Spam: Suche nach Finanzagenten

Angeblich sucht die Rullion wieder Mitarbeiter in Deutschland. Kann gut sein, aber die per E-Mail verschickten Job-Angebote sind gefälscht. Hier werden ahnungslose Schafe als Finanzagenten gesucht, um betrügerische Geldüberweisungen ins Ausland zu transferieren.

Die offizielle Homepage der Rullion ist rullion.co.uk und nicht rullion.net. Siehe auch meinen früheren Artikel. Damals wurde die Domain rullion.org genutzt und aus Christoph Taylor wird Andrew Spencer.

Unterschrieben sind Mails mit:

Mit freundlichen Gruessen,
Andrew Spencer
HR Department
Recruitment agency Rullion
job_cv@rullion.net

Trojaner: Blackhole

Heute kam der Trojaner Blackhole in einem neuen Gewand.

From: HamzaKiewiet@t-arend.de
To: <thomas@t-arend.de>
Subject: Re: Changelog New
Date: Fri, 30 Nov 2012 11:01:32 +0100
Good morning,

changelog update – View

I. LENTZ

Die Obfuskierung ist nun etwas „komplexer“. Etwa jedes 8te Zeichen ist ein „=“. Dieses und das nachfolgende Zeichen werden ignoriert. Die aus zwei Zeichen bestehende Zahl wird nun auch durch drei geteilt. Damit müsste ich meine Deobfuskierung anpassen, aber dazu habe ich heute keine Lust.

Angriffe auf ssh

Mir vielen gerade Angriffsversuche auf den ssh Port dieses Servers auf. Das Besondere an diesen Login Versuchen ist, dass etwa alle 5 Minuten und 30 Sekunden genau ein Login Versuch stattfindet. Damit dauert es zwar sehr lange, eine Schwachstelle zu finden, aber die üblichen zusätzlichen Abwehrmechanismen wie Fail2Ban oder Denyhost, die auf sehr viele Zugriffe pro Minute oder Sekunde reagieren, werden dadurch unterlaufen.Aber, wer Fail2Ban oder DenyHost einsetzt, verwendet auch starke Passwörter.

Die Angriffe laufen nun schon seit dem 27. November und kommen von der IP-Adresse 221.174.50.143. Die Adresse gehört gem. whois zum Netz der CHINA RAILWAY TELECOMMUNICATIONS CENTER., 22F Yuetan Mansion,Xicheng District, Beijing,P.R.China.

Nov 27 20:37:14 h1383963 sshd[23976]: Invalid user rosaleen from 221.174.50.143

Dec 1 00:17:27 h1383963 sshd[29658]: Invalid user willy from 221.174.50.143

Jungs, dass bringt nichts. Es ist nur ein Nutzer zugelassen und der hat ein sicheres Kennwort.

Nein! Die Mails werden über einen OpenVPN Tunnel abgeholt.

Update 09.12.2012: Heute kommen diese Angriffe von der Adresse 221.174.50.141. Es ist schon auffällig, wie nahe die IP-Adressen beieinander liegen.