Lahmende Verbindung durch Hosts Datei

Ein nicht ganz alltäglicher Kundeneinsatz: Kunde beklagt, er hätte Zugangsprobleme im Netz und teilweise unheimlich hohe Latenzen bis überhaupt eine Seite aufgebaut wird – teilweise schlägt auch der Seitenaufbau komplett fehl. Insgesamt problematisch: Das Problem ist nicht 100% reproduzierbar – es tritt immer wieder mal auf – meist mehrmals täglich, aber ohne erkennbaren Zusammenhang. Alles sehr neblig und diffus …

Der Kunde verwendet einen internen Nameserver – erster Verdacht: Da läuft was schief und die Kiste macht irgendwas was die Verzögerungen auslöst… Test mit dem eigenen Rechner, sowohl über das WLAN des Kunden, als auch über das Kabel: der Server antwortet und das sogar ziemlich pronto.
Zweiter Anlauf: Analyse des DHCP-Eintrags: da steht noch ein providerspezifischer DNS-Server drin, Eintrag mal deaktiviert, vielleicht stimmt die Adresse ja nicht mehr. Weiterhin keine Besserung und am Testrechner lief alles ohne Probleme – zudem beschränkte sich das Problem auf eine ausgewählte Menge Rechner, zwischen denen aber erst mal kein logischer Zusammenhang herzustellen war…

Also eine eingehende Analyse und somit das Ohr rauf auf die Netzwerkschiene: Einfach mal zuhören was im Netzwerk so läuft. Dort ist es vergleichsweise ruhig – von den gelegentlichen Abrufen von e-mails und den Broadcasts der Windows-Kisten über deren Shares ist alles normal. Auch die Anfragen an den Server finden sich wieder. Auffallend: Die Antworten des Servers kommen innerhalb nur weniger Millisekunden, die erlebte Wartezeit bis überhaupt eine Verbindung aufgebaut wird sind aber typischerweise mehr als 5 Sekunden … irgendwas stimmt also doch nicht.

Nachdem der Server nun wirklich aller Schuld entlastet ist, gehts mit der Fehlersuche auf dem Client weiter: Nach dem Leeren des DNS-Cache lässt sich der Fehler schön beobachten. Am Server verfolge ich parallel die Netzwerkaktivität – da muss das Paket ja irgendwann zwangsläufig vorbei kommen … WireShark bzw. tcpdump wird es nicht entgehen. Erstmal wird bestätigt: Den Server trifft keine Schuld – denn beim Absenden eines Lookup-Befehls vergehen erst etliche Sekunden bis überhaupt was an den Server geschickt wird, der dann auch zügig antwortet.

Auf dem Rechner selbst: Keine auffälligen Programme, keine erkannte Malware, einfach nichts. Auch die Analyse und das Abstellen einiger Zusatzfunktionen im IP-Stack bringen keine Verbesserung – ein wenig Ratlosigkeit macht sich beim Admin breit… Auch das Beenden aller nicht systemwichtigen Prozesse ändert nichts an der Situation. Der Prozess Monitor für Windows bringt schließlich einen vielversprechenden Ansatz – mit ihm lassen sich die Systemaktivitäten etwas genauer analysieren – es zeigt sich, dass der Rechner relativ lange auf der hosts-Datei herumnudelt – diese wird normalerweise verwendet, wenn man keinen DNS Server im internen Netz hat – sozusagen ein Mini-DNS für ganz arme oder ganz spezielle Fälle.
Bereits auffällig: Die Datei ist für eine Konfigurationsdatei reichlich dick – etwas mehr als 400kB – reiner Text …
Der Texteditor erhärtet den Verdacht: Spybot Search and Destroy – eigentlich ein sehr praktisches Tool zur Malware Erkennung hat die Datei mit ettlichen Einträgen aufgefüllt, so wird effektiv verhindert, dass der Rechner überhaupt auf irgendwelche Domains mit bekannter Schadsoftware zugreifen kann. Nur in diesem Fall ist es einfach etwas zuviel des Guten – denn der Rechner analysiert jedesmal erst diese Datei bevor er sich ins Netzwerk wendet … und je nachdem ob die gerade im Cache liegt oder erst von Platte gelesen und analysiert werden muss gibt es doch eine merkliche Latenz … Schmeißt man die Einträge raus (oder verschiebt die Datei einfach – dabei aufpassen, dass Spybot es nicht als Angriff wertet und sie stillschweigend wieder herstellt), ist die Reaktion plötzlich wie erwartet – alles läuft einfach so zügig wie man es erwartet.
Also ggf. mal einen Blick in diese Datei werfen … manchmal fallen einem doch wirklich Backsteine aus dem Anfang der Netzwerkzeit wirklich auf die Füße.

Lästig und schon fast wieder lustig – Scam …

Was tun mit nicht teilweise mehr funktionsfähiger Hardware die eigentlich zu schade zum Entsorgen ist: Kleinanzeigen sind da eine hilfreiche Sache, mittlerweile gibts das ja auch im Netz (Sperrmüll liest ja heute kaum noch ein Mensch). In den Staaten habe ich da gute Erfahrungen mit Craigslist gemacht – in Deutschland gibt es mittlerweile auch Angebote von ebay.

Ich habe beides jetzt mal getestet und prompt bei Craigslist eine interessante Erfahrung gemacht: Da hat mich doch tatsächlich jemand kontaktiert, wohlgemerkt in Englisch (was für mich kein Thema ist und wem ich das Ding nun eigentlich verkaufe ist mir doch egal). Es war aber doch etwas merkwürdig, denn er wollte unbedingt per Western Union bezahlen, was ich abgelehnt habe, da dieser Service doch reichlich suspekt ist und in vielen Foren und Fällen vor der Verwendung gewarnt wird – auch wenn er wirklich weltweit funktioniert.
Normalerweise ist es bei Craigslist auf Abholungsbasis, sprich man ist auf solche Dinge gar nicht erst angewiesen: Ware gegen Geld direkt, das spart auch Versandkosten.
Auffällig war dann wirklich, dass man penetrant nach Kontodaten gefragt hat – auch nach dem Hinweis: Bitte normale Überweisung oder im Notfall Paypal. Außerdem nannte man noch nicht mal eine Adresse …

Ich habe mich erst mal stur gestellt und eine Adresse eingefordert – denn ohne die kommt man ja nicht an die Versandkosten ran (ich hätte natürlich einfach mal ein paar hundert EUR angeben können). Als man mir dann eine Adresse in Nigeria nannte war klar: Das wird nix und man versucht hier auf ziemlich dreiste Art und Weise und noch dazu verdammt plump an die Kontodaten heran zu kommen. Gut, dass ich die nicht preisgegeben habe. Ich habe jetzt sehr höflich aber bestimmt die Lieferung abglehnt …
Hier mal ein Auszug aus der letzten Mail:
[quote]
My pastor just mail me now with one of the assistant arch bichop in
Nigeria. Here is the address i wan to ship it to my arch bishop in
Nigeria so add the shipping money. so send me the total cost with your
full bank details

This is the address:

Fakunle Kayode G
Address: No 23 Sango Poly Road
City :Ibadan,
STATE: Oyo
Zip Code: 23402
Country: Nigeria

On 10/20/10, Kai Schlachter <murphy@murphyslantech.de> wrote:
> > You still did not tell me where to ship. Without that information I will
> > not be able to calculate the full amount.
> > Please provide me with an complete address for the calculation.
> >
> > And what do you mean by verifying the account? With wire transfer you
> > send the money and if the account is valid, it will be put directly in
> > my account. Otherwise the money will be send back to you. I will only
> > get the shipment en route after complete payment. As already noted: I
> > have been fooled once.
> >
> > I must admit, that your behavior is at least a bit suspicious and I will
> > not take any risks. If I get the conclusion, that you are trying to
> > trick me, I will not hesitate to report you to the craiglist maintainers
> > and/or the police. You do not even seem to bother in sending your full
> > name or any proof of identity, which makes your offer even more
> > suspicious. I hope you can understand that.
> >
> > C.U. Kai Schlachter
> > PGP-fingerprint: 8640 43BF 0807 8349 67F4 C0CE CBA9 83BA 197B 3ED4
> >
> >
> > Am 20.10.2010 17:39, schrieb bobby alex:
>> >> Yes i am well pleased with the wire transfer so get back to me with
>> >> your full bank details so i will make the payment. the account will be
>> >> verify before you can cash the money so get back to me with the bank
>> >> details.
>> >> On 10/20/10, Kai Schlachter <murphy@murphyslantech.de> wrote:
>>> >>> Hi,
>>> >>>
>>> >>> Sorry to inform you: Due to abuse and fraud I am not willing to use
>>> >>> Western Union as transfer agent.
>>> >>> Best is to bring the money in cash (I have no problems with foreign
>>> >>> currencies such as US$ or British pound or swiss CHF – nothing else!)
>>> >>> upon pickup.
>>> >>> I will also accept wire-transfers to my account (IBAN & SWIFT) or as a
>>> >>> last resort, payments via Paypal.
>>> >>>
>>> >>> How do you want to receive this item and where should I ship it, if you
>>> >>> are not going to pick it up? Depending on the shipping address I will
>>> >>> have to charge you with the shipping costs of an insured and traceable
>>> >>> shipment (UPS,DHL,TNT).
>>> >>>
>>> >>> Sorry for the inconvenience but I have been fooled once, and I do not
>>> >>> tend to make mistakes twice.
>>> >>>
>>> >>> Please provide me with the details on how you would like to make your
>>> >>> payment and where you would like the package to be shipped. I will then
>>> >>> provide you with the amount money to send.
>>> >>>
>>> >>> I am not sure if you are aware that I am shipping from Europe and not
>>> >>> the US.
>>> >>>
>>> >>> C.U. Kai Schlachter
>>> >>> PGP-fingerprint: 8640 43BF 0807 8349 67F4 C0CE CBA9 83BA 197B 3ED4
>>> >>>
>>> >>>
>>> >>> Am 20.10.2010 17:02, schrieb bobby alex:
>>>> >>>> get back to me with your full details so i can send the money to you
>>>> >>>> asap through western union.
>>> >>>
>> >>
>> >>
> >

— I am interested in the available item i am really in need on this item for Christmas.
[/quote]

Ich kann nur eindrücklich jeden davor warnen auf solche Angebote einzugehen – bei solchen Geschäften ist nur Bares Wahres … und selbst da sollte man wissen wie man ggf. das Geld auf Echtheit prüft, solchen Gaunern muss man auch leider zutrauen, dass sie einen dazu hernehmen Falschgeld in Umlauf zu bringen.

Ich muss mir mal noch überlegen ob ich den Betrugsversuch jetzt nicht einfach mal bei der Polizei aktenkundig machen soll – in Deutschland wird die Verfolgung ins Leere laufen, aber die Häufung solcher Einträge kann ggf. helfen diesen Sumpf endlich mal trocken zu legen.

BTW: Die Hardware steht weiterhin zum Verkauf – wer Interesse hat, einfach melden …

Posted in Web |