Hallo Leute,

Dubios : Standig ist auf meinem Router die Domaine b2c.t-online.de connected, doch ich selber bin nach Dektop Oberfläche noch gar nicht Online ...

Hat jemand eine Ahnung, wie ich den Exploit KIT vom Morph OS System lösche ???


http://www.google.de/search?q=wer+ist+b2c.t-online.de&hl=de&biw=&bih=&gbv=2&oq=wer+ist+b2c.t-online.de



http://www.malwaredomainlist.com/mdl.php?search=wc0x83ghk.homepage.t-online.de

http://www.viruslist.com/de/weblog?weblogid=207320083

http://www.computerweekly.com/news/4500249597/Symantec-uncovers-Morpho-cyber-espionage-operation

Quote:

Hat jemand eine Ahnung, wie ich den Exploit KIT vom Morph OS System lösche ???


b2c.t-online.de.png

PS: seid 3 Monaten, sage ich schon die ganze Zeit zur Lebensgefährtin :

Da stimmt was nicht, nach Bauchgefühl bootet der Rechner nicht korrekt, da ist etwas Faul ...





english trues :

Dear compatriots, cyber geeks and users as well but primarily the White Hats.

It sounds crazy to you now, but I myself worked as a web designer and administrator
in a self-employed basis as a sideline. Silk March 2014 I was attacked on 4 jobs
in individual companies. Because of this, I bought this machine Private Mac G5 PPC
ads - but even on the newly installed MorphOS I will now be further attacked, I
therefore suspect the recording of exploid kits during a burglary. Now I ask you -
The ones with WhiteHat think that http://dampfwalze.gebaeude4.de about all iRC
channels to forward to this criminal behavior to stop (this page explains all
the truths are in March 2014)






Quote:

[ Editiert durch m7g5wt 14.09.2015 - 07:00 ]

Hab' jetzt nicht alles nachgelesen, aber ist es nicht vielelicht eher der Router und nicht der Powermac?

Du bringst hier vieles durcheinander. Deine Panik ist unbegründet.

Prüfe als erstes die Fakten. Welches Gerät hat die 192.168.0.2? Sehr wahrscheinlich Dein Mac selbst. Warum? Weil NetStat nicht das Interface Deines Routers anzeigt sondern nur das Deines Macs bzw. dessen IP-Adresse oder Rechnernamen (falls angegeben). Andere Interfaces lassen sich gar nicht auswählen, also können dort auch keine anderen IP-Adressen stehen. Was sonst durch den Router geht, kann NetStat gar nicht sehen und folglich auch nicht anzeigen. Das bedeutet also, daß die Verbindung von dem Rechner *ausgeht*, dessen Screenshot Du gepostet hast.

"ich selber bin nach Dektop Oberfläche noch gar nicht Online ..."
Was bedeutet dieser Satz? Daß Dein MorphOS-Rechner noch nicht mit dem Router verbunden ist? Daß Dein Router nicht mit dem Modem verbunden ist? Daß Dein Moden nicht mit dem Internet-Einwahlpunkt des Providers verbunden ist?
NetStat zeigt nur Verbindungen an, die aktuell bestehen. Es erfindet sie nicht. Folglich bist Du auch mit irgendwem und irgendwas "da draußen" verbunden, konkret mit den aufgelisteten Gegenstellen. Solltest Du der Meinung sein, daß Du wirklich nicht mit über Deinen Router mit dem Provider verbunden bist, dann müßte sich irgendwo im Netz ein andere Router befinden, über den die Verbindung hergestellt wird, z.B. über eine drahtlose Verbindung. Dafür müßtest Du aber selbst Deine Wohnung prüfen.

Schaue als zweites mal, um was für einen Host es sich dabei handelt:
http://www.computerhilfen.de/hilfen-17-381755-0.html
http://www.tcpiputils.com/browse/ip-address/80.150.6.138
Ergo: auch hier ist die Welt harmlos, und sehr wahrscheinlich ist die Telekom Dein Internet-Provider oder irgend ein Reseller wie 1&1.

Dann prüfe als drittes, welcher Exploit es sein soll (Du vermutest, daß der Hostname der Exploit ist?) und wie der auf MorphOS lauffähig sein soll (sofern wir von einem Binärprogramm und keinem Skript reden). MorphOS ist unanfällig gegenüber den gängigen Exploits. Durch Deine falsche Suche (5. Link) hast Du Dir jede Menge Treffer mit ins Boot geholt, die nicht zum Problem gehören, so die ganzen Referenzen auf "Morpho" und "Jripbot".

Aus Deiner Dampfwalze werde ich nicht schlau, aber die braucht man hierfür wohl auch nicht.

Quote:
tx ..... for speed answer

So bekomme ich auch Klarheit denn mehr Augen sehen mehr als eins
(upgrade my Brain)

Offenbarung Netzwerk:
=====================
192.168.178.1 = Fritz.Box / Subnetz auf eine Maschine geändert
255.255.255.252 als GATEWAY

192.168.0.1 = TP-Link / Subnetz auf "meine" Machinen geändert
255.255.255.X als ROUTER

192.168.0.2 = Maschine "eins" diese Maschine / MorphOS


[ Editiert durch m7g5wt 14.09.2015 - 06:15 ]

Quote:Offenbarung Netzwerk:
=====================

192.168.178.1 = Fritz.Box / Subnetz auf eine Maschine geändert
255.255.255.252 als GATEWAY

192.168.0.1 = TP-Link / Subnetz auf "meine" Machinen geändert
255.255.255.X als ROUTER

192.168.0.2 = Maschine "eins" diese Maschine

Das Problem - ich starte meinen G5 Mac / morphOs
(vor dem Desktop nochmal Passwort eingabe = loadwb )

Sofort ist die Dubiose IP Adresse verbunden mit der besagten Domaine "b2c.t-online.de" und "kundenserver.de" Bild : DSL_stecker_online.png
Weitere IPs 10 sekunden später Bild : port-1133_bis_1042.png

Dann, das Kurriose, meine Services / netzwerk komplett geändert und UPD abgeschaltet.

Zeit manuell eingestellt / Wetter von http://www.unsatisfactorysoftware.co.uk/ Bedford Weather Bild : time_ntp.jpg


Server : FTPd :21 (wu-ftp) httpd :80 (noch nicht konfiguriert) Proxxyd :8080

Das was mich in der ganzen geschichte verwirrt ist, das bei JEDEM "neu Start" diese dubiosen Domaine, sofort in Netstat Sichtbar sind.

Quote:
Testfahrten :
Feststellung in der Hardware ....

Boot Vorgang PC am Router Lampe an
Grau Bildschirm (amiga OS/Morphos Boot) Lampe PC => Router aus
Passwortabfrage PC => Router Lampe an
Desktop / Simple Mail ist gestartet durch WBstartup (kein Connnect)

Eigenartig ... denn Hardwaretechnisch ist der Gateway mit dem Router "schon" Online"

es dauert ca. 20-30 Sekunden bis der Ping auf "externe" Maschinen funktioniert
(Level 3 / ping frankfurt.de) Bsp: http://ping.eu/ping

Quote:
WLAN komplett abgeschaltet, ausnahme (Kollege benoetigt einen GAST ZUGANG/ Gateway)

AirPort Hardware aus dem G5 ausgebaut !!!

Quote:

Klar das Provider dann auftauchen sollte, doch die DNS (ns.PROVIDER.de) ist sowie die Eigene IP eine ganz andere ??? Logisch :) verwirr :( ... denoch tx for my Brain Upgrade

Quote: Das habe ich noch nicht herausgefunden, ich arbeite dran .. :( http://www.virenlist.com/de/weblog?page=1

Quote:Ist mir jetzt wo Du es schreibst auch aufgefallen ...

Quote:Diese ist die Realität, den 4 Arbeitsplätze wurden angegriffen. Die Dampfwalze ist der Versuch in Bild und Text die Wahrheit der Angriffe nach zu vollziehen.

Das Netzwerk wurde seid März 2014 angegriffen in der Unterbindung alle Maschinen in Bild, Text und Ton zu stören = Existenz !!! Nebenerwerb als Webdesigner / Seo und Social Media / CMS Service Spezialist (interesst is going 2 old site http://gewerbe.gebaeude4.de - Nebenerwerb Unternehmens Stoerung : http://gebaeude4.de )

Hierzu : Im März 2014 war anstatt des TP-Link eine zweite Fritzbox am Start, die mir aber durch die Angriffe "komplett" zerschossen wurde / da war der Lösungsansatz eine Fritz 2 Fritz Box VPN Lösung angedacht ! :( :( :( Leider zerschossen ...

In der Zeit waren es 4 Arbeitsplätze - davon wurde auf zwei Windows Maschine der BKA Trojan gefunden


[ Editiert durch m7g5wt 14.09.2015 - 14:45 ]

Verstehst du auch manchmal was von dem, was du liest oder siehst du überall nur Angriffe auf dich?

b2c.t-online.de ist der Homepage-Server von T-Online. Alle xxxx.homepage.t-online.de sind auf diesem Server, z.B. auch meine thomas-rapp.homepage.t-online.de.

Natürlich lässt sich nicht ausschließen, dass sich unter den T-Online-Kunden auch einige schwarze Schafe befinden, ich glaube aber eher, du hast eine Software eines redlichen T-Online-Kunden installiert, die irgendwas im Internet nachfragt. Z.B. ob es eine neue Version gibt oder wie das Wetter ist oder die aktuelle Uhrzeit.

Quote:
Soll ich jetzt schreiben "ach ne ??? Echt jetzt ???"

http://www.malwaredomainlist.com/mdl.php?search=wc0x83ghk.homepage.t-online.de

http://www.google.de/search?q=wer+ist+b2c.t-online.de&hl=de&biw=&bih=&gbv=2&oq=wer+ist+b2c.t-online.de

Und was Du @thomas nicht wissen kannst : time_ntp.jpg

Und das Wetter hole ich mir von : http://www.unsatisfactorysoftware.co.uk/
Bedford Weather

Sorry @thomas - nimms mir nicht übel, doch BKA Trojan wurde
im März 2014 auf 2 Windows Rechner gefunden / FAKT !

(Vermutung : evtl. sogar RootKit auf Mac G5 / ist noch in Prüfung - ich arbeite daran :(:(: ...)

Aber danke für die Hilfe @thomas

PS: Wahr ja klar, das da so etwas wieder als Stoerung "Wer liesst ist Klar im Vorteil" komen muss :(


[ Editiert durch m7g5wt 14.09.2015 - 09:03 ]

Irgwendwie sind es immer die mit der größten Paranoia, die sich dann auch die Viren einfangen.

Fakt ist dass ein Trojaner per Definition eine wie auch immer geartete Benutzeraktion benötigt, um auf den Rechner zu kommen. Wenn du dir also sowas eingefangen hast, dann solltest du vielleicht weniger laut "böses Internet" schreien sondern lieber mal darüber nachdenken, welche Webseiten du besuchst, welche Mails du öffnest und welche Programme du ausführst.

Jedenfalls kann man mit 99%iger Sicherheit sagen, dass es keine Exploit-Kits für MorphOS gibt. Und falls du doch das eine Prozent getroffen hast, dann bist du immerhin eine Berühmtheit, nämlich weltweit der erste.

Und was soll die Hardcopy von /db/services zeigen? Was du da auskommentierst bewirkt nur, dass man nicht mehr namentlich auf die Services zugreifen kann, was sowieso niemand macht. Der Port kann trotzdem benutzt werden und das setzen der Uhrzeit per ntp funktioniert natürlich auch trotzdem. Du kannst die ganze Datei löschen und Internet funktioniert trotzdem.

Zurück zum Thema. Um herauszufinden, wer direkt nach dem Booten auf die bewusste Internetseite zugreift, gibt es mehrere Möglichkeiten. Man könnte z.B. alle Programme in WBStartup und User-Startup deaktivieren. Wenn es dann weg ist, kann man die Programme einzeln untersuchen.

Es gibt natürlich auch die Holzhammermethode: einfach eine Volltextsuche nach t-online.de auf der Systempartition. Dauert seine Zeit, sollte aber auf jeden Fall eine Spur ergeben.

@ m7g5wt

Deine hier gemachten Angaben sind einfach konfus und schwer nachzuvollziehen. Auch wenn das frustrierend sein mag, so ist der hier verwendete Tonfall nicht besonders für Personen einladend, die sonst gerne Ratschläge geben würden. Es sollte auch klar sein, dass eine Diskussion im Internet eher selten zeitnah eine professionelle Beratung ersetzen kann.

Wenn man bedenkt, dass Du Dich als Spezialist für CMS & Co. positionierst, aber anhand Deiner Posts hier gewisse Wissenslücken erahnen lässt, dann kann man Dir nur anraten, einen entsprechenden Partner zu suchen, der Dich insbesondere bezüglich von Kundenprojekten beraten kann.

Generell wäre es sinnvoll von Anfang an genauere Standardangaben zu machen. Welchen Internetprovider nutzt Du genau? Um welchen Router handelt es sich (Fritzbox ist zu unspezifisch)? Welche Firmwareversion läuft auf der Fritzbox? Wurde jemals ein anderer Router oder ein Smartphone als WLAN-HotSpot ausprobiert? Usw. usf.

Bei T-Online ist beispielsweise standardmäßig eingeschalten, dass die Deutsche Telekom bei dem Abrufen von nicht gefundener Internetadressen auf eine entsprechende Fehler- bzw. Suchseite auf Telekom-Servern umleitet, die dann auch entsprechend in den Logs erscheinen, auch wenn man nicht bewusst die Telekomserver abgerufen hat.

kundenserver.de gehört anscheinend 1&1 und wird u.a. für deren Emailserver und andere Dienste eingesetzt. Möglich, dass es da einen ähnlichen Zusammenhang gibt.


@ Thomas

Quote:
Alternativ könnte man MorphOS von CD booten, um dann zu sehen, ob das Problem weiterhin auftritt. Wenn ja, dann sollte es nichts mit MorphOS per se zu tun haben.

Quote:
@thomas :) :) tx for my Brain Upgrade
Gut dann zu wissen ...

Quote:
Hatte ich auch schon dran gedacht, auch getan, das waere das Wetter dann gewesen und oder halt Simple Mail und GlobalTrash greift nur wenn denn dann auf die Regristrierung zu :) :) :)

Resultat : Diese sind es nicht - gecheckt :) :) :)

Quote:

Ok, ein Wort, wie schon geschrieben, sorry, doch ich bin seid März 2014 regelrecht attakiert worden bin und das ich dann wie in den Bildern Netstat mit gesunden Paranoia :) diese Dinge prüfe, lassen mich nach Zerstörung von 4 Arbeitsplätzen aus der Logik heraus darüber nachdenken


Volltext suche ..........................

N I C H T S G E F U N D E N !!!)

Quote:

Quote:
Ich gebe DIr Recht, doch wie ich schon in mehreren Texten erwähnte sind 4 Arbeitsplätze regelrecht zerstört worden.

Ja Liebe Leute, mein Tonfall tut mir auch Leid - Doch diese Frustration lässt mich am Glauben aller (nicht Negativ gemeint) Menschen dann zweifeln, den es ist eine So heftige Attacken im Netzwerk gewesen ... das sämtliche negative Einflüsse mich zur Überprufung zwingen

Quote:
Auch hier Unterstütze auch ich deine Meinung, ja, im Bereich Netzwerk hätte ich das tun sollen

Doch diese Attacken waren so heftig, das das Unternehmen als Einzelunternehmung dadurch nun vollkommen zerstört ist ......................................................... die Täter haben somit Ihr Ziel erreicht :(

Quote:

WLAN am Gateway (Fritzbox 1+1 VDSL) abgeschaltet - Gastzugang wenn Besuch in benötigt - Ja, Gastzugang funktioniert einwandfrei auf 2.4 und 5 Ghz

Quote:
(Fritzbox 1+1 VDSL)

Quote:

Nein, gehe wenn denn dann über den Webmailer ...


Volltext suche ..........................

N I C H T S G E F U N D E N !!!

[ Editiert durch m7g5wt 14.09.2015 - 20:46 ]

Quote:

Erst einmal an A L L E @all usr

@thomas war der jenige der mich darauf brachte - nochmal - sorry für die GESCHRIEBENE tonart :) :) :)
@zylesia
@Sprocki
@ASiegel

D A N K E für die Erleuchtene Kraft um auch das Gesunde Paranoide Denken mit
Positiver Wirkung auszuhebeln ....

@Thomas hat mich erst darauf gebracht, nun noch genauer hinzuschauen, nicht die WBStartup war es gewesen, sondern mein start in der user-startup

run >NIL: upd:GRUNSH

allerdings UNGEWOLLT und UNBEDACHT hatte ich das gedacht und somit dann auch sofort zunichte gemacht :) :) :)

und nochmal : Erst einmal an A L L E @all usr doch so habe ich mich wenigstens ein wenig Offenbart mit den Gedanken gängen über all die Vorsicht mit Passwörtern, Javascripten und sonstigen Unfug in der Online Welt immer im Hintergedanken mit zu beachten/betrachten ...


[ Editiert durch m7g5wt 14.09.2015 - 21:44 ]

Grunch führt HTTP Zugriffe auf diverse Homepages durch, um nach Updates zu suchen. Das ist normal.

Es gibt keinen zentralen Server. Die Pakete werden direkt von den Homepages der entsprechenden Anbieter geladen. Das können Portale wie Aminet oder MorphOS-Files sein, aber eben auch private Homepages.

Je nach Notwendigkeit wird die Webseite geladen, um die Version eines Archivs aus dem Text der Seite zu ermitteln.

Die Adressen stehen alle im Klartext in den Datenbanken. Wenn man die entsprechenden Webseiten selber mit OWB ansurft bekommt man die gleichen Adressen geliefert.

Grunch macht nichts anderes, nur viel schneller und mit weniger Bandbreiten- und CPU-Nutzung, da nur die Informationen und keine Bilder, javascript Dateien etc geladen werden.

Als Beispiel sei hier nur "kundenserver.de" genannt.

Das ist meine Homepage (http://www.geit.de bei 1und1), die ziemlich intensiv genutzt wird, da sie Seite nicht nur selbst diverse Archivdaten enthält, sondern auch als Fallback für Bilder genutzt wird.

http://whois.domaintools.com/kundenserver.de

Also nix Exploid, sondern nur ein Programm das die Arbeit von Stunden in wenigen Minuten automatisch erledigt und das Web nach Updates absucht.

Es werden weder Passworte genutzt, noch Javascripte ausgeführt.


[ Edited by geit 15.09.2015 - 01:34 ]

Quote:

Unbedacht und ungewollt ... auch ich bin nur Mensch (mit der bitte der Darwin Nuke Angriffe unter Mac Leopard 10.5.8 um Verständnis der gesunden Paranoide Denkweise) ... :( :( :(

doch @Geit Email als Antwort ist unterwegs :)


Quote:

Ich konnte selber nicht alle Adressen nach vollziehen. Auch ich muss mich erstmals in Morph OS einarbeiten



Quote:

Nochmal für alle :
Tatsache, unter Windows 7 (März 2014 bis Dato März 2015) bin ich eXtrem an 4 Arbeitsplätzen
angegriffen worden in der Ausführung eines Nebenerwerbs. Diese Arbeitsplätze sind komplett zerstört, sowie das Unternehmen erstmals eingestellt.

Erst im Januar Februar März 2015 legte ich mir den Mac G5 PPC gebraucht zu um den Alltag unter Mac OS 10.5.8 durchzuführen - mit dem bewussten Ziel so oder so auf Morph OS umzusteigen.

Aufgrund der Attacken, die sich bis in Netzwerk überschlugen - und auch die Finanzkraft mit dem Nebenerwerb darunter litt - konnte ich den Mac G5 erst im August 2015 mit der Radion Grafikkarte ausstatten um mich dann bis Dato Heute mit MorphOs auseinander zu setzten.


Leute Leute - denoch bitte ich Ich jeden für sich selbst die Augen offen zu halten - für meine "Tonart" mich hier an dieser Stelle ÖFFENTLICH für alle mich innerhalb der Panicmache zu Endschuldigen, doch das wahrhaftige Kaos innerhalb des Netzwerkes, dem BKA Trojan unter Win 7 den Darwin Nuke unter Mac OS hinterliess auch bei mir heftige Spuren bis zu 2stelligen Nerven zusammenbrüchen.

S O R R Y


[ Editiert durch m7g5wt 15.09.2015 - 07:51 ]