Kennt Ihr die Seite Elict.org / awards?

[UweT]

Danke für die ausführliche Klarstellung.
Was mich noch interessieren würde ist der Grund für die Generierung der langen Adresse: global.admedia.adfarm.de/ref/a8932212380/solution/ Das sieht so nach "Ad-Script" aus, daher der Verdacht eines kommerziellen Hintergedankens.

[netzbuch]

Tag allerseits,

was ich an den "harmlosen Versuchen zum Aufbau einer Suchmaschine" etwas merkwürdig finde, und mich erst dazu gebracht hat dieser Sache einmal nach zu gehen (Spider von nicht öffentlichen Projekten kommen häufiger mal vorbei, das ist in der Tat nichts ungewöhnliches), ist die Tatsache dass die Referrer von einer Seite, auf der es nichts zu klicken gibt, nämlich elict.org/awards.html, und die ja auch nach Aussagen des Protagonisten "nicht öffentlich" ist, aus allen möglichen Netzen auf der ganzen Welt kamen: Z.B. proxycache.rima-tde.net, andersonbaillie.com, spsefren.cz, am-network.com.tw, sdi.tpnet.pl, und viele andere mehr. Wahrscheinlich sind das alles die weltweiten Mitarbeiter an diesem neuen großartigen Projekt , und nicht etwa irgendwelche Tricksereien, zu welchem Zweck auch immer ...

Also, ich finde das alles nach wie vor sehr merkwürdig.

Viele Grüße
Ralf

[elictorg]

Hallo netzbuch ,

ich helf Dir natürlich gerne auf die Sprünge , damit es uns möglich ist
mehrfach Anfragen an diverse Suchmaschinen zu senden benutzt unser
Spider unterschiedlichste Proxyserver. Das hat einzig und allein die
Bewandniss das diese Anfragen durch eine einzige IP seitens der Suchmaschinen
reglementiert sind. Das bedeutet das man hier durch ständige Anfragen
Gefahr läuft von der Suchmaschine geblockt zu werden.

Das wir dann den Spider nun auch auf Webseiten wie Deine über die
Proxyserver laufen liesen ist sicherlich abzuwägen. Problematisch
wurde es auch erst dadurch das speziell einige Webseite mehrfach
besucht wurden und das über unterschiedliche Proxyserver.
Hier hat unser Dupe-Check leider versagt.

Der Referer wurde unter anderem dafür genutzt um bei einem Selbsttest
festzustellen ob der Proxyserver auch wirklich seine Dienste tut.

Dinge wie "Die Seite elict.org/awards.html sei nie öffentlich gewesen"
habe ich so nie gesagt, ich denke das sollte man ganz klar trennen.
Auch wenn es sicher nicht in meiner Absicht lag diesen Verweis auf
ebend diese Domain zu hinterlassen. Diese diente wie schon angesprochen
lediglich dem Proxy- und Spidertest.

Ansonsten kann ich Dich nur bitten mein vorheriges Posting nocheinmal
genau zu studieren und zu versuchen Dir ein genaues Bild von dem
technischen Ablauf zu machen. Mißverständnisse wie diese möchte ich
nämlich unbedingt vermeiden.

und zum Schluss noch zu tbone:

Diese relativ lange Adresse resultiert einfach nur aus meiner Rumprobiererei.
Ich habe hier viel mit Weiterleitungen aus der HOSTS Datei selbst
getestet, die sowohl Subdomains als auch Unterverzeichnisse einschlossen.
Letztendlich bin ich dann dazu über gegangen direkt auf die
IP und von dort aus auf den vhosts umzuleiten der bereits existierte.
Womit ich mir dann schlussendlich den Unmut von Dir und den einiger
Anderer auf mich zog.

Ich kann nur noch einmal betonen das beide Webseiten nichts miteinander
zu tun haben und das hier keine wissentliche/vorsätzliche Handlung dahinter steht.

[SISTRIX]

Tja, für mich hört sich das ganze auch eher so an, als wolle man nun zurückrudern, da die ganze Sache aufgeflogen ist. Zum einen die Aktion mit den Proxyservern, das hat keine seriöse Suchmaschine nötig. Und warum braucht man 1243 Einträge in der hosts dabei um zu testen?

[flashbone]

Tja, für mich hört sich das ganze auch eher so an, als wolle man nun zurückrudern

nur wird ihm das nichts mehr nützen ... und genau das hat er in den letzten tagen leidvoll erfahren müssen

[elictorg]

Hallo,

das da nun einiges schief gelaufen ist will ich ja nun gar nicht bestreiten,
aber ich kann ehrlich nicht nachvollziehen warum sich hartnäckig die
Theorie mit dem Trojanischen Pferd hält. Schließlich musste man
sich selbstständig (!) durch 4 Adressen arbeiten um überhaupt
zu diesem Script zu gelangen. Dieses Script lag wie sich durch Google
und andere Suchmaschinen leicht bestätigen läßt auf einer Domain
die bis dato der Öffentlichkeit völlig unbekannt war und von der ich
zu keinem Zeitpunkt davon ausgegangen bin das diese Besucher durch
solch ein Referer erhält. Von solchen Dingen geht man einfach nicht aus.
Darum empfinde ich es als ausgesprochen unfair mir ständig diesen
Vorwurf zu machen.

Hier von zurückrudern zu sprechen denke ich ist so sicher falsch.
Mich zwingt schließlich niemand mich hier zu stellen und die ganze
Sache vorzutragen. Und solch technische Einzelheiten warum
und wieso dort nun Proxyserver eingesetzt wurden kannst Du, mit
verlaub, möglicherweise (?) nicht beurteilen und ist so sicher
keine Frage der Seriösität.

[elictorg]

Achso,

bevor ich es noch vergessen, da hier einige Webmaster vertreten
sind die einen Artikel auf Ihrer Homepage über diesen Referer
und das Trojanische Pferd geschrieben haben.

Ich möchte Euch nachdringlich bitten die ganzen Vorkommnisse
richtig (!) in Euren Artikeln darzustellen. Wer weiterhin behauptet
das über eine Adresse unter der Domain elict.org Trojanische
Pferde verteilt wurden der kann unter Umständen damit rechnen
das ich rechtlich gegen Denjenigen vorgehen werde.

Es ist wohl nicht zu viel verlangt den besagten Sachverhalt richtig (!)
dazustellen.

[SISTRIX]

Ich denke, Drohungen sind hier fehl am Platze.

Gruss Johannes

[flashbone]

ob du mit oder ohne vorsatz gehandelt hast werden weder die betroffenen webmaster noch die betroffenen user, sondern die gerichte entscheiden. oder denkst du wirklich das du nach dem entstandenen schaden mit einem einfachen "sorry, es tut mir leid" aus dieser sache wieder rauskommst?

[elictorg]

Bleibt abzuwarten. Ich denke nicht das sowas vor einem dt. Gericht
ausgetragen wird. Davon mal abgesehn habe hier nun ausführlich
dargelegt wie es dazu gekommen ist und das ist nunmal die reine Wahrheit
und diese läßt sich ohne weiteres anhand von logfiles belegen.

Die dadurch entstandene Traffic ist minimal und möglicherweise infizierte
User werden durch mich benachrichtigt sobald diese auf meinen Server umgeleitet werden.
Von daher kann hier von einem entstandenen Schade wohl kaum gesprochen werden.

[elictorg]

Sistrix,
es tut mir leid, aber ich muss darauf bestehen das dieser Sachverhalt richtig
dargestellt wird. Wie das Posting von Flashbone unmißverständlich zeigt

[flashbone]

[Bleibt abzuwarten. Ich denke nicht das sowas vor einem dt. Gericht ausgetragen wird.]

[Die dadurch entstandene Traffic ist minimal]

leider sehen das, lieber herr prueter, viele geschädigte webmaster bzw. firmen etwas anders, aber wie gesagt, das wird nicht hier entschieden.

[elictorg]

na mich würde denn doch schon mal interessieren wie das
durch andere webmaster oder auch firmen gesehen wird

[adminX]

na mich würde denn doch schon mal interessieren wie das
durch andere webmaster oder auch firmen gesehen wird

Uns für usneren Teil ist ein erheblicher Schaden entstanden, da ein großteil unserer gebuchten Werbung auf Ihre Seiten umgeleitet wurde.
Unsere Webmaster haben einen Umsatzeinbruch von 80% zu verzeichnen, da unsere Seiten kommplett auf Ihre Seiten umgeleitet wurden.
Wir haben nun unsere Kanzlei Strömer mit der Sache beauftragt die Schadensersatzansprüche geltent machen wird, weiter wird es eine Anzeige geben.

P.S So wie wir verfahren, werden auch andere schon in diese Richtung tätig geworden sein
Gruß
Wolfgang

[checksumde]

Hallo,

also Sie sprechen hier von Größenordnungen die definitiv nicht wahr sind.

ich möchte darum nun noch einmal dazu Stellung nehmen.
----------------------------------------------------------------------------------

Sehr geehrte Damen und Herren,

ich möchte diese Gelegenheit nocheinmal nutzen Ihnen genau zu erklären
was sich in der letzten Woche zugetragen hat. All dies kann ich Ihnen
ohne weiteres anhand von logfiles oder ähnlichen Dingen nachweisen.
Ich bin überdies auch gern bereit Ihnen einen Einblick in die Serverstatistiken
zu gewähren.

Wie Sie wahrscheinlich gelesen haben arbeite ich zur Zeit unter anderem an einem
Suchmaschinen Spider.

Ersteinmal möchte Ich Ihnen erklären welches Konzept hinter diesem Spider steckt.
Da das Entwickeln eines eigenen Bewertungsmechanismus für Webseiten durch einen Spider
(ähnlich wie der von Google) weit über unsere Grenzen hinaus geht haben wir einen
Weg gesucht trotz alledem ein qualitativ hochwertiges Angebot zur Verfügung stellen
zu können. Hier kam uns nun die Idee anhand einer Keywordliste verschiedene Suchmaschine
abzufragen und die so erhaltenen Seiten aus allen Suchmaschinen miteinder zu vergleichen.
Seiten die dabei in unterschiedlichen Suchmaschinen mehrfach auftauchen haben
in unserer Datenbank ein höheres Ranking bekommen als andere. Durch diesen Mix der
verschiedenen Suchmaschinen mit Ihren verschiedenen Sortier/Filterkriterien
gingen wir von einem hohen Potential für unsere Suchmaschine aus.
Soweit zu unserer Grundidee.

Zur technischen Seite:
Dieser Spider fragt über Proxy Server unterschiedliche Suchmaschine
nach bestimmten Suchbgeriffen ab um dadurch zu bestimmten Stichwörtern einen
Katalog aufbauen zu können. Die Nutzung von Proxy Servern ist darin begründet das wir teilweise
sehr viele Anfrage an diese Suchmaschinen gestellt haben und vermeiden wollten
das unser Server dadurch geblockt wird oder anderweitig zu Verantwortung gezogen wird.
Sowohl für die Anfragen an die Suchmaschinen als auch die der somit gewonnen Webseiten
ist hierbei jeweils das selbe Modul zuständig. Darin begründet sich auch der Umstand
das alle Webseiten über Proxy Server und nicht direkt durch unseren Server erfaßt wurden.
Der größte Fehler hierbei lag nun darin das die Datenbankabfrage und somit das Prüfen
ob eine Seite bereits indiziert wurde nicht richtig funktionierte. Das hatte zur Folge
das einige Seiten mehrmals pro Tage über die Dauer einer Woche besucht wurden.
Dies stellte sich für den Webmaster so da als wenn über den benannten Referer
https://elict.org/awards.html plötzlich die unterschiedlichsten Besucher auf seine
Seite herreinbrachen. Dieser Referer wurde von uns allerdings nur zum testen
der Proxy Server genutzt. Hierbei hat der Spider ein dafür konzipiertes Modul selbst
aufgerufen und geprüft über welchen Proxy Server eine postive Rückmeldung kam.
Die Proxy Server die hier als negativ befunden wurden wurden gedropt.
Als der Spider nun in der vergangenen Woche seinen ersten Test unter Volllast absolvieren
sollte haben wir einerseits vergessen diesen Referer zu entfernen und die logfiles
die der Spider wärend der Laufzeit erzeugte genau zu prüfen.
Durch die Masse der indizierten Seiten waren solche Dopplungen beim Überfliegen
der logfiles leider nicht ersichtlich.

Verständlicher Weise gab es hier nun Webmaster die geprüft haben woher diese ominösen
Aufrufe in Ihren Statistiken gekommen sind. Diese folgten dem Link https://elict.org/awards.html
und fanden hier eine leere Webseite vor. Nun haben sich sicherlich einige dieser
Webmaster die Toplevel Domain https://elict.org/ angeschaut und auch hier
eine leere html Seite vorgefunden. Nun wurde die IP des Servers ermittelt und man wurde von
dort auf die Seite https://global.admedia.adfarm.de/ref/a8 ... /solution/ weiter geleitet.
Da auch diese Webseite keinen Inhalt trug wurde offensichtlich hier dann die
TopLevel Domain adfarm.de selbstständig durch den Besucher (und nur durch den Besucher) aufgerufen.
Die ebend dieses hta Script enthielt das eine Sicherheitslücke in einigen Versionen des IE's ausnutzte.

Ich habe es ja nun schon einige Male gesagt und möchte es auch noch einmal wiederholen,
diese Domain und dieses Script war zu jedem Zeitpunkt rein privat und war nie dazu gedacht
andere zu infizieren bzw der Öffentlichkeit zugänglich gemacht zu werden.
Ich kann es auch nicht verstehen warum sich hartnäckig das Gerücht hält ich hätte
dieses Script über die Domain elict.org verbreitet. Das ist einfach nicht wahr.
Wenn ich soetwas vor gehabt hätte dann hätte ich zum einen nie meine eigene Domain
für soetwas genutzt und ich hätte wohl auch eher dazu tendiert direkt die Datei awards.html
zu infizieren.

In dem gesamten Zeitraum, seit beginn des Testlaufes am 5.10. bis zum 10.10.
sind bis heute ca 6500 Besucher auf die https://elic.org/awards.html Webseite gelangt.
Zum Teil aus Statistiken und zum Teil aus Foren wie dieses.
Trafficstatistiken wie die aus dem einiger Foren kann ich somit nicht nachvollziehen.
Einige Hundertausend Zugriffe hat es auf dem Server nie gegeben.
Zugriffe auf die Toplevel Domain https://elict.org gab dazu nur einige Hundert.

Die Anzahl der User die seit dem täglich über die IP des Servers und/oder über die URL
https://global.admedia.adfarm.de/ref/a8 ... /solution/ kommen beträgt
ca. 3-4 Dutzend. Diese kommen aber zum größten Teil über Suchmaschinen oder Foren und
erst in den letzten Tagen ist diese stark angestiegen. Nur ein geringer Teil dieser User
ist wirklich durch diesen Trojaner über die Domain adfarm.de infiziert worden.
Daher kann hier absolut nicht davon ausgegangen werden das dadurch ein Umsatzeinbruch
für die durch die HOSTS Datei umgeleiteten Server enstand. Zudem habe ich mehrfach
angekündigt das ich die durch mich infizierten Nutzer sobald sie auf meinen Server
umgeleitet werden informieren und Ihnen eine Anleitung zum Entfernen dieser Änderung anbieten.

Abschließend möchte ich hier noch einmal Stellung zu dem hta Script selbst nehmen.
Als ich auf heise.de die Demo mit dem entsprechenden Script beim durchblättern der News gefunden
habe wurde bei mir die Experimentiertfreudigkeit geweckt. Ich habe mit diesem Script
und den damit verbundenen Anwendungsmöglichkeiten in unterschiedlicher Weise rumexperimentiert.
Das sich Server mit Hilfe der Hosts Datei umleiten liesen war mir durch die Tauschbörse
Kazaa lite bekannt, diese enthielt unter anderem so eine List. Eine Liste wie sie in
unterschiedlichen Ausführungen mehrfach im Internet verfügbar ist und einer solcher
ich mich in diesem Fall auch bediente. Ich habe diese Liste nicht selbst zusammen getragen.
Auch der Sourcecode für ein C - Programm das die Hosts Datei abändert war im Internet
nebst einer Beispielliste frei verfügbar.
Hier habe ich dann neben unterschiedlichen Programmen auch mit unterschiedlichen Weiterleitungen
rumexperimentiert. Wer sich damit nun ein wenig auskennt weiß möglicherweise das sich
in der Hosts Datei keine Unterverzeichnisse sondern nur IP Adressen, Toplevel Domains oder
Subddomains umleiten lassen. Diese Erkenntnis blieb mir allerdings eine Weile verwehrt.
Aus diesem Grund entstand die relativ lange Subdomain und die angeschlossenen Unterverzeichnisse:
https://global.admedia.adfarm.de/ref/a8 ... /solution/
Da sich auch hier für mich einige Probleme auftaten habe ich schlußendlich die IP Adresse
des Servers dazu genutzt um auf den vorhandenen vhost (subdomain) umzuleiten.

Grudsätzlich stehen beide Seiten elict.org und adfarm.de in keinem Zusammenhang.
Dieses Script sollte nie Jemanden schaden oder öffentlich gemacht werden.
Das sich daraus nun soetwas entwickelt konnte ich wirklich nicht ahnen.
Ich möchte mich dementsprechend nocheinmal aufrechtig bei allen Betroffenen entschuldigen.