symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Microsoft scannt alle Schweizer Domains ab
Veröffentlicht durch gumbo am Sonntag 26. Mai, 11:58
Aus der Vertrauen-ist-gut,-Kontrolle-ist-besser Abteilung
Microsoft Viscus schreibt "Wie seit dem 25.5. auf der Newsgroup ch.admin festgestellt wurde scannt Microsoft Schweiz alle Schweizer Webserver nach Files mit der Extension .aspx ab. Oftmals handelt es sich um die Datei Default.aspx.

Es werden aber auch andere Dateien mit einer anderen Dateierweiterung gesucht.
Die IP Adresse von der die Scans ausgehen ist auf das Microsoft Netzwerk über Sunrise zurückzuführen.
Ich finde das eine absolute Frechheit und zeigt einmal mehr, dass diesem Konzern nicht zu trauen ist."

Biometrie-Scanner übertölpeln | Druckausgabe | Slackware 8.1 Release Candidate 1 ist da!  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Viscus
  • ch.admin
  • Mehr zu Microsoft
  • Auch von gumbo
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Die spinnen doch! (Score:1)
    Von Obri (nixda) am Sunday 26. May, 12:21 MES (#1)
    (User #466 Info) http://www.aubry.li
    Ich habe mal in den Webserverlogs nachgeschaut, die haben hier ca. 3000 "Scans" durchgeführt angefangen am 23 bis heute. Ich bastle mal ein Perl Script, dann kann ich mit genaueren Zahlen dienen.
     
    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Re:Die spinnen doch! (Score:1)
    Von colin am Sunday 26. May, 17:10 MES (#8)
    (User #465 Info) http://www.schluesselgaessli.ch
    3000? Das ist schon enorm viel ... ist's jedesmal die gleiche Datei oder haben sie verschiedene gesucht?

    Falls du deinen Net-Traffic bezahlen musst, solltest du denen den von den M$-Spinnern erzeugten in Rechnung stellen :) (Was fuer ein Satz ... )

    Colin
    Re:Die spinnen doch! (Score:1)
    Von Obri (nixda) am Sunday 26. May, 17:30 MES (#9)
    (User #466 Info) http://www.aubry.li
    Naja es waren dann doch nich die geschätzten 3000 (Da habe ich einfach mal angenommen das auf jede Domain gleichviele Scans gemacht wurden....)sondern nur etwas unter 1000, die Anzahl der Requiests ist sehr unterschiedlich auf verschiedene Domains verteilt, Bekanntere Domains wurden heufiger gescant. Es sieht fast so aus als ob die Scandaten aus den ergebnissen einer Suchmaschiene stammen würden. Ich denke die haben bei $suchmaschiene nach einem bestimmten Begriff gesucht, und dann die Ergebnisse durch ihren Bot gewurstelt. Das Programm läuft überigens nicht mal fehlerfrei, auf einer Domain habe ich 101 Requests auf / gesehen (Das würde ich schon fast DoS nennen).
    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Re:Die spinnen doch! (Score:1)
    Von kruemelmonster (symlink.5.kruemi@spamgourmet.com) am Sunday 26. May, 19:41 MES (#10)
    (User #3 Info) http://www.tedaldi.net
    Hm... mal sehn...

    *************
    195.141.86.145 - - [24/May/2002:21:28:22 +0200] "GET http://www.eheseelsorge.ch/hgfserd.aspx HTTP/1.0" 404 325 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
    195.141.86.145 - - [25/May/2002:13:38:01 +0200] "GET http://www.eheseelsorge.ch/Default.aspx HTTP/1.0" 404 325 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
    195.141.86.145 - - [25/May/2002:13:53:03 +0200] "GET http://www.eheseelsorge.ch/Default.aspx HTTP/1.0" 404 325 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
    195.141.86.145 - - [25/May/2002:15:15:20 +0200] "GET http://www.eheseelsorge.ch/ertdfgderww.aspx HTTP/1.0" 404 329 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
    195.141.86.145 - - [25/May/2002:18:14:53 +0200] "GET http://www.eheseelsorge.ch/ertdfgderww.aspx HTTP/1.0" 404 329 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
    195.141.86.145 - - [25/May/2002:19:35:04 +0200] "GET http://www.eheseelsorge.ch/ HTTP/1.0" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"
    195.141.86.145 - - [26/May/2002:11:48:20 +0200] "GET http://www.eheseelsorge.ch/ HTTP/1.0" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"

    ************

    Naja, die Anzahl hält sich in Grenzen... lustigerweise ist diese Page bisher von nirgends verlinkt und auch ned die default-page auf dieser IP! Die müssen fast die switch-db genommen haben, um diese Domain zu finden!

    Testen die damit ihr .NET Zeugs? Schaut euch mal die Browser-Kennung an!

    Mal nachfragen, was das soll!
    --
    auch die Zehe ist ein Laufwerk
    Re:Die spinnen doch! (Score:1)
    Von Obri (nixda) am Sunday 26. May, 20:37 MES (#11)
    (User #466 Info) http://www.aubry.li
    Also ich habe über hundert Requests in der Form

    195.141.86.145 - - [23/May/2002:23:31:43 +0200] "GET http://www.w3.org/ HTTP/1.0" 404 211 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)"

    auf eine Domain, Das sieht doch fast wie ein Proxy-scan aus oder?

    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Lustiger Kiste (Score:1)
    Von kruemelmonster (symlink.5.kruemi@spamgourmet.com) am Monday 27. May, 10:30 MES (#15)
    (User #3 Info) http://www.tedaldi.net
    unter 195.141.86.145 läuft ein Server (Port 80 offen) für die Microsoft User Group Switzerland... Nennen sich selbst MSUGS... mal abgesehen von der schreibweise, das tönt fast wie "MS SUX" .-))

    Fassen wir mal zusammen:
    - Kiste ohne reverse-lookup
    - Tote Mailadresse in Whois-Eintrag
    - Webserver
    - MS scannt von dieser Adresse aus schweizer Domains nach seltsamen .aspx-dateien ab

    Unter dieser IP-Adresse sind mehrere domains zu finden! So z.B.:
    - www.msugs.ch
    - hosting.msugs.ch (hier können Entwickler ihre apps testen... ist das jemand von denen?)
    - www.ms-community.ch

    Mehr hab ich momentan ned gefunden...

    Lustig ist die Seite:
    hosting.msugs.ch auf jeden Fall! Echt sehenswert!

    cu

    kruemi
    --
    auch die Zehe ist ein Laufwerk
    Re:Lustiger Kiste (Score:1)
    Von CrypTom am Monday 27. May, 11:59 MES (#20)
    (User #934 Info)
    Wir haben dasselbe festgestellt und uns bei msugs telefonisch erkundigt, was das ganze soll. Wir wurden an einen Administrator mit @microsoft.com Adresse verwiesen, der uns eine schriftliche Stellungnahme versprach. Ich halte euch auf dem laufenden!

    CrypTom
    Re:Die spinnen doch! (Score:1)
    Von lofty am Friday 31. May, 02:50 MES (#45)
    (User #941 Info)
    Die scheinen ja das ja manuell zu machen! Kann den M$ den gar nichts richtig?
    Ich hab mal bei MS nachgefragt (Score:1)
    Von SrmL (dwsl@dur.ch) am Sunday 26. May, 13:09 MES (#2)
    (User #17 Info) http://dur.ch/
    Ich hab mal bei MS nachgefragt, was das ganze soll. Falls ich eine Antwort bekomme, werde ich natürlich Symlink darüber informieren.
    Antwort: (Score:1)
    Von SrmL (dwsl@dur.ch) am Sunday 26. May, 13:16 MES (#3)
    (User #17 Info) http://dur.ch/
    > From: postmaster@microsoft.com
    >
    > This is an automatically generated Delivery Status
    > Notification.
    >
    > Delivery to the following recipients failed.
    >
    > thomas.rupp@microsoft.com

    Der ist aber bei RIPE als Kontakt eingetragen...

    Re:Antwort: (Score:1)
    Von schth am Sunday 26. May, 13:21 MES (#4)
    (User #782 Info)
    Ich habe natürlich auch gleich mal ein Mail an diesen Thomas Rupp geschrieben und die gleiche Antwort bekommen. Mal schauen, ob ich noch eine andere Mailadresse finde...
    Re:Antwort: (Score:1, Informativ)
    Von Anonymer Feigling am Monday 27. May, 09:20 MES (#13)
    Ich fuellte das Kontakt-Formular auf der MS-Schweiz Seite aus und bekam folgende Antwort:

    -----------------------------------
    Sehr geehrter Herr Hirt,

    vielen Dank für Ihre Anfrage.


    Wir bitten Sie, für dieses Problem den kostenlosen technischen Support von Microsoft unter folgender Rufnummer zu kontaktieren: 0848 80 22 55


    Für Rückfragen stehen wir Ihnen gern zur Verfügung.

    Mit freundlichen Grüssen

    Iris Schwaiger
    Microsoft Communication Center
    Customer Service Switzerland
    -----------------------------------

    Gruesse, Dominik

    Re:Antwort: (Score:2)
    Von bones am Monday 27. May, 10:12 MES (#14)
    (User #481 Info) http://www.p-guhl.ch
    ah...??? Das Formular ist wohl nur das Frontend zu dieser Meldung... (ein paar Adressen abgrasen und den Fragesteller an die Hotline schicken???)

    MS ist immer für eine Überraschung gut... so nach dem Motto: "Du denkst Du hättest das Übelste schon gesehen? Also... wir hätten da noch eine Überraschung...".

    Der Knochen
    Re:Antwort: (Score:1)
    Von kruemelmonster (symlink.5.kruemi@spamgourmet.com) am Monday 27. May, 10:48 MES (#16)
    (User #3 Info) http://www.tedaldi.net
    da die msugs.ch betreiber des Servers zu sein scheint hab ich mal an info@msugs.ch geschrieben...

    ******************
    This is an automatically generated Delivery Status Notification.

    Delivery to the following recipients failed.

                  cfrei@microsoft.com
    *******************

    MS scheint ein kleines Problem damit zu haben, ihre Daten aktuell zu halten!
    Oder ist das ganze etwa ein Fake?

    cu

    kruemi
    --
    auch die Zehe ist ein Laufwerk
    Re:Antwort: (Score:2)
    Von bones am Monday 27. May, 11:53 MES (#19)
    (User #481 Info) http://www.p-guhl.ch
    Haben Domainhalter, die ihre Kontaktinformationen nicht aktuell halten, eigentlich weiterhin ein Recht auf ihre Domain? Nun... vermutlich schon, so lange die Rechnung irgendwie zugestellt werden kann. Aber ich finde, es sollte nicht so sein!

    Gruss
          Der Knochen
    Re:Antwort: (Score:1)
    Von Obri (nixda) am Monday 27. May, 12:55 MES (#21)
    (User #466 Info) http://www.aubry.li
    Naja die haben noch mehr Probleme, vorstand@msugs.ch geht auch an cfrei@microsoft.com und funktioniert somit auch nicht. Seit wann besteht der Vorstand bei einem Verrein aus einer Person?
    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Re:Antwort: (Score:2)
    Von bones am Monday 27. May, 13:18 MES (#23)
    (User #481 Info) http://www.p-guhl.ch
    Naja, das heisst ja nur, dass dieser frei derjenige ist, der die Mails für den Vorstand einsammelt.

      >
    Vielleicht war dieser Frei ja der einzige, der ein Mailprogramm bedienen konnte... und seit er aus dem Verein ausgetreten ist kann's halt keiner mehr.
      >

    Der Knochen
    Wahnsinnig Schlimm (Score:0, Unruhestifter)
    Von dawn (dawn at fnord dot ch) am Sunday 26. May, 13:43 MES (#5)
    (User #8 Info) http://www.trash.net/~thomasb/
    Ich versteh' nicht, wieso man da jetzt so ein Theater drum macht.

    Wenn ihr einen öffentlichen Webserver betreibt, müsst ihr damit rechnen, dass da auch jemand Daten davon downloadet. Wenn euch das stört gibt es genau eine Lösung: Stellt den Webserver ab.
    --
    Anyone can make an omelet with eggs. The trick is to make one with none.

    Re:Wahnsinnig Schlimm (Score:1)
    Von Domi am Sunday 26. May, 13:56 MES (#6)
    (User #33 Info) http://www.schaf.ch
    wenn man bei MS einen portscan macht, dann wird man fast öffentlich hingerichtet.
    aber wenn MS die ganze schweiz abscannt, dann soll man dies hinnehmen?

    übrigens: die sunrise firewall, welche MS schützt, blockt die IP adressen, von denen aus portscans kommen. wie wärs, wenn man die absender IP faked und deren gateway angibt. dann sollte die firewall doch den gateway blocken :)
    Re:Wahnsinnig Schlimm (Score:0)
    Von Anonymer Feigling am Sunday 26. May, 16:47 MES (#7)
    >wie wärs, wenn man die absender IP faked und deren
    >gateway angibt. dann sollte die firewall doch den
    >gateway blocken :)

    wenn ich mich nicht gewaltig täusche dann habe ich mal einen Bericht über genau diese Problematik von Sunrise/MS gelesen.

    pb
    Re:Wahnsinnig Schlimm (Score:1)
    Von 2ri (arthur.at.korn.ch.ban.spam) am Monday 27. May, 13:17 MES (#22)
    (User #20 Info)
    Solche szenarios sind genau der grund, warum dynamische firewalls niemals blockierungs oder gar "strafaktionen" auslösen dürfen, ohne sicher zu gehen, dass die IP nicht gefaked ist. ... der erste, der das herausfindet, schiesst damit auf einen selber oder irgend jemanden unbeteiligtes. Auch schutzlisten helfen da wenig. Portsentry ist je nach setup hart an der grenze zum gefährlichen.
    Re:Wahnsinnig Schlimm (Score:1)
    Von egal am Wednesday 29. May, 23:22 MES (#44)
    (User #753 Info)
    Obwohl du recht hast, dass man sich solcher Abfragen bewust sein muss, wenn man einen Webserver betreibt, kann ein robot.txt genaue diese Art von Abfragen verhindern...
    RTFB - Why do we need source code?
    hmpf (Score:1)
    Von reto am Sunday 26. May, 23:21 MES (#12)
    (User #920 Info)
    ln -s /dev/random ~wwwrun/htdocs/Default.aspx

    :)

    Re:hmpf (Score:0, Interessant)
    Von Anonymer Feigling am Monday 27. May, 14:49 MES (#24)
    spinnst du? und wenn deren server mehr bandbreite hat als deiner?und tschuess...
    Diskussion auf ch.admin (Score:2)
    Von esh (heeb.nospam@phys.ethz.ch) am Monday 27. May, 10:56 MES (#17)
    (User #222 Info) http://www.heebs.ch/
    Der Vollständigkeit halber sei noch der Link auf die ch.admin Diskussion erwähnt.
    -- ESH
    Re:Diskussion auf ch.admin (Score:2)
    Von esh (heeb.nospam@phys.ethz.ch) am Monday 27. May, 11:04 MES (#18)
    (User #222 Info) http://www.heebs.ch/
    Oups. Zuviel rumgesurft und den Faden verloren. War natürlich schon am Anfang drin. Sorry.
    -- ESH
    Datenschutbeauftragten (Score:0)
    Von Anonymer Feigling am Monday 27. May, 14:53 MES (#26)
    Hat schon jemand den Datenschutbeauftragten informiert?

    Sollte man nicht noch die Tagepresse "Blick, NZZ, Tagi..." informieren?

    Fals JA:
    Wie soll man vorgehen, am besten meldet sich doch ein Verein und keine privat Person.
    Würde ein Verein "trashnet, lugs..." dies übernehmen?
    Re:Datenschutbeauftragten (Score:1)
    Von Seuli (luigi(dot)porco(at)famiglia(dot)org) am Monday 27. May, 14:59 MES (#27)
    (User #146 Info) http://famiglia.org
    bevor irgendjemand diesen schritt unternimmt, ist imho noetig, mit sicherheit festzustellen, dass die "scans" wirklich von dieser IP kommen und nicht gefaked sind.

    Seuli
    -- O'Toole said: Murphy was an optimist.
    Re:Datenschutbeauftragten (Score:2)
    Von bones am Monday 27. May, 15:52 MES (#28)
    (User #481 Info) http://www.p-guhl.ch
    Stimmt. Für die Meldung an die Zeitungen gilt (leider) das gleiche... oder will sich jemand darauf verlassen, dass die das selber technisch korrekt recherchieren?

    Der Knochen
    Re:Datenschutbeauftragten (Score:2, Interessant)
    Von kruemelmonster (symlink.5.kruemi@spamgourmet.com) am Monday 27. May, 15:52 MES (#29)
    (User #3 Info) http://www.tedaldi.net
    Diese Frage können wohl einzig Microsoft, die MSUGS oder ev. noch Sunrise beantworten!
    Für alle anderen ist es schwierig bis unmöglich, das herauszufinden!

    Mir kam sogar mal der Verdacht, der Server habe gar nix mit MS zu tun!
    1. Ist er in einem 8er Subnet. Etwas wenig für MS
    2. laufen auf demselben Server dort verschiedene Domains. (MUSS nix heissen!)
    3. ist kein Reverse-Lookup vorhanden
    4. für eine domain werden die sunrise-DNS verwendet, für eine andere irgendwelche .com-server
    5. Der Server scheint zwar aktuelle software zu haben, aber die aliasse zeigen AUFFALEND DEUTLICH auf nicht (mehr) existente @microsoft.com adressen.
    6. Die Schreibweise der Adressen ist inkonsistent (thomas.rupp@microsoft.com vs. cfrei@microsoft.com)
    7. Im WHOIS-Eintrag von msugs.ch steht nix von Microsoft. In dem von ms-community.ch (welche auf demselben Server liegt) hingegen schon.
    8. die Adresse, die im Whois-Record von ms-community.ch steht, existiert ned! (Richtistr. 3 gibts ned! gem. twixtel existieren nur Nr. 2. und 15.! Microsoft ist in Wallisellen an der "Alte Winterthurerstr. 14A")

    Die Frage ist, ob Sunrise vor dem Eintragen in die überprüft, ob WIRKLICH MS der Auftraggeber ist.

    Tja, ich weiss, emine Argumente sind alles andere als Stichhaltig, aber ev. mal zu überdenken. Klärung kann hier wohl wirklich nur MS selbst bringen!

    cu

    kruemi
    --
    auch die Zehe ist ein Laufwerk
    Antwort von MS (Score:0)
    Von Anonymer Feigling am Monday 27. May, 17:32 MES (#30)
    Auf ch.admin hat einer eine Antwort von MS veröffentlicht.
    Hier ist die Message ID:

    3cf1e632.5603146@mailhost.atrete.ch

    Mfg Nik
    Re:Antwort von MS (Score:1)
    Von CrypTom am Monday 27. May, 18:09 MES (#31)
    (User #934 Info)
    Hier das offizielle Statement von Microsoft:

    Es ist richtig, dass ein Web-Roboter von Microsoft Schweiz von Schweizern Webservern jeweils eine bestimmte Webseite abzurufen versucht hat.

    Es sollte damit nicht der Inhalte der Website gescannt werden, sondern durch das Abrufen einer sicher nicht vorhandenen Seite (darum die ungewöhnliche Seitenbezeichnung) eine Standardfehlermeldung erzeugt werden; es handelt sich um jene Fehlermeldung, die erscheint, wenn eine verlangte Webseite nicht gefunden werden kann (Fehler 404). Insofern ging der Web-Roboter weniger weit, als dies Suchmaschinen normalerweise tun.

    Es handelt sich dabei um ein im Internet verbreitetes, von diversen Marktforschungs- und anderen Firmen verwendetes Verfahren um festzustellen, auf welcher Systemsoftwareplattform ein Webserver offiziell läuft. Eine Firma, die zum Beispiel solche und noch sehr viel mehr Daten regelmässig erhebt und sogar publiziert, ist www.netcraft.com. Microsoft Schweiz hingegen hat die erhobenen Daten über die Typen von Systemplattformen von Schweizer Webservern zu einer anonymen Statistik zusammengeführt; die abgerufenen Daten wurden bereits wieder gelöscht und nicht nach einzelnen Servern ausgewertet.

    Die verwendete WHOIS Datenbank wurde von SWITCH im Rahmen der Acceptable Usage Policy (AUP) dafür zur Verfügung gestellt.

    Der Web-Roboter griff übrigens nur auf Webserver zu, wie dies ein normaler Browser tut. Andere Ports ("Türen") des Servers wurden nicht gescannt.
    Re:Antwort von MS (Score:1)
    Von schth am Monday 27. May, 18:23 MES (#32)
    (User #782 Info)
    Tja, ich mache es nicht gern, aber ich gebe ihnen recht. Und ausserdem kam die Antwort relativ fix. Nur dass die WHOIS Datenbank nicht richtig gesetzt wurde kann man noch anprangern.
    Wie sieht es eigentlich mit netcraft.com aus? Kann man deren Service "abbestellen"?

    Gruss
    Thomas Schmid

    Re: Antwort von MS (Score:1)
    Von antares am Monday 27. May, 18:40 MES (#35)
    (User #935 Info)
    In Anbetracht, dass sich MS Schweiz einen Tag lang Zeit fuer dieses Statement liess, ist dieses erstaunlich kurz und fehlerhaft. (orthografisch)
    Auch der Inhalt ist nicht zufriedenstellend und gar dünn:

    Wieso wird nicht nach wirklichen Phantasienamen gesucht, wenn es nur um den Error 404 geht?

    Wieso taucht fast überall "Default.aspx" auf, eine Datei, welche im Zusammenhang mit .NET Komponenten auf ein IIS 5 System gelangt?
    Re: Wieso...... (Score:1)
    Von Obri (nixda) am Tuesday 28. May, 08:06 MES (#37)
    (User #466 Info) http://www.aubry.li
    Wieso müssen auf einen virtuellen Server 101 Requests gemacht werden um festzustellen welches OS er verwendet, wieso werden bei den anderen zwischen 6 und 8 Requests gemacht, warumm sind es manchmal auch 12 naja entweder wurden wir mit Müll vollgelabert, oder die haben noch andere sachen ausgewertet. Die Lofgileinträge mit "GET http://www.w3.org" scheinen mir wohl eher ein Test auf einen offenen Proxy darzustellen (habe mir das entsprechende RFC nicht angschaut).
    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Re: Wieso...... (Score:0)
    Von Anonymer Feigling am Tuesday 28. May, 11:31 MES (#39)
    Hmm. Also nach einem offenen proxy haben die sicher nicht gescannt. Erstens wuerden die da nicht .ch domains durchscannen, sondern nach IPs. Ist ja wurscht ob der offene Proxy ne .ch domain hat. Zweitens wuerden sie nicht irgendwelche http Anfragen an port 80 schicken, sondern zumindest die ports 8080 und 3128 und deren banner anschauen und testen, ob der proxy wirklich offen ist.
    Und wenn ich schon am belehren bin, gespooft war die IP mit ziemlicher Sicherheit auch nicht. Spoofen von verbindungsorientierten Protokollen wie TCP ist nicht ganz trivial. Jeder TCP Stack generiert die Sequence Nummern etwas anders, und die vorherzusagen ist je nach Stack schwierig bis unmoeglich.
    Meiner Meinung nach wollten die wirklich nur ueberpruefen, wer schon alles Ihre .NET Produkte einsetzt. In typischer Microsoft Manier haben die sich nur ziemlich ungeschickt angestellt, daher wohl die wiederholten scans derselben domains und Anfragen fuer mehrere Dokumente.
    Etwas Verbotenes haben die auch nicht gemacht. Drankriegen koennte man sie hoechstens wegen Unlauterem Wettbewerb (die bieten doch selber .NET hosting an, also haben sie ev. die Konkurrenz ausgespaeht). Von hacking Versuchen kann da nicht die Rede sein.
    Merhere Versuche (Score:1)
    Von kruemelmonster (symlink.5.kruemi@spamgourmet.com) am Tuesday 28. May, 12:38 MES (#40)
    (User #3 Info) http://www.tedaldi.net
    Also für mich ist es einfach erklärbar, wie die wiederholten Versuche zustandekamen... oder welches MS-
    Programm läuft denn einfach beim ersten (produktiven) anlauf komplett durch? aLso musste halt mehrmals von vorne begonnen werden .-)

    cu

    kruemi
    --
    auch die Zehe ist ein Laufwerk
    Antwort (Score:0)
    Von Anonymer Feigling am Monday 27. May, 18:28 MES (#33)
    > Microsoft hat endlich geantwortet: > > --- schnipp --- > > Subject: Requests from 195.141.86.145 > > > Dear Mr. Panizzon, > > > > You have sent a message to the responsible people for the server with > ip address: 195.141.86.145 about a 'new virus'. We have investigated > the issue and found the following: > > > > On the server are many hosted accounts (hosting.msugs.ch) and one of > them has been running a robot to scan some websites to find out > whether they are publishing asp.net solutions. We have disabled this > account and no further requests will be made through this program. > > > > However, I want to highlight, that it has not been a virus in any way > and you will not get more of these requests on your servers from this > robot. > > > > Regards > > > > Support MSUGS
    Widerspruch! (Score:1)
    Von CrypTom am Monday 27. May, 18:54 MES (#36)
    (User #934 Info)
    Wie soll das jetzt verstanden werden?

    Dieses und das "offizielle" Statement, welches Microsoft Schweiz uns zukommen liess, widersprechen sich gegenseitig!

    Im englischen Text schimmert eine eigenmächtige Aktion eines Mitarbeiters durch, dessen Account schliesslich gesperrt wurde, ganz im Gegensatz zur deutschen Version, welche mit einer wenig plausiblen Erklärung auf eine geplante Routine-Aktion schliessen lässt...
    Re:Widerspruch! (Score:1)
    Von kruemelmonster (symlink.5.kruemi@spamgourmet.com) am Tuesday 28. May, 08:28 MES (#38)
    (User #3 Info) http://www.tedaldi.net
    Muss ned ein Mitarbeiter sein...
    Auf dem Server werden .asp-Projekte von Mitgliedern der MSUGS gehostet. Kann also leicht sein, dass dort jemand Mist gebaut hat!
    Und wieso sollte MS auf 404-Doikumente testen, die eh jeder so machen kann, wie er will? Netcraft verwendet ja auch ein anderes verfahren!

    äusserst seltsam und fragwürdig, diese Aktion!

    Auch die Aussage zur Switch-DB würde ich gerne noch hinterfragen!

    cu

    kruemi
    --
    auch die Zehe ist ein Laufwerk
    Re:Widerspruch - Aufgeloest ! (Score:1)
    Von Raffzahn am Wednesday 29. May, 13:46 MES (#43)
    (User #345 Info) http://www.vcfe.org/
    Dieses und das "offizielle" Statement, welches Microsoft Schweiz uns zukommen liess, widersprechen sich gegenseitig!

    Hmm, nicht unbedingt - genaugenommen unterstuetzen die Logs die hier aufgetaucht sind beide Versionen. Einmal macht jemand einen scann auf default.aspx um herauszufinden wo sich .NET Server befinden, zum anderen ein Scanprogramm das offensichtliche mistaddresse (ertdfgderww.aspx und hgfserd.aspx - typische Namen die man zusammenbekommt wenn man einfach mal auf die Tastatur haut).

    Ich denk mal beide Aussagen sind richtig - wobei interessant ist festzuhalten das der Mistnamensscan richtig von MS selbst kommt (schliesslich geben die das zu) und der defalut.aspx scheinbar von einem Nicht MSler der nur auf dem Usergroupserver sitzt (als Entwickler).

    Gruss
    H.


    RIPE Eintrag (Score:1)
    Von schth am Monday 27. May, 18:34 MES (#34)
    (User #782 Info)
    Ich hatte die verantwortliche Person bei Sunrise über den falschen WHOIS Eintrag informiert. Die Antwort kam heute morgen:
    RIPE-entry is fixed.

    Die Emailadresse zeigt nun auf abuse@microsoft.com, jedoch zeigt die Postadresse immer noch auf den warscheinlich nicht existirenden Herr Rupp. Auch eine tel.search.ch abfrage der Thurgauerstrasse 74 in Zürich ergab nichts besseres. Es scheint zwar ein Geschäftsgebäude zu sein, jedoch ist Microsoft nicht under den Adressen dabei. Was aber nichts heissen soll.

    Re:RIPE Eintrag (Score:0)
    Von Anonymer Feigling am Tuesday 28. May, 12:52 MES (#41)
    Es scheint so, als würde nicht nur in der Schweiz gescannt. Auch hier in Deutschland auf meinem Server konnte ich Scans nach den aspx - Dateien finden. [Fri May 24 21:36:21 2002] [error] [client 195.141.86.145] File does not exist: /usr/local/httpd/htdocs/ch/hgfserd.aspx [Sat May 25 14:00:42 2002] [error] [client 195.141.86.145] File does not exist: /usr/local/httpd/htdocs/ch/Default.aspx [Sat May 25 15:23:36 2002] [error] [client 195.141.86.145] File does not exist: /usr/local/httpd/htdocs/ch/ertdfgderww.aspx [Sat May 25 18:23:41 2002] [error] [client 195.141.86.145] File does not exist: /usr/local/httpd/htdocs/ch/ertdfgderww.aspx
    Re:RIPE Eintrag (Score:1)
    Von CrypTom am Tuesday 28. May, 16:24 MES (#42)
    (User #934 Info)
    Hmm, ich denke das kommt daher, dass auf diesem Server eine Schweizer Domain gehostet wird, oder nicht?!

    CrypTom

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen