Thema: DDoS-Angriffe ...

[SiLæncer]

Angreifer derzeit noch unbekannt

Ausgerechnet in der Vorweihnachtszeit wurden vier Websites, die sich den Themen Sicherheit und Verbraucherschutz widmen, Opfer von DDoS-Attacken (Distributed Denial of Service). Die Websites Dialerschutz.de, Computerbetrug.de und Antispam.de sowie Gulli.com lagen dabei im Visier der noch unbekannten Täter.

Folge des DDoS-Angriffs waren zeitweilige Blockierungen der erstgenannten drei Websites, die so von den normalen Besuchern nicht mehr erreicht werden konnten. Nach Angaben der Betreiber ließ am Freitagabend (23. Dezember 2005) der Angriff in der Intensität zeitweilig etwas nach, wobei Richtung Mitternacht dann wieder von einer stärkeren Beeinträchtigung berichtet wurde.

Es ist nicht das erste Ereignis dieser Art, das die Sites Computerbetrug.de und das gemeinsam mit Dialerschutz.de betriebene Forum 2005 verzeichnen konnten. In einem zurückliegenden Fall konnte nach Angaben der Betreiber der Verursacher auch ermittelt und strafrechtlich belangt werden.

Hinsichtlich der Täterschaft wolle man aber nicht spekulieren, so die Betreiber. Ebenfalls betroffen war gulli.com, wobei hier von einigen 10.000 IPs ausgegangen wird, die von einem Botnetz gesteuert wurden. Ob ein Zusammenhang zwischen den Attacken besteht, ist nicht klar.

Quelle und Links : http://www.golem.de/0512/42377.html

[SiLæncer]

Gleich drei beliebte Verbraucherschutz-Websites sind bereits seit über einer Woche Ziel einer groß angelegten DDoS-Attacke. Die Services von Antispam.de, Computerbetrug.de und Dialerschutz.de bieten Infos und Foren zu Themen rund um Spam, Dialer und widerrechtlichen Abrechnungen für Web-Dienste. Ihre Betreiber agieren meist ehrenamtlich, deshalb haben sie kaum Ressourcen, um sofort Maßnahmen gegen solcherlei Angriffe zu treffen.

Hinzu kommt, dass die Attacke am 22.12. also zwei Tage vor Heilig Abend losging und die Administratoren der Services in den Weihnachtsvorbereitungen kalt erwischte. Marco Nassenstein, Betreiber von Antispam.de, berichtet: "An den Weihnachtstagen war die Bereitschaft der Leute im Rechenzentrum, in dem unser Server steht, nicht besonders hoch, den Service wieder flott zu kriegen. Unser Server hatte sich so sehr verschluckt, dass wir keinen ssh-Zugang mehr aufbauen konnten." Derweil hat Nassenstein als Notbehelf eine Newsgroup eingerichtet, in der er seine Nutzer über neue Entwicklungen informiert.

"Da scheinen wir wohl jemandem mächtig auf die Füße getreten zu sein", sagte Sascha Borowski, Betreiber von Dialerschutz.de. Wer hinter der Attacke steckt, sei noch nicht geklärt. "Es kämen natürlich einige Herrschaften in Frage, vor deren Machenschaften wir in jüngster Zeit gewarnt haben." Allerdings wolle man bei dieser Frage nicht voreilig spekulieren. Die Sites sahen sich im Jahr 2005 schon des öfteren derartigen Angriffen ausgesetzt. In einem Fall habe man den Verursacher ermitteln können, "was für ihn auch strafrechtliche Konsequenzen hatte", teile Borowski mit.

Quelle und Links : http://www.heise.de/newsticker/meldung/67846

[SiLæncer]

Die zwischen Weihnachten und Neujahr stattfindende DDoS-Attacke auf die Verbraucherschutz-Sites Antispam.de, Computerbetrug.de und Dialerschutz sowie das Portal Gulli.com war zwar nicht die erste, ungewohnt war aber die lange Dauer und die Hartnäckigkeit. Der ersten Angriffswelle mittels Webzugriffen mehrerer tausend Bots folgte kurze Zeit später ein UDP-Flood-Angriff.

So griffen die Gegenmaßnahmen der Betreiber der Seiten erst kurz vor Ende des Jahres. Insbesondere Gulli.com hatte mit dem Angriff zu kämpfen, da der Betreiber des Servers keinen Zugriff auf die vorgelagerten Router des Hosters hat, um bereits dort die erste Welle brechen zu lassen. Deshalb entwickelte man unter anderem zusammen mit den Administratoren der anderen Boards in konzertierter Aktion einen Wrapper für das Apache-Modul mod_security, um die Firewall-Regeln der Server dynamisch anzupassen und die Attacke zumindest zu entschärfen.

ModSecurity ist ein Open-Source-Intrusion-Detection und -Prevention-System für Webanwendungen, das URLs auf bestimmte Zeichenketten und Merkmale untersuchen und Zugriffe blocken kann. Da die Webzugriffe der Bots eindeutige Merkmale aufweisen, lassen sich so die IP-Adressen der Angriffs-PCs ausfiltern und damit mittels eines Wrappers dynamisch neue Regeln in der Firewall definieren. Alle späteren Pakete von diesen nun als Angreifer gelisteten PCs werden einfach verworfen und gelangen so gar nicht erst bis zum Apache oder einem anderen Netzwerkdienst. In der Folge bricht der Webserver nicht mehr unter der Last zusammmen.

Bis auf Antispam.de sind alle genannten Seiten wieder zu erreichen. Nach Angaben der Betreiber haben die entwickelten Tools gute Dienste geleistet. Der Wrapper steht unter GPL-Lizenz für andere Anwender zum Download bereit.

Siehe dazu auch:

    * Gullidos: Beschreibung der Gegenmaßnahmen im 22C3-Wiki
    * Verbraucherschutz-Sites erneut von DDoS-Attacke lahmgelegt, Meldung von heise Online

Quelle und Links: http://www.heise.de/newsticker/meldung/67907

[SiLæncer]

Update

Nach Angaben von Cemil Degirmenci von Wavecon, der Firma, die Gulli.com administriert, laufen die Angriffe zwar immer noch weiter, sind aber derzeit unter Kontrolle gebracht. Anders als zunächst im 22C3-Wiki beschrieben, hatte die Administratoren von Gulli.com doch indirekten Zugriff auf die Router ihres Hosters und könnten dort schon die UDP-Floods blocken.

Quelle : www.heise.de

[SiLæncer]

Eine anonyme Gruppe hat Scientology im Internet den Krieg erklärt. Über ein YouTube-Video verkündet die sich selbst "Anonymous" nennende Gruppe, gegenüber der Scientology-Kirche die Redefreiheit verteidigen zu wollen. In einer Pressemitteilung soll die Gruppe zudem erklärt haben, die finanzielle Ausbeutung von Scientology-Mitgliedern durch die Organisation, die sich selbst als Kirche bezeichnet, beenden zu wollen. Zudem missbrauche Scientology den Urheberrechtsschutz, um kritische Meinungen von Webseiten wie Digg und YouTube entfernen zu lassen.

Berichten zufolge hat die Anonymous-Gruppe bereits einige DDoS-Attacken auf Server von Scientology in den USA durchgeführt. Die zu Scientology gehörige Seite religiousfreedomwatch.org ist seitdem gar nicht mehr zu erreichen. Der Zugriff auf www.scientology.org soll am Wochenende durch die Angriffe gestört gewesen sein, auch andere Server der sektenähnlichen Bewegung sollen nur schwer aufzurufen sein.

Scientology ist auch in Deutschland eine umstrittene Organisation. Derzeit denken die Innenminister nach, ein Vereinsverbot für Scientoloy anstrengen zu wollen. Sie unterstrichen auf der letzten Herbstkonferenz in Berlin "die Gefährlichkeit der auf Abhängigkeit ausgerichteten Aktivitäten" der Organisation und hielten im Bereich der Prävention verstärkte Bemühungen insbesondere gegen kriminelle Methoden für erforderlich. Die Minister blieben zudem bei ihrer Auffassung, dass Scientology verfassungsfeindliche Ziele verfolge. Die Verfassungsschutzbehörden des Bundes und der Länder sollen die umstrittene Vereinigung daher nun stärker ins Visier nehmen und Material für ein mögliches vereinsrechtliches Ermittlungsverfahren sammeln.

Siehe dazu auch:

    * "Anonymous" releases statements outlining "War on Scientology", Meldung auf wikinews
    * Message to Scientology, Videobotschaft auf YouTube

Quelle : http://www.heise.de/newsticker/meldung/102436

[SiLæncer]

In Schweden wurden am vergangenen Donnerstag DDoS-Angriffe auf 40 bedeutende Websites durchgeführt. Die Polizei tappt bezüglich Tätern und Motiv weitgehend im Dunkeln.

Die Seiten, die teilweise durch das 500-fache der üblichen Zugriffe lahmgelegt wurden, gehörten der Polizei und verschiedenen Medienunternehmen. Beispielsweise war die Seite der Zeitung Göteborg-Posten stundenlang völlig unerreichbar. Am Nachmittag, einige Stunden nach der ersten Angriffswelle, folgte eine zweite Welle, die unter anderem die Seite der schwedischen Polizei außer Gefecht setzte.

Die Polizei hat bisher nur wenige Spuren, die auf mögliche Täter hindeuten. Ein Polizeisprecher gab an, die Angriffe wären gekonnt durchgeführt wurden und "stünden wahrscheinlich in Verbindung, da die Menge des verwendeten Traffics beinahe identisch ist". Der Ursprung der Angriffe lag höchstwahrscheinlich in Asien. Über die Identität und Herkunft des oder der Verantwortlichen sagt das natürlich nichts aus. So könnte beispielsweise ein in Asien befindliches Botnet auch von europäischen Hackern gesteuert werden. Womöglich gibt eine Gemeinsamkeit aller betroffenen Medienunternehmen Hinweise auf den Täter: Alle diese Firmen mieteten Server-Space bei dem schwedischen Provider Basefarm. Womöglich spielte dies bei der Auswahl der Ziele eine Rolle.

Quelle : www.gulli.com

[SiLæncer]

Am Mittwoch wurde ein DNS-Provider, der zahlreiche wichtige Shopping-Plattformen betreut, durch Angriffe zeitweise lahmgelegt. Resultat war ein Ausfall dieser Seiten pünktlich zum Zeitpunkt des Last-Minute-Geschenkekaufs.

Der Provider Neustar, der unter der Marke UltraDNS DNS-Dienste für zahlreiche namhafte e-Commerce-Seiten anbietet, bestätigte, dass seine Server am Mittwoch von massiven DDoS-Angriffen unter Beschuss genommen wurden und dadurch für etwa eine Stunde nicht erreichbar waren oder zumindest sehr langsam wurden. Die Neustar-Admins ergriffen bereits nach einigen Minuten Gegenmaßnahmen und konnten binnen einer Stunde das Problem unter Kontrolle bringen.

Unter den betroffenen Firmen waren unter anderem der Online-Buchhändler Amazon, das Kaufhaus Wal-Mart und das Reisebüro Expedia - Firmen, die vermutlich gestern noch versuchten, einigen Spätentschlossenen Weihnachtsgeschenke oder Last-Minute-Trips in sonnige Gefilde verkaufen zu können. Entsprechend negativ dürfte sich der Ausfall ihrer Web-Präsenzen, wenn auch nur für eine relativ kurze Zeitspanne, ausgewirkt haben. In der Folge wurde "ultradns" kurzfristig zu einem der populärsten Google-Suchbegriffe - wahrscheinlich, weil Hunderte verzweifelter Webmaster versuchten, herauszufinden, was mit ihren Websites passiert war. Auch einige Kunden, deren Weihnachtsgeschenke nun aufgrund der Ausfälle und damit zusammenhängender Unregelmäßigkeiten nicht pünktlich ankommen werden, äußerten sich im Internet frustriert über die Angriffe und deren Timing.

Auf die Täter gibt es bislang nach Angaben von Neustar keine Hinweise. Experten vermuten, dass neben Neustar auch noch andere Provider von den Angriffen betroffen waren. So könnten auch die zeitgleich bei einigen wichtigen europäischen Netzknoten festgestellten Routing-Probleme, die zur Verlangsamung von Teilen des Internets führten, womöglich auf Angriffe zurückzuführen sein. Genaueres müssen die Experten erst noch zu rekonstruieren versuchen.

Quelle : www.gulli.com

[SiLæncer]

Für das Jahr 2010 befürchten Provider einen weiteren Anstieg sogenannter DDoS-Angriffe insbesondere mit Hilfe von Cloud Computing-Anwendungen. Dabei würden die Angriffsmethoden immer raffinierter, berichten Analysten.

21% aller in einer aktuellen Umfrage befragten Mitarbeiter von Internet-Providern befürchten für die kommenden 12 Monate einen weiteren Anstieg von großflächigen DDoS-Angriffen mit Hilfe von Botnets und halten diese sogar für die größte Bedrohung für ihren Betrieb. Die Umfrage wurde durchgeführt von der US-Firma Arbor Networks, die auf Netzwerk-Sicherheit spezialisiert ist.

Den ersten Platz in der Umfrage nahmen die immer raffinierter werdenden Angriffe auf einzelne Anwendungssoftware und Dienste ein, die gut ein Drittel aller Befragten für die größte Bedrohung des kommenden Jahres halten. Diese stiegen bereits im vergangenen Jahr signifikant an. Sie werden oft ebenfalls mit Hilfe von Botnets durchgeführt, sind aber gezielter und kleinflächiger und dienen dem Ausnutzen von Schwachstellen in einzelnen Serverdiensten. "Solche Angriffe werden ebenfalls durch Botnets ermöglicht und sind speziell darauf zugeschnitten, Schwachstellen in Diensten, wie anfällige und teure Backend-Anfragen und Begrenzungen bei der zur Verfügung stehenden Rechenleistung, auszunutzen," schreibt Arbor Networks in seinem Bericht. Im vergangenen Jahr führten solche Angriffe bei mehreren Providern bereits zu mehrstündigen Ausfällen. Beliebte Ziele solcher Angriffe waren in der Vergangenheit vor allem DNS-Dienste und Datenbank-Software wie SQL.

Neben der Wahrscheinlichkeit von Angriffen sind viele Provider auch über bevorstehende strukturelle Umstellungen wie DNSSec und IPv6 besorgt. Diese könnten sich als große Herausforderung erweisen, heißt es.

Quelle : www.gulli.com

[ritschibie]

Der Security-Dienstleister Kaspersky Lab verzeichnete in der zweiten Jahreshälfte 2011 deutlich stärkere DDoS-Attacken als in den Vormonaten. Laut des Botnetz-Monitoring-Systems des Unternehmens erzielte der stärkste Angriff eine Übertragungsrate von 600 Megabit pro Sekunde.

Im Durchschnitt betrug die Stärke der Attacken von Juli bis Dezember vergangenen Jahres 110 Megabit pro Sekunde. Dies entspricht einer Steigerung im Vergleich zur ersten Jahreshälfte um 57 Prozent. DDoS-Attacken werden dabei hauptsächlich für politische Proteste oder das Erpressen von Wettbewerbern eingesetzt, teilte Kaspersky mit.

So sei es nicht verwunderlich, dass in der zweiten Jahreshälfte 25 Prozent der registrierten Angriffe auf den Online-Handel entfielen. Auch Attacken auf Regierungs-Webseiten nahmen um immerhin zwei Prozent zu. 80 Prozent der DDoS-Attacken waren dabei so genannte HTTP-Flood-Angriffe. Dabei wird eine Webseite mit unzähligen HTTP-Anfragen gleichzeitig unter Beschuss genommen. Als Waffe dienen Bots, die verschiedene Authentifizierungen angreifen oder zahlreiche Versuche unternehmen, um eine Datei von der Seite herunter zu laden.

Neben dieser klassischen, aber eher einfach gestrickten Technik des HTTP-Flood konnten Sicherheitsexperten eine Methode von Cyberkriminellen ausmachen, die in letzter Zeit häufiger zum Einsatz kommt: Dabei werden Server nicht mehr mit hohem Traffic von außen bombardiert, sondern direkt auf dem angegriffenen System einzelne Ressourcen missbraucht. So können DDoS-Attacken mit minimalem Aufwand ausgeführt werden, ohne dass beispielsweise ein größeres Botnetz genutzt werden muss.

"Das neue Vorgehen der Cyberkriminellen ist eine logische Weiterentwicklung", sagt Yuri Namestnikov, Senior Malware Analyst bei Kaspersky Lab. "Große Botnetze werden mittlerweile von Anti-DDoS-Projekten und Strafverfolgungsbehörden genau beobachtet und so für Cyberkriminelle weniger attraktiv." Daher könnten sie die Kraft ihrer Angriffe nur steigern, indem sie mehrere Zombienetze für ihre Attacken nutzen.

Es sei daher davon auszugehen, dass im Jahr 2012 weniger große, sondern vermehrt mittelgroße Botnetze zum Einsatz kommen werden, die über ausreichend Schlagkraft verfügen, um eine durchschnittliche Webseite außer Betrieb zu setzen, hieß es.

Quelle: www.winfuture.de

[SiLæncer]

DDoS-Angriffe nahmen einer aktuellen Studie des Internet-Sicherheitsunternehmens Prolexic zufolge in den letzten Monaten extrem an Häufigkeit und Traffic-Volumen zu. Außerdem, so die Forscher, werde die für derartige Angriffe verwendete Schadsoftware immer raffinierter und vielseitiger.

Prolexic berichtet, die Anzahl erfasster DDoS-Angriffe im ersten Quartal 2012 sei rund ein Viertel größer gewesen als im ersten Quartal 2011. Die Anzahl habe fast der des letzten Quartals 2011 entsprochen, was insofern bemerkenswert ist, als die Zeit des Weihnachtsgeschäfts immer mit einer besonders hohen Anzahl derartiger Angriffe verbunden ist, da sie sich für Erpressungsversuche gegen im Internet tätige Unternehmen anbietet.

Außerdem ergab die Studie, dass das bei den Angriffen versendete Datenvolumen im ersten Quartal 2012 dramatisch anstieg. Prolexic berichtet, seine Kunden hätten im ersten Quartal 2012 bereits ein höheres Traffic-Volumen an DDoS-Angriffen registriert als im ganzen Jahr 2011.

Prolexic stellte darüber hinaus fest, dass Angreifer zunehmend neue Plattformen für ihre Angriffs-Software nutzen. So werden zunehmend Schwachstellen in Webbrowsern, Mac OS X und mobilen Geräten ausgenutzt, um Botnets zu erstellen, die dann für DDoS-Angriffe missbraucht werden. Diese Veränderungen sind nach Ansicht für Prolexic maßgeblich an dem registrierten Anstieg von DDoS-Angriffen beteiligt.

Die Mehrzahl der Angriffe - rund 71% - ging dem Bericht zufolge von China aus. Auch andere asiatische Länder fanden sich weit oben auf der Liste. Die Gründe dafür sieht Prolexic vor allem in der großen Verbreitung schneller Breitband-Verbindungen in einigen asiatischen Ländern sowie der massenhaften Verwendung von veralteter und/oder raubkopierter Software.

Das Unternehmen geht davon aus, dass die beobachteten Trends anhalten werden und somit weiterhin mit verstärkten DDoS-Angriffen insbesondere auf Unternehmen zu rechnen ist.

Quelle : www.gulli.com

[ritschibie]

Cloudflare hat einen massiven DDoS-Angriff
auf Spamhaus aufgefangen. (Bild: Cloudflare)

Mit 75 GBit pro Sekunde haben Unbekannte die Server des schweizerischen Spamhaus-Projekts angegriffen. Spamhaus bat daraufhin Cloudflare um Hilfe, den Anbieter eines Content Delivery Networks. Dieser leitete die Anfrageflut mit Anycast an Dutzende anderer Server weiter, um sie großflächig zu verteilen. Das soll für einen zeitweiligen Ausfall zahlreicher Internetdienste gesorgt haben, darunter Netflix. Spamhaus hatte kurz zuvor den niederländischen Webhoster Cyberbunker auf seine schwarze Liste der Spamanbieter gesetzt. Der Angriff verhinderte nicht das Verteilten aktueller schwarzer Listen durch Spamhaus.

Der ganze Artikel

Quelle: www.golem.de

[SiLæncer]

Beide Dienste sind Opfer von Angriffen geworden, die zum Ziel hatten, Verbindungen zu den Seiten zu verhindern. Feedly sei erpresst worden, habe aber nicht nachgegeben. Beide Firmen kämpfen momentan darum, der Traffic-Flut Herr zu werden.

Die Webdienste Evernote und Feedly berichten, dass sie in den vergangenen 24 Stunden Opfer von DDoS-Angriffen geworden sind. Ob die beiden Angriffe zusammenhängen, ist nicht klar, scheint aber plausibel. Feedly teilte mit, das Unternehmen sei erpresst worden. Die Angreifer hätten Geld verlangt, um die Traffic-Überflutung zu stoppen. Es arbeite mit Strafverfolgungsbehörden und anderen Opfern der Kriminellen zusammen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die Cyber-Erpresser, die den Newsreader-Dienst Feedly am MIttwoch lahm gelegt haben, geben offenbar nicht auf. Erneut ist der Dienst nicht erreichbar.

Der beliebte Newsreader-Dienst Feedly wird erneut angegriffen. Wie das Unternehmen in seinem Blog mitteilte, läuft derzeit eine zweite DDoS-Attacke und diese sorgt offensichtlich dafür, dass der Dienst nicht erreichbar ist. Am Donnerstagabend konnten wir zwar noch die Startseite aufrufen, diese konnte jedoch keine Inhalte nachladen.

Der Angriff ist bereits der zweite innerhalb kurzer Zeit: Am gestrigen Mittwoch war die Site ebenfalls nicht erreichbar. Die Betreiber erklärten, dass sie von den Angreifern erpresst wurden. Die Täter hätten angekündigt, den Angriff erst nach der Zahlung einer bestimmten Summe einzustellen.

Quelle : www.heise.de

[SiLæncer]

Weil das DNS-System von 1&1 angegriffen wird, sind sowohl Webhosting als auch Mail von 1&1 zeitweise nicht über Domains erreichbar.

Eine DDos-Attacke aufs DNS-System von 1&1 sorgt seit dem späten Dienstagabend immer wieder dafür, dass Domain-Namen teilweise nicht den Hosts zugeordnet werden können. Die Folge ist, dass die Webhosting- und Mail-Services zeitweise nicht erreichbar sind. Dem letzten Statusbericht von heute 11:52 Uhr zufolge hält die Störung noch weiter an.

Auf Nachfrage wollte 1&1 keine Prognose abgeben, wann das das Problem behoben ist: "Wir haben Gegenmaßnahmen eingeleitet, dennoch kann es weiter zu Einschränkungen kommen. Für die damit verbundenen Unannehmlichkeiten bitten wir um Entschuldigung", teilte ein Sprecher mit.

Quelle : www.heise.de

[_Immer_Intl_]

Da scheint mehr dahinter zu stecken, ich hatte nämlich schon am 8.12. eine IP Sperre bekommen, konnte nicht mehr auf meine e-mail kontos bei web.de DIREKT zugreifen.
Dabei habe ich lediglich per Thunderbird auf meine Kontos zugegriffen.
Der Kundenservice hat das natürlich professionell runtergespielt. Aber ich bin nicht doof oder lasse mich für doof verkaufen...