Re: Problem mit Mail - Gehacktes DNS

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Fri, 11 Nov 2005 17:32:58 +0100 (CET)



Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> wrote:


 > ich habe hier etwas merkwuerdiges.. wird vielleicht jemand draus schlau?



Ich erspare uns mal, alles zu quoten (man findet's ja im


Thread, wenn nötig).



Erst die Zusammenfassung:  Ich glaube nicht, daß irgendwas


gehackt wurde.



Jetzt ein paar Bemerkungen im einzelnen:



 > 550 5.7.1 <debate(at)lists.fitug.de>... recipient denied, because MX


 > 100 'mail.zrz.tu-berlin.de.' [130.149.4.15] for


 > <Peter.Ross(at)alumni.tu-berlin.de> rejected address saying


 > "Exploitable Server See:


 > http://www.sorbs.net/lookup.shtml?81.169.156.174."


 > 


 > Address and Port:       81.169.156.174


 > Record Created: Wed Oct 19 17:57:27 2005 GMT


 > Record Updated: Sun Oct 23 11:51:39 2005 GMT


 > Additional Information: Likely Trojaned Machine, host running unknown trojan


 > Currently active and flagged to be published in DNS



Das mit dem Trojaner halte ich für einen Irrtum.  Leider


schreiben sie keine Details, wieso sie darauf kommen.



 > If you wish to request a delisting please do so through the Support System.



Das sollte man mal versuchen.  Oder die Betreiber Deines


Mailservers bitten, daß sie das tun sollen.  Oder die


Betreiber von mail.zrz.tu-berlin.de bitten, nicht mehr


SORBS zu verwenden (das ist nämlich nicht das erstemal,


daß ich von Problemen mit SORBS höre).



 > Reverse lookup:


 > > 81.169.156.174


 > Name:    xn--abcdefghijklmnopqrstuvwxyzss-vnc45c5f.de


 > [...]


 > okay, der Reverse Lookup wurde gehijackt.



Äh, wie kommst Du darauf?



 > Hmmh. Wo genau wurde da gehackt und was ist der Sinn der Geschichte?



Nirgends wurde gehackt (soweit ich das beurteilen kann).


Der Reverse-Lookup zeigt auf einen IDNA-Namen, der zugege-


benermaßen keinen besonders tiefen Sinn hat, aber ich sehe


da keine Anzeichen von kriminellen Aktivitäten.



BTW, zuweilen ist auch ein whois(1) auf Domain-Namen oder


IP-Adressen aufschlußreich.



Gruß


   Olli



-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
'Instead of asking why a piece of software is using "1970s technology,"
start asking why software is ignoring 30 years of accumulated wisdom.'
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 11 Nov 2005 - 17:34:41 CET













search this site