[sage] Rätselhafte UDP Verbindungsversuche

Juergen Kahnert Juergen.Kahnert at DESY.de
Mon Jan 5 17:35:15 CET 2009 

Moin Benedikt,

On Mon, Dec 22, 2008 at 10:58:51AM +0100, Benedikt Stockebrand wrote:
> Juergen Kahnert <Juergen.Kahnert at DESY.de> writes:
> > On Sun, Dec 21, 2008 at 12:09:49PM +0100, Benedikt Stockebrand wrote:
> >> kann es sein, dass da ganz einfach jemand in China einen neuen Service
> >> aufgesetzt und einen Zahlendreher in einem A Record hat?
> > [...]
> > Was würden wir denn von Clients in diesem Fall erwarten zu sehen? Zum
> > einen, dass sie von überall her kommen. Chinesen surfen auch auf Seiten
> > in China, wenn sie sich in anderen Ländern aufhalten. Die müßten also
> > dann überall auf der Welt von diesem Service erfahren. Aber vielleicht
> > ist dieser auch nur für China freigeschaltet.
> 
> Wenn wir über UDP reden, dann kann das sehr gut irgend ein interner
> Service sein; ohne zu wissen, was das für ein Service ist, halte ich
> die Argumentation für ziemlich wacklig.

sicher, das ist eher eine der schwächeren Ideen, die es zu diesem Fall
gibt. Aber ein Zahlendreher kommt auch nicht wirklich in Frage.

Wir haben mehrere IPs, die mit dieser Art von Paketen "beglückt" werden
sollen. Halt nur nicht so viele, dass es sofort ins Auge fällt. Auch ist
der Port teilweise anders, also neben dem bekannten 62997 ist mir noch
63762, 19504 und 9750 untergekommen, wobei ich auch nur kurz geschaut
hatte (eigentlich auch vorhin erst entdeckt habe).


> Nimm einfach mal als ein mögliches Szenario an, dass da irgendwelche
> Bots mit ihrem (ehemaligen) Steuerrechner telefonieren wollen.

Fällt aus, weil auf der IP, die so massiv aufgefallen ist, wirklich seit
Jahren kein Gerät mehr aktiv war.

Bei den anderen IPs hängt teilweise auch nichts hinter. Eine [ehemals]
infizierte Windows-Büchse oder so fällt damit aus.


> > Manche geben in der Tat früher auf, andere versuchen es deutlich
> > länger.
> 
> Wenn da Menschen hintersitzen, dann ja.  Wenn nicht, hängt es im
> Zweifelsfall alleine davon ab, wie lange die Leute online sind.

Wenn wir von infizierten [Windows] Kisten ausgehen, ja, dann stimmt das.

Das klärt aber noch nicht, warum nur Kisten aus China infiziert sind und
nicht etwa Rechner von Chinesen, die außerhalb Chinas wohnen (wenn wir
von einer Abhängigkeit zur Chinesischen Sprache für diese Infektion
ausgehen).


> > Und die Programmierer hätten über Monate nichts gelernt, denn es wird
> > mehr und nicht weniger.
> 
> "Wir suchen ja schon seit Wochen, aber der Fehler lässt sich bei uns
> nicht reproduzieren."
> 
> Ich halte das nicht wirklich für so unwahrscheinlich.

Ja, sowas kennen wir alle zu genüge. Ich möchte das auch nicht ausschließen,
aber seltsam kommt uns das mit den bekannten Informationen immer noch vor.

    Jürgen


-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5277 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20090105/31264d8e/attachment.bin

More information about the SAGE mailing list