Sonntag, 21. Dezember 2014

semalt spoof

sicher ist es dem einem oder anderem webmaster bereits aufgefallen, dass sich seit ein paar monaten Einträge in den logfiles wiederfinden, die so oder ähnlich lauten:

semalt.semalt.com
buttons-for-website.com
make-money-online.7makemoneyonline.com
...

die liste lässt sich fortsetzen.

was steckt dahinter?  nun, folgt man den einträgen und steuert z.b. die domain semalt.com an, so landet man offenbar auf der seite eines anbieters für website-analyse-dienste, also z.b. ähnlich googles analytics. manch einer ist vielleicht versucht, in die lockende box "enter url:" die des eigenen projektes einzutragen.



offenbar emsig geht das tool zu werke und präsentiert nach etwa 30 sekunden einen popup, der nahe legt, sich doch zu registrieren, um an die ergebnisse des soeben durchgeführten scans zu gelangen, kostenlos, natürlich...


harmlos, könnte man meinen, leicht zu durchschauen, da sammelt jemand daten oder versucht im besten fall gar wirklich einen service zu verkaufen. dahinter stecken aber offensichtlich andere machenschaften:

"semalt kapert hunderttausende computer um referrer-spam-kampagnen durchzuführen."


solche und ähnliche headlines finden sich mittlerweile mehrfach im netz und legen nahe, dass die sich hinter der fassade semalt.com versteckenden betreiber kriminelle machenschaften nicht scheuen.

ich will an dieser stelle nicht näher auf die mechanismen des referrer-spams oder der infiltration hunderttausender rechner mittels "soundfrost" eingehen. wichtig für den webmaster ist zu wissen, dass semalt.com & co in betrügerischer absicht rechner infiziert, um daraus einen vorteil zu generieren. die einzig richtige reaktion auf diese machenschaften ist das blocken der fraglichen domains, z.b. mittels .htaccess.

dazu finden sich mittlerweile reichlich anweisungen im netz, die ohne weiteres übernommen und an die eigenen bedürfnisse angepasst werden können. ein beispiel für den aussschluss der domain und subdomains von semalt sei hier angeführt:

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://([^.]+\.)*semalt\.com [NC]
RewriteRule ^(.*)$ – [F,
L]


ich empfehle folgende artikel:
http://www.incapsula.com/blog/semalt-botnet-spam.html. 
http://www.infosecurity-magazine.com/news/semalt-hijacks-hundreds-of
http://www.website-go.com/artikel/block-buttons-for-website.php

Dienstag, 16. Dezember 2014

weihnachtsgeschenk der telekom

ich hatte heute einen anruf, wäre sicher eine inspiration für loriot gewesen. vorab folgende info: wir sind derzeit mit 16 mbit an das netz der telekom angeschlossen, kürzlich erhielt ich bereits einen anruf von der telekom, man  wollte mir 50 mbit für einen monatlichen aufpreis i.h.v. € 5 anbieten.

der wortlaut des hier geschilderten telefonates stimmt vielleicht nicht zu 100%, ich kann aber versichern, dass es sich um keinen (gewollten) scherz handelt und ich mit der folgenden wiedergabe verdammt nah dran bin. da können wir uns ja auf was gefasst machen, fröhliche weihnachten...

das telefon klingelt,

ich: berkner

telekommitarbeiter: frau prehn?

ich: nein.

telekommitarbeiter: äh, herr prehn, ich rufe vom kundenservice der telekom an, sie haben ja bereits fernsehen und telefon über das internet und...

ich: (unterbreche den telekommitarbeiter) sie wollen mir einen 50 mbit-anschluss für 5 € aufpreis monatlich anbieten.

telekommitarbeiter: was?

ich: sie wollen mir einen 50 mbit-anschluss für 5 € aufpreis monatlich anbieten.

telekommitarbeiter: äh, nein, bei ihnen stehen nur 25 mbit zur verfügung.

ich: danke, ich habe kein interesse.

telekommitarbeiter: ja, aber zur zeit werden in ihrer straße die anschlüsse auf 25 mbit aufgerüstet und wir rechnen mit einer entsprechenden belastung des netztes und da könnte es mit ihrem jetzigen anschluss zu problemen in der versorgung kommen.

ich: das ist doch nicht mein problem, die sicherstellung der versorgung ist sache des providers.

telekommitarbeiter: ja... dann noch einen schönen tag. auf wiederhören.

ich: ja, danke, tschüß.

wie erwähnt, kein scherz. vielleicht sicherheitshalber den provider wechseln? kabel deutschland soll ja so toll sein... *ha ha ha.*

Dienstag, 7. Januar 2014

emailversand funktioniert nicht mehr

dass email- oder www-dienste kurzfristig versagen ist ja nicht so ungewöhnlich, dass der emailversand aber über mehrere tage nicht oder nur eingeschränkt möglich ist, macht einen dann doch stutzig. bei mir war das über die weihnachtszeit der fall, also nicht so dringlich, da es kaum geschäftliche korrespondenz zu tätigen gab und von dem phänomen nur einige smtp-server betroffen waren.

um die ursache gleich eingangs zu benennen: schuld war im grunde ich selbst (wie so oft in der edv sitzt das problem meist ca. 60 cm vor dem bildschirm.)

als erstes schrieb ich den provider der server an, welche scheinbar den dienst versagten. der hatte aber nichts an deren kofiguration verändert. von einem anderen standort aus funktionierte der versand über dessen smtp-server einwandfrei; das problem musste also vor ort liegen.

ich schaute nach, wann die letzten mails über die betroffenen server raus gingen; das war der 25.dezember. wir hatten uns zu weihnachten das ip-basierte fernsehen der telekom, namens entertain, gegönnt und mussten deshalb u.a. einen neuen router installieren; eben das tat ich am ersten weihnachtsfeiertag, indem ich den alten speedport durch den w724v ersetzte. naheliegend also, dass die ursache dort zu suchen war:

der w724v der telekom hat eine integrierte whitelist für smtp-server, welche im default aktiviert ist. es müssen hier also einfach die neuen server eingetragen werden oder die white-list-funktion deaktiviert werden, dann funktioniert der versand. generell ist diese whitelist eine sinnvolle einrichtung, unterbindet sie z.b. spam durch ungesicherte smtp-server blockiert aber auch email-server, welcher schadprogramme sich bedienen, um informationen auf befallenen rechnern auszuspähen und via email zu versenden.

man findet dazu entsprechende informationen im handbuch des w724v - aber hand aufs herz: lesen sie bedienungsanleitungen? und noch ein rüffel für die telekom; es fehlt ein wesentlicher hinweis im handbuch: die konfiguration der whitelist, namentlich das eintragen neuer server funktioniert nur via lan nicht via wlan, es erscheint eine wenig hilfreiche fehlermeldung und der otto-normal-user tappt im dunkeln. auch lässt sich die liste nicht deaktivieren, das häckchen erscheint nach jedem neuladen der seite hartnäckig in seiner checkbox. die lösung lautet also, ein endgerät via lan-kabel an den integrierten switch des w724v anzuschließen und die gewünschte konfiguration zu tätigen. die einstellungen sind sofort wirksam, ein neustart des routers ist nicht erforderlich.