladen und mithilfe von Ethereal
den Traffic mitgeschnitten, dabei herausgekommen sind ca. 200-400
Anfragen pro Minute bei der Denic. Auf anfrage, kann ich Ihnen gerne
den Mitschnitt zuschicken.

Da das Forum eine recht hohe Useranzahl hat habe ich bedenken, dass
dies evt. Die Denic Server überlasten würde (wie bei einem DDoS angriff).

http://hilfe-forum.info/thread.php?threadid=66972

Diese URL verdeutlich Ihnen die Absichten des „Herausgebers“

Ich bitte Sie um kurze Stellungnahme.

Mit freundlichen Grüßen

[NAME ENTFERNT] - Muss ja nich jeder wissen wie ich heisse

Antwort der DENIC:

Sehr geehrter Herr [NAME ENTFERNT],

vielen Dank für Ihren Hinweis!
Wir werden uns die genannte Software ansehen und dann prüfen, ob sie irgendwelche Auswirkungen auf unseren Dienst haben könnte.

Sollten Sie noch weitere Beobachtungen zu diesem Thema machen, die uns eventuell weiterhelfen könnten, dann würden wir uns freuen, wenn Sie uns diese auch wieder mitteilen würden.

Vielen Dank im Voraus und beste Gruesse aus Frankfurt

[NAME ENTFERNT]
DENICoperations

Weitere Mail (einen Tag später):

Sehr geehrter Herr [NAME ENTFERNT],

nochmals vielen Dank fuer Ihre wertvollen Hinweise und bisherigen Informationen, wir haben uns dieser Angelegenheit bereits entsprechend angenommen.

mit besten Gruessen aus Frankfurt

[NAME ENTFERNT]
DENICoperations
- ---

"[NAME ENTFERNT]" <[MAILADRESSE ENTFERNT]> schrieb:

> Sehr geehrter Herr [NAME ENTFERNT],
>
> als ich meine Vermutung im Forum kund tat, wurde mein User samt
> beiträgen gelöscht. Ich denke, weil ich mit meiner Vermutung richtig
> liege. Ich kann Ihnen deshalb leider keine weiteren Infos mehr geben.
>
> Ausser, dass der Foren Betreiber Mario Dolzer schon mehrfach
> vorbestraft ist.
>
> Mfg
> [NAME ENTFERNT]

Jaja, der liebe Dolzer...*würg*

[-deckel-]

Hier ist eine Analyse des Denic-Schnüffeltools:

http://ve.nod32.ch/trojan/win32/domangle.php

[klassenblatt]

Hier ist eine Analyse des Denic-Schnüffeltools:

http://ve.nod32.ch/trojan/win32/domangle.php

Das bestätigt mich ja nur in gewisser Weise - nur das ich nicht wusste wie das Tool jetzt Haarklein Funktioniert.

Danke für den Link/Post.

[foxxy]

Wer böses tut, dem wird böses wiederfahren Im Grunde halte ich ja von solchen "Aktionen" nichts, wenn man sich aber vorstellt was Herr M.D. offensichtlich plante, war das ja Quasi die Abwendung eines größeren Schadens.

[-deckel-]

Es heißt, ein Server wäre betroffen gewesen:

http://karl-tux-stadt.de/ktuxs/?p=418#comment-1256

Für einige Zeit nicht verfügbar war der übliche Google-Müll z.B. von

http://www.dnsstuff.com/tools/tracer...d-kanzlerin.de

Das Hilfe-Forum löst auf nach

http://www.dnsstuff.com/tools/tracer...hilfe-forum.eu

Wie viele IP-Adressen hat ein einzelner Server?

[DocViper]

Das Hilfe-Forum zu löschen, ist eine Frechheit, es und seine User haben mit Trackbacks, die wohl ohnehin die meisten automatisch wegfiltern, herzlich wenig zu tun; das Hacken der Blogs mag dagegen 'sportlich' sehen wer will, mir fielen indes lohnenswertere Angriffsziele ein.

Sicher, es ist und war ein Frechheit. Aber wir wollen nicht Ursache und Wirkung verwechseln. Das was die Hilfeboard User zu sprüren bekamen, war nur die Wirkung. Die Ursache ist und war das Verhalten von Alice Brown, die meint auch wirklich jeden in diesen Blödsinn reinziehen zu müssen. ich hab das entsprechende Logs gesehen, wo Trackbacks kommen zu irgendwelchen Themen, die eben nur Reinholzbashing enthielten. Soll ich dir was sagen. In jeden Krieg gibts Kollateralschäden. Das war mal eben das Forum von Mario. Shit happens und Backups gab ja auch. Also is der Schaden marginal, im Gegensatz zu dem, den Reinholz unmd Dolzer im Netz hinterlassen. Es is mir inzwischen auch völlig egal wer schuld is und wer warum wann grad in Knast sitzt, hauptsache das Thema entschwindet irgendwann samt Protagonisten von der Bildfläche.

Ach ja, zum sportlichen wegfiltern mal eines. Ich bekomm in meinen Postfächern pro Tag ca. 100 Spammails, die ich "sportlich" wegfilter. Trotzdem bleibt es Spam.

[-deckel-]

Hier läuft's ohne Datenverlust.