Tag Archive for 'ddos'

DDoS attack against abuse.ch

The webserver which is hosting abuse.ch and ZeuS Tracker is currently under high system load due to a ongoing DDoS attack against the blog (abuse.ch). The DDoS has started yesterday 02:00 pm (UTC):

abusech_ddos

The origin seems to be the same as last time (see previous post “DDoS Angriff & Joe Job gegen abuse.ch (german)”). Fact is, that the bots are using the same user agents as during the attack last year:

  • FAST-WebCrawler/3.8 (atw-crawler at fast dot no; http://i.love.teh.cock/support/crawler.asp)
  • Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html
  • Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)
  • Googlebot/2.1 (+http://www.googlebawt.com/bot.html)
  • If we google the user agent above we will find some interesting information about the origin of the DDoS attack:

    “Let’s take a look at yet another bot originating from the Mother Russia. It’s called Illusion, and it has a nice and clear GUI tool for configuration that even an idiot (you could argue that only idiots use malware anyway) can use.”

    Source: MWBlog: “Illusion – Now you see me, now you don’t”

    Currently it seems that the DDoS mitigation was successfull so that abuse.ch is now up and running again (but unfortunately with a high response time because the DDoS attack still goes on). Let’s see what happens in the next few hour/days.

    Stay tuned.

    DDoS Angriff & Joe Job gegen abuse.ch

    Ich darf verkünden, dass abuse.ch wieder up and running ist. Nachfolgend ist noch das Statement meinerseits zu sehen, welches die letzten paar Tage aufgeschaltet war.

    Auf Grund der Geschehnisse und dem überwältigendem Medieninteresse nehme ich kurz Stellung zu der Sachlage:

    In meinem Blog (abuse.ch) berichte ich seit Jahresanfang 2008 über Gefahren im Internet. Den Fokus lege ich dabei auf Spam- und Viren-Mails, welche vor allem die Schweiz heimsuchen. Immer wieder gern gesehener “Freund” war ein Banken-Trojaner namens “WSNPoem”, welcher sich per e-Mail mit deutschem Text in der Schweiz und teilweise auch Deutschland und Oesterreich verbreitet. Nach der Infektion durch den Banken-Trojaner wurden sämtliche Online-Banking Logindaten auf dem infizierten Rechner ausspioniert und dem Hacker übermittelte. Dadurch konnte sich die kriminelle Bande mit Hilfe der gestohlenen Logindaten ungehindert Zugriff auf die Bankkonten verschaffen und überweisungen tätigen (phishing).

    Bei derartigen Spam-Wellen war ich jeweils einer der ersten im Internet, welcher die Bevölkerung über die Sache aufklärte. Dies war wohl der ausländischen kriminellen Internetbande ein Dorn im Auge.

    Am vergangenen Mittwoch (30. Juli 2008) starteten die kriminellen – als Antwort auf meine Recherchen – einen massiven DDoS Angriff auf meinen Blog (abuse.ch). Nachdem ich und mein Provider den Angriff nicht abwehren konnten, wurde der A-Record von abuse.ch ins Nirvana geleitet (0.0.0.0).

    Scheinbar reichte dies den Cyberkriminellen nicht, denn sie starteten in der Nacht von Montag auf Dienstag um ca. 01:00 Uhr (GMT + 0200) einen “Joe Job” gegen meine Person. Dabei sendeten sie hunderttausende E-Mails mit einer angeblichen Selbstmorddrohung von mir an Schweizer Adressanten. Als Absenderadresse gaben die Kriminellen meine private E-Mailadresse an (das Fälschen von E-Mail Adressen im Internet ist einfach – Bespiel Briefversand: Sie können einen Brief mit einer beliebigen Absenderadresse verschicken).

    Kurz nach dem die ersten Mails die Adressanten erreichten, gingen bei der Kantonspolizei Zürich bereits haufenweise Anrufe besorgter Bürger ein, welche die Polizei über “meine” Selbstmord- und Mordabsichten informieren wollten. Kaum 20 Minuten später (ca. 02:00 Uhr) stand ein Aufgebot der Kantonspolizei Zürich vor meiner Haustüre.

    Ich wurde dadurch aus meinem nächtlichen Schlaf gerissen und war sehr erschrocken. Mir wurde danach jedoch sofort klar, dass es sich um eine Sache bezüglich meiner Internetaktivitäten auf abuse.ch und den zuvor darauf ausgerichteten DDoS Angriff handeln musste. Ich wurde aufgefordert, mein E-Mail Postfach zu öffnen, worin ich bereits über 1’500 Ferien- beziehungsweise Unzustellbarkeitsmeldungen hatte. Nach einem über 90 minütigen Gespräch konnte ich die KAPO Zürich überzeugen, dass die E-Mails nicht von mir stammen.

    Nach der schlaflosen Nacht erhielt ich am darauf folgenden Morgen unzählige E-Mails und Telefonaten von besorgten Mitbürgen und Journalisten. Kurz nach dem Mittag wurde eine weitere DDoS Attacke auf meinen privaten ADSL-Anschluss gestartet, welcher bis heute Mittag (06. August 2008) anhielt. Was ich noch erwähnen möchte ist, dass die beiden im E-Mail Text angegebenen Webadressen zu keiner Zeit irgendwelche Malware oder sonstigen Schadcode enthielten.

    Gestern Nachmittag habe ich bei der Kantonspolizei Zürich Strafanzeige gegen Unbekannt eingereicht. Ich möchte hier anmerken, dass der Kontakt mit der Kantonspolizei in Wallisellen professionell und sehr angenehm war.

    Bis heute erhielt ich über 10’000 Ferien- und Unzustellbarkeitsmeldungen sowie persönliche Antworten auf “meine” Selbstmord-Mails. Der Inhalt dieser Antworten variierte von “Ich helfe dir sehr gerne” bis hin zu “ja, mach nur” oder “hör auf mich zu bespamen!”. Des Weiteren erhielten unzählige Polizeistellen in der ganzen Schweiz hunderte von Anrufen aus der Bevölkerung.

    Ebenfalls Interessant waren die Kommentare auf den Online-News Seiten (heise.de, 20min.ch, zdnet.de etc.): Viele äusserten sich positiv gegenüber meinen Recherchen im Internet und wünschten mir viel Glück.

    Auf Grund der Attacken auf mich und meine Website sowie der positiven Resonanz aus der Bevölkerung fühle ich mich bei meiner Arbeit (welche ich übrigens in meiner Freizeit tätige) bestärkt. Der Informationsfluss durch meine Artikel scheint zu “fruchten” und die Bevölkerung auf das Thema “Sicherheit im Internet” zu sensibilisieren.

    Es ist wohl verständlich, dass ich auf Grund der Vorkommnisse sowie auf Grund der positiven Rückmeldungen mir Gedanken über die Zukunft des Blogs machen werde. Vorab kann ich jedoch allen versichern, dass durch die Vorkommnisse mein Interesse an dem Thema nicht gelitten hat, im Gegenteil gesteigert ist.

    Zum Schluss möchte ich meinen treuen Lesern meines Blogs und allen anderen danken, welche mir die ganze Zeit den Rücken gestärkt haben. Ebenfalls ein grosses Dankeschön geht an die durchsichtigen Helfer, welche ich hier nicht erwähnen werde.

    Somit ist die derzeitige Sachlage meinerseits kommuniziert und erklärt.

    abuse.ch

    Link MELANI: MELANI: Gefälschte Email mit Selbstmorddrohung im Umlauf

    Datum: 6. August 2008
    Version 1.4




    economics-recluse
    Scene
    Urgent!