Discussion:
Angriffe aus dem Iran
(zu alt für eine Antwort)
Peter Heirich
2023-10-25 04:27:05 UTC
Permalink
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): Performing passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): bind search: base=ou=kunde, dc=heirich, dc=name
filter=(&(mailacceptinggeneralid>
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): no fields returned by the server
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth:
ldap(erika,46.148.40.112): unknown user
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
ldap(erika,46.148.40.112): Finished passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
passwd-file(erika,46.148.40.112): Performing passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
passwd-file(erika,46.148.40.112): lookup: user=erika
file=/etc/dovecot/cram-md5.pwd
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth:
passwd-file(erika,46.148.40.112): unknown user
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
passwd-file(erika,46.148.40.112): Finished passdb lookup
Okt 25 06:04:54 mail0.heirich.name dovecot[10100]: auth: Debug:
pam(erika,46.148.40.112): Performing passdb lookup

Aus dem gesamten 46.148.40.0/24 Netz mit wechsenden IPs

Nicht einmal dumm gemacht.

Die suchen nach Accounts mit dem Passwort "Password:" und iterieren die
user-id offenbar nach Wörterbuch.

Vornamen, Nachnamen, Kombinationen z.b. a_schmidt oder a.schmidt, was so
übliche Umsetzungen Name -> user-id -> l-part(emailaddr) ist.

Da "Password:" ua. viele Prüfungen (!xGrossbuchstabe, 1x Kleinbuchstabe,
1x Sonderzeichen/Ziffer ) erfüllt, besteht eine gute Chance auf das
Inintialpasswort eines faulen Admins oder Echtpasswort eines dummen Users
zu treffen.

Peter
Marco Moock
2023-10-25 05:54:17 UTC
Permalink
Post by Peter Heirich
Aus dem gesamten 46.148.40.0/24 Netz mit wechsenden IPs
Was sagt deren Abuse-Department dazu?
Peter Heirich
2023-10-25 07:01:24 UTC
Permalink
Post by Marco Moock
Post by Peter Heirich
Aus dem gesamten 46.148.40.0/24 Netz mit wechsenden IPs
Was sagt deren Abuse-Department dazu?
Bei der derzeitigen politischen Situation werde ich es nicht wagen, Kritik
an den (vermutlich) iranischen Revolutionsgarden zu äußern.

Ich habe das gesamte C-Netz auf DROP gestellt,

Okt 25 07:14:05 mail0.heirich.name postfix-smtps-name/smtpd[14207]:
warning: unknown[46.148.40.189]: SASL LOGIN authentication failed:
VXNlcm5hbWU6
Okt 25 07:14:05 mail0.heirich.name postfix-smtps-name/smtpd[13922]:
warning: unknown[46.148.40.94]: SASL LOGIN authentication failed:
UGFzc3dvcmQ6

Hier auch "Username:" als gerprüftes Ziel-Passwort.

Script-Kids, die mit einem gesamten C-Netz als Quelle scanen? Wohl kaum.

Lt. Whois ein Shopping-Center im Iran


organisation: ORG-PPSS2-RIPE
org-name: Part Payam Paya LLC
country: IR
org-type: Other
address: No 24,Kharazi Shopping Center
address: Shahin Shahr-Iran
phone: +98 312 5276000
fax-no: +98 312 5276006
abuse-c: PSSI1-RIPE
mnt-ref: MNT-HAMED
mnt-by: MNT-Hamed
mnt-by: MNT-MIHAN
created: 2010-07-09T07:41:18Z
last-modified: 2023-09-26T10:47:33Z
source: RIPE # Filtered

person: Reza Saadatzadeh
address: No 22,Kharazi Big Market, Shahin shahr-Iran
mnt-by: MNT-HAMED
phone: +98 312 5276000
nic-hdl: RS10998-RIPE
created: 2010-10-28T10:17:47Z
last-modified: 2010-10-28T10:17:47Z
source: RIPE

% Information related to '46.148.40.0/24AS15828'

route: 46.148.40.0/24
origin: AS15828
mnt-by: MNT-MIHAN
mnt-by: MNT-Hamed
mnt-by: MNT-PARTPAYAM
created: 2022-12-19T07:46:18Z
last-modified: 2022-12-19T07:46:18Z
source: RIPE


Peter
Marco Moock
2023-10-25 08:02:28 UTC
Permalink
Post by Peter Heirich
Bei der derzeitigen politischen Situation werde ich es nicht wagen,
Kritik an den (vermutlich) iranischen Revolutionsgarden zu äußern.
Vor was hast du da Angst?
Vor dem Provider, der das hostet?
Andreas Kohlbach
2023-10-26 00:03:51 UTC
Permalink
Post by Marco Moock
Post by Peter Heirich
Bei der derzeitigen politischen Situation werde ich es nicht wagen,
Kritik an den (vermutlich) iranischen Revolutionsgarden zu äußern.
Vor was hast du da Angst?
Peter tritt den Dritten Weltkrieg los. ;-)

Wohl nicht. Aber der Iran könnte derzeit sehr sensibel für Kritik aus dem
Westen sein. Auch aus Deutschland, wenn es für den Iran auch nur eine
Marionette der USA ist.
--
Andreas
Marco Moock
2023-10-26 06:17:15 UTC
Permalink
Post by Andreas Kohlbach
Wohl nicht. Aber der Iran könnte derzeit sehr sensibel für Kritik aus
dem Westen sein. Auch aus Deutschland, wenn es für den Iran auch nur
eine Marionette der USA ist.
Und das bei Privatleuten?
Ich vermute, in so einem Fall wäre das denen einfach völlig egal.
Peter Heirich
2023-10-28 07:36:00 UTC
Permalink
Post by Marco Moock
Post by Andreas Kohlbach
eine Marionette der USA ist.
Und das bei Privatleuten?
Ich vermute, in so einem Fall wäre das denen einfach völlig egal.
Ich habe, wie gesagt, inzwischen entfernte Verwandte, die nach iranischem
Recht iranische Staatsbürger sind.

Den Geheimdienst zum Mordanschlag, wie einst in Berlin, werden die Iraner
deswegen nicht schicken, aber die besagten Verwandten wollen u.U.
irgendwann in den Iran einreisen. Z.B. zur Beisetzung von dessen Mutter
bzw. Vater, was irgendwann eine Fragestellung werden wird.

Peter
Peter Heirich
2023-10-28 07:23:29 UTC
Permalink
Post by Andreas Kohlbach
Post by Marco Moock
Post by Peter Heirich
Bei der derzeitigen politischen Situation werde ich es nicht wagen,
Kritik an den (vermutlich) iranischen Revolutionsgarden zu äußern.
Vor was hast du da Angst?
Peter tritt den Dritten Weltkrieg los. ;-)
Das nicht, aber ich habe inzwischen entfernte, früher iranische Verwandte.

Politisch Anhänger des Schah en Schah gewesen, inzwischen deutscher
Staatsbürger.

Nur wird man aus iranischer Staatsbürgerschaft nicht entlassen, selbt wenn
man dies will.

Peter
Andreas Kohlbach
2023-10-28 22:37:35 UTC
Permalink
Post by Peter Heirich
Post by Andreas Kohlbach
Post by Marco Moock
Post by Peter Heirich
Bei der derzeitigen politischen Situation werde ich es nicht wagen,
Kritik an den (vermutlich) iranischen Revolutionsgarden zu äußern.
Vor was hast du da Angst?
Peter tritt den Dritten Weltkrieg los. ;-)
Das nicht, aber ich habe inzwischen entfernte, früher iranische Verwandte.
Politisch Anhänger des Schah en Schah gewesen, inzwischen deutscher
Staatsbürger.
Nur wird man aus iranischer Staatsbürgerschaft nicht entlassen, selbt
wenn man dies will.
Soll man ja auch nicht.

Zumindest geht es mir nicht um iranische, russische oder chinesische
Bürger, aber das jeweilige Regime des Landes, dessen Bürger die sind.

Ich f'uppe mal in die Politik-Gruppe.
--
Andreas
Karl-Josef Ziegler
2023-10-25 08:57:48 UTC
Permalink
Post by Peter Heirich
Lt. Whois ein Shopping-Center im Iran
https://ipinfo.io/46.148.40.112

ordnet dies Vilnius in Litauen zu. Auch im Traceroute taucht so etwas
wie 'uab-host-baltic.e0-11.switch1.vno1.he.net' auf. Könnte also genauso
gut auch die Russenmafia sein. Und in dem Shopping Center steht
vielleicht auch nur ein Briefkasten...
Marco Moock
2023-10-25 09:22:45 UTC
Permalink
Post by Karl-Josef Ziegler
Post by Peter Heirich
Lt. Whois ein Shopping-Center im Iran
https://ipinfo.io/46.148.40.112
ordnet dies Vilnius in Litauen zu.
IPv4-Adressen werden auch öfter mal vermietet.
Post by Karl-Josef Ziegler
Auch im Traceroute taucht so etwas
wie 'uab-host-baltic.e0-11.switch1.vno1.he.net' auf.
HE ist ein globaler Tier-1. Zudem wäre die Frage, ob das der direkte
Übergabepunkt ist oder ganz woanders.
Post by Karl-Josef Ziegler
Könnte also genauso gut auch die Russenmafia sein.
In Vilnius wird das eher die Anti-Russenmafia sein, wenn der ISP das
Verhalten toleriert (den sollte man mal über die Abuse-Adresse
kontaktieren).
Chr. Maercker
2023-10-26 18:56:11 UTC
Permalink
Marco Moock wrote:
[Lt. Whois ein Shopping-Center im Iran]
Post by Marco Moock
Post by Karl-Josef Ziegler
https://ipinfo.io/46.148.40.112
ordnet dies Vilnius in Litauen zu.
IPv4-Adressen werden auch öfter mal vermietet.
In diesem Fall würde der Iraner an Litauen vermieten, ersterer steht ja
im Whois. Würde also für Karl-Josef Zieglers Vermutung sprechen.
Post by Marco Moock
In Vilnius wird das eher die Anti-Russenmafia sein, wenn der ISP das
Verhalten toleriert (den sollte man mal über die Abuse-Adresse
kontaktieren).
Im Baltikum könnten russische Kriminelle noch gut und gern präsent sein.
--
CU Chr. Maercker.
Peter Heirich
2023-10-25 09:39:23 UTC
Permalink
Post by Karl-Josef Ziegler
Post by Peter Heirich
Lt. Whois ein Shopping-Center im Iran
https://ipinfo.io/46.148.40.112
ordnet dies Vilnius in Litauen zu. Auch im Traceroute taucht so etwas
wie 'uab-host-baltic.e0-11.switch1.vno1.he.net' auf. Könnte also genauso
gut auch die Russenmafia sein. Und in dem Shopping Center steht
vielleicht auch nur ein Briefkasten..
Aber auch dort:

Region : Esfahan ,City : shahin shahr

Und .he.net ist Hurricane Electric die haben eines der größten IPv6 in
IPv4 Tunnelnetzwerke weltweit und bieten u.a. auch koSstenfreien
secundären DNS

Und einen (guten) kostenfreien Online-Kurs über IPv6

Peter
Marc Haber
2023-10-26 08:13:28 UTC
Permalink
Post by Peter Heirich
Ich habe das gesamte C-Netz auf DROP gestellt,
Das ist kein C-Netz und war es auch nie.
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Marco Moock
2023-10-26 08:25:13 UTC
Permalink
Post by Marc Haber
Post by Peter Heirich
Ich habe das gesamte C-Netz auf DROP gestellt,
Das ist kein C-Netz und war es auch nie.
Der Altkram mit classfull Routing hält sich halt in den Köpfen und wird
auch heute noch in Schulen vermittelt.

Ebenso hat sich für ein /24er-Netz auch Klasse C eingebürgert.
Marc Haber
2023-10-26 13:38:27 UTC
Permalink
Post by Marco Moock
Post by Marc Haber
Post by Peter Heirich
Ich habe das gesamte C-Netz auf DROP gestellt,
Das ist kein C-Netz und war es auch nie.
Der Altkram mit classfull Routing hält sich halt in den Köpfen und wird
auch heute noch in Schulen vermittelt.
ein /24 Netz aus 46/8 war niemals ein C-Netz. Auch nicht zu Zeiten als
man noch classful geroutet hat. Die Antwort auf die beliebte
Prüfungsfrage "wie lautet die Netzwerkmaske zu 46.1.2.3" war niemals
255.255.255.0
Post by Marco Moock
Ebenso hat sich für ein /24er-Netz auch Klasse C eingebürgert.
Das war halt immer schon falsch und zu classful-Zeiten auch noch
irreführend.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Peter Heirich
2023-10-28 06:22:35 UTC
Permalink
Post by Marc Haber
Post by Peter Heirich
Ich habe das gesamte C-Netz auf DROP gestellt,
Das ist kein C-Netz und war es auch nie.
Dann präziser:

Ich habe den Bereich welcher der IPv4-Netzmaske 255.255.255.0 bzw. in
CIDR-Notation /24 oder was früher in der Breite ein C-Netzbreit war, auf
DROP gestellt.

Ja, 40.x.y.z war / ist ein A-Netz in alter, früher üblicher Sprechweise.
Auch wenn das seit CIDR bedeutungslos ist.

Peter
Loading...