Spam durch Wintelex

Alles, was nicht direkt mit dem i-Telex System oder technischem Support zu tun hat, im entferntesten Sinne aber noch zum Thema Fernschreiber passt.
Benutzeravatar

detlef
Rank 12
Rank 12
Beiträge: 3542
Registriert: Do 28. Mär 2019, 09:10
Wohnort: Marburg
Hauptanschluß: 7822222 hael d

Re: Spam durch Wintelex

#41

Beitrag: # 13948Beitrag detlef »

duddsig hat geschrieben: Di 6. Aug 2019, 16:31 Aber wie kann man sowas finden, wenn man davon keine Ahnung hat?
Also ich würde dazu den Netzwerkverkehr mitprotokollieren und prüfen, ob da irgendetwas intern auf das i-Telex zugreift - z.B. mit dem Windows-Programm Wireshark.
Das Problem ist aber, dass man mit einem Windows-Rechner an einem Netzwerk-Switch nicht's mitbekommt.
Man braucht dazu einen Managed Switch, wo man die Ports entsprechend konfigurieren kann, so dass man an einem Port lauschen kann, was über einen anderen Port geroutet wird (port mirroring).
Oder einen alten Ethernet-Hub ohne Switch-Funktion, der auf allen Ports alles rausroutet.

Wenn man sich mit den Netzwerkprotokollen und der Bedienung von Wireshark nicht so gut auskennt, ist das aber auch mühsam. Ich helfe aber gerne weiter.
Gruß, Detlef

i-Telex: 7822222 (T1000), 114288 (F1300), 211230 (T100Z), 96868 (T37), 24394 (T68d)
Konferenzdienst: 11160 / 11161, Rundsender: 11162 / 11163 , Baudot-Bilder: 11166
Chat-GPT: 11168, Mail- und Fax-Dienst: 11170 / 11171, hist. Auskunft 1987: 40140, Wetterdienst: 717171
Benutzeravatar

duddsig
Rank 11
Rank 11
Beiträge: 1114
Registriert: Sa 18. Feb 2017, 20:47
Wohnort: Großpösna bei Leipzig
Hauptanschluß: 7977457 knawu d

Re: Spam durch Wintelex

#42

Beitrag: # 13949Beitrag duddsig »

Ich habe mir überlegt, daß wenn der Indianer in meinem Privaten Netz sein Unwesen treibt, seine Blutsbrüder fast gleichzeitig bei den Anderen mit giftigen Pfeilen geschossen hätten. Das halte ich für sehr unwahrscheinlich. Ich gehe davon aus, daß es eventuell sogar noch eine Dunkelziffer gibt, bei denen das auch so war. Ich berfürchte eher, daß da jemand gefummelt hat. Wie auch immer.
1=T51✦7977457 knawu d
2=T100 ✧7262124 keba d , ✧de afbirq nj
3=T63 ✦48936 t63 pl, ✦87724 ksbo dd
4=AB ✦512283 rfta dd
5=T36Lo ✦15199 tentstoer
6=Lo15 ✦711 pruef att DuWa=711711
7=T51 ✦34131bf dr z.Z. offline
8=T63 ✦512283 rfta dd
Benutzeravatar

ProgBernie
Rank 5
Rank 5
Beiträge: 422
Registriert: Sa 27. Okt 2018, 17:51
Hauptanschluß: 898906 laeng d

Re: Spam durch Wintelex

#43

Beitrag: # 13950Beitrag ProgBernie »

Jens, Du brauchst wohl nicht nach Pfeilen zu suchen. Das kommt mit 99,98% Sicherheit von externen Angreifern, die alles was sich an Türen öffnen lässt ausprobieren. Im ersten Scan werden offene Ports probiert, die dann mit wenigen Standardanfragen auf dahinter liegende Dienste getestet werden (HTTP, FTP, SMB, SIP...) Wenn sich was interessantes ergibt wird dort weiter Kernforschung betrieben, evtl. auch später.
Gruß Bernd
--
Fernschreibstelle Labenz
898906 laeng d
Benutzeravatar

detlef
Rank 12
Rank 12
Beiträge: 3542
Registriert: Do 28. Mär 2019, 09:10
Wohnort: Marburg
Hauptanschluß: 7822222 hael d

Re: Spam durch Wintelex

#44

Beitrag: # 13951Beitrag detlef »

ProgBernie hat geschrieben: Di 6. Aug 2019, 17:16 Jens, Du brauchst wohl nicht nach Pfeilen zu suchen. Das kommt mit 99,98% Sicherheit von externen Angreifern, die alles was sich an Türen öffnen lässt ausprobieren. Im ersten Scan werden offene Ports probiert, die dann mit wenigen Standardanfragen auf dahinter liegende Dienste getestet werden (HTTP, FTP, SMB, SIP...) Wenn sich was interessantes ergibt wird dort weiter Kernforschung betrieben, evtl. auch später.
Ja, in der Regel ist das so. Aber VoIP-Telefonanlagen treiben manchmal komische Sachen im Netzwerk.
Da prüfe ich inzwischen immer nach, ob die nicht beteiligt ist, wenn im Netzwerk merkwürde Dinge passieren.
Gruß, Detlef

i-Telex: 7822222 (T1000), 114288 (F1300), 211230 (T100Z), 96868 (T37), 24394 (T68d)
Konferenzdienst: 11160 / 11161, Rundsender: 11162 / 11163 , Baudot-Bilder: 11166
Chat-GPT: 11168, Mail- und Fax-Dienst: 11170 / 11171, hist. Auskunft 1987: 40140, Wetterdienst: 717171
Benutzeravatar

duddsig
Rank 11
Rank 11
Beiträge: 1114
Registriert: Sa 18. Feb 2017, 20:47
Wohnort: Großpösna bei Leipzig
Hauptanschluß: 7977457 knawu d

Re: Spam durch Wintelex

#45

Beitrag: # 13952Beitrag duddsig »

detlef hat geschrieben: Di 6. Aug 2019, 17:53 Ja, in der Regel ist das so. Aber VoIP-Telefonanlagen treiben manchmal komische Sachen im Netzwerk.
Das mag so sein. Aber von denen die sich hier gemeldet haben hat nur einer eine solche, ich aber nicht.
Das war sicherlich irgend ein anderes Snüfflstück.
Die zeitliche Übereinstimmung läßt mich an jemanden, der gerade mal bischen Zeit für sowas hatte, und gezielt vorging denken. Wie gesagt, wer weiß wo es noch überall war.

bei Rainer begann es 19:30 und endete 19:32:58 mit Zeitüberschreitung
bei mir begann es 19:59 und endete 20:02:58 mit Zeitüberschreitung
bei Franz begann es 21:24 und endete 21:26:15 mit Zeitüberschreitung, danach noch ein Anruf
bei Marco begann es 21:13 und endete 21:14:08 mit Zeitüberschreitung, danach die SIP-Geschichte
1=T51✦7977457 knawu d
2=T100 ✧7262124 keba d , ✧de afbirq nj
3=T63 ✦48936 t63 pl, ✦87724 ksbo dd
4=AB ✦512283 rfta dd
5=T36Lo ✦15199 tentstoer
6=Lo15 ✦711 pruef att DuWa=711711
7=T51 ✦34131bf dr z.Z. offline
8=T63 ✦512283 rfta dd
Benutzeravatar

detlef
Rank 12
Rank 12
Beiträge: 3542
Registriert: Do 28. Mär 2019, 09:10
Wohnort: Marburg
Hauptanschluß: 7822222 hael d

Re: Spam durch Wintelex

#46

Beitrag: # 13953Beitrag detlef »

duddsig hat geschrieben: Di 6. Aug 2019, 19:26 Das mag so sein. Aber von denen die sich hier gemeldet haben hat nur einer eine solche, ich aber nicht.
Das war sicherlich irgend ein anderes Snüfflstück.
Die zeitliche Übereinstimmung läßt mich an jemanden, der gerade mal bischen Zeit für sowas hatte, und gezielt vorging denken. Wie gesagt, wer weiß wo es noch überall war.
Ich hatte das auch auf die eine SIP-Meldung bezogen. Ansonsten hat du Recht. Das zeitliche Zusammenfallen spricht dafür, dass da jemand von extern rumgespielt hat.
Ich hatte intensiv gegooglet, mit welchem Tool oder Protokoll man die Options-Zeile erzeugen kann, und dabei habe ich bisher nur Apache gefunden.
Gruß, Detlef

i-Telex: 7822222 (T1000), 114288 (F1300), 211230 (T100Z), 96868 (T37), 24394 (T68d)
Konferenzdienst: 11160 / 11161, Rundsender: 11162 / 11163 , Baudot-Bilder: 11166
Chat-GPT: 11168, Mail- und Fax-Dienst: 11170 / 11171, hist. Auskunft 1987: 40140, Wetterdienst: 717171
Benutzeravatar

detlef
Rank 12
Rank 12
Beiträge: 3542
Registriert: Do 28. Mär 2019, 09:10
Wohnort: Marburg
Hauptanschluß: 7822222 hael d

Re: Spam durch Wintelex

#47

Beitrag: # 13954Beitrag detlef »

Ich habe jetzt was dazu gefunden:
http://www.solutionsatexperts.com/http- ... ng-netcat/

Da war wohl tatsächlich ein Vulnerability Scanner am Werk.
Gruß, Detlef

i-Telex: 7822222 (T1000), 114288 (F1300), 211230 (T100Z), 96868 (T37), 24394 (T68d)
Konferenzdienst: 11160 / 11161, Rundsender: 11162 / 11163 , Baudot-Bilder: 11166
Chat-GPT: 11168, Mail- und Fax-Dienst: 11170 / 11171, hist. Auskunft 1987: 40140, Wetterdienst: 717171
Antworten

Zurück zu „Talk-Café“