Die Blog Oase

Man kann sich auch ein Eigentor schiessen...
Wegen einer echten Terminskollision habe ich in nem Verfahren eine Terminsverlegung beantragt. Die Begründung war, dass der einzige mit dem Fall betraute Sachbearbeiter (ich also) an diesem Tag einen anderen Gerichtstermin hat.
Die Verlegung habe ich auch prompt bekommen. Zu dumm aber, dass ich nicht gekuckt habe, _wo_ dieses Verfahren läuft.
Nun, es ist kurz vor Passau. Das heisst aber nun, dass ich keinen Anwalt vor Ort beauftragen kann, denn der ist ja gerade nicht mit dem Fall vertraut und hätte also auch den ursprünglichen Termin wahrnehmen können.
Mist, wegen 280,- Euro nach Mühldorf am Inn...

Ich liebe es wirklich, SmartCards einzurichten (NOT!). Besonders auf TO-TAL zugemachten PCs, deren Administratorkennwort nicht bekannt ist. Geile Abend/Nachtbeschäftigung.

Ein schönes neues, kanzleiweites Login-Script haben wir bekommen.
Alle Office-Programme hatten eh brav UNC-Pfade eingetragen bekommen, so dass keiner was gemerkt hat.
Ausser meinem Palm-Conduit. Nicht ums Verrecken war der Mist dazu zu bewegen, die Verschiebung des Outlook PSTs von M: auf N: nachzuvollziehen, ohne alle Termine seit 1997 (seitdem habe ich meinen Palm) zu duplizieren.

Nun bin ich der Einzige im Netz, der dauernd umdenken muss, wenn er jemandem sagt, wo eine Datei liegt. Grummel...

Nachdem das Blogging doch langsam zur Gewohnheit wird, habe ich mir nen vernünftigen Hoster gesucht.
Nun frisch ans Werk, heute waren es ja bloss 5 Termine, gestern immerhin 6...
Jetzt muss ich kucken, dass ich irgendwann noch meine Arbeit hinbekomm'.

Unser Gateway-Linux kränkelt:

kernel: hda: dma_intr: status=0x51 { DriveReady SeekComplete Error }
kernel: hda: dma_intr: error=0x40 { UncorrectableError }, LBAsect=6050402,
sector=6009968
kernel: end_request: I/O error, dev 03:02 (hda), sector 6009968
kernel: hda: dma_intr: status=0x51 { DriveReady SeekComplete Error }
kernel: hda: dma_intr: error=0x40 { UncorrectableError }, LBAsect=6050402,
sector=6009976
kernel: end_request: I/O error, dev 03:02 (hda), sector 6009976
kernel: hda: dma_intr: status=0x51 { DriveReady SeekComplete Error }
kernel: hda: dma_intr: error=0x40 { UncorrectableError }, LBAsect=6053281,
sector=6012856

Und so geht das noch ne weile weiter ... Zeit, die Platte zu clonen und auszutauschen.

Platten liegen hier genug 'rum. Und so hab ich geclont:

• Sichern des Master-Boot-Record mittels

  dd if=/dev/hda of=~/hda.mbr bs=446 count=1

• Sichern der Partitionstabelle mittels

  sfdisk -d /dev/hda > hda.pt

• Die Zielplatte wird nun in einen Rechner gebaut. Gebootet wird der Rechner mittels einer geeigneten CD (Knoppix) oder Diskette.
• Am Zielrechner startet man einen Netcat-Server mittels

  netcat -l -p <portnummer> | tar -xpvf -

• Am Quellsystem kann man nun mittels

  tar -cpvf - <directory> | netcat <ziel-ip> <portnummer>

  die Dateisysteme auf die Zielplatte bringen.

meine Antwort an web.de:

Sehr geehrter Herr Bauch,


"WEB.DE Kundenservice" schrieb am 19.05.05 10:38:42:
> 
> Sehr geehrte Damen und Herren,

?

Warum sprechen Sie mich nicht mit meinem Namen an?


> Wenn Viren oder Wuermer ueber unserere Server verschickt werden,
> liegt das selbstverstandlich im Interesse von WEB.DE dies zu
> unterbinden.

Sofern Sie in der Lage sind, diese auch zu erkennen. Die Aktualität
der Scanner spielt hier eine wesentliche Rolle.

Genau darum geht es hier nämlich: Ist die bei mir und meinen
IT-Kollegen im Einsatz befindliche Software aktuell genug, um die
_absichtlich_ versandte und mit einem Hinweis im Betreff gekennzeichnete
virulente Mail zu erkennen oder nicht.

> > Zeigen Sie mir erst einmal die Header der betreffenden Mails, dann
> > werden wir ja sehen, wer der Urheber ist.
> 
> Der oder die uebermittelten Header wurden von uns ueberprueft.

Es würde mich schon interessieren, um welche Mail es sich gehandelt hat,
ob sie tatsächlich auch von mir versendet wurde und vor allem, welchen
Betreff sie hatte. Zeigen Sie mir also bitte die betreffenden Header.

> Das ist Ihr gutes Recht. Wir moechten allerdings auf unsere AGB
> verweisen und darauf aufmerksam machen, dass wir im 
> Wiederholungsfall berechtigt sind dieses Postfach ggfls zu schliessen. 

Einen Wiederholungsfall akzeptiere ich erst, wenn ich die Header der
betreffenden Mail gesehen habe.

> > es würde Ihnen gut zu Gesicht stehen, wenn Sie Ihrerseits den NAZI-SPAM
> > in Griff bekommen würden!
> 
> Sofern dieser Spam von unseren Servern verschickt wurde gehen wir
> gegen diese Nutzer gemaess unserer AGB vor.

Dann wird das wohl nichts. Es sei denn, der verursachende Sober.q benutzt
neuerdings die in den Mailprogrammen eingestellten Smarthosts. Schade. 
Es würde Ihnen sicher einige Bonuspunkte bringen, wenn diese Mails
aussortiert werden würden.

> > Das wär' viel besser als Ihr Gemaule wegen _absichtlichem_ Wurmversand.
> 
> Hier geht es nicht um "absichtlichen" Versand. Ist einem Nutzer ein
> initialer (absichtlicher) Versand nachzuweisen wird der Nutzer nicht
> erst gebeten sein system zu ueberpruefen, in diesem Fall wird das
> Postfach umgehend geschlossen und nach Pruefung werden rechtliche
> Schritte eingeleitet.

Doch. Hier geht es ausschließlich um absichtlichen Versand. Mal 
angenommen, Sie haben Recht. Dann wäre im Mailheader ersichtlich, daß 
der sendende Host sich nicht gegenüber dem smtp von web.de mit User und 
Passwort angemeldet hat, sondern Ihr smtp die Mail wegen der passenden 
Zieladresse angenommen und zugestellt hat.

Ein absichtlicher Versand erfordert immer Username und Passwort und 
ermöglicht es dann, an jede beliebige Zieladresse zu senden. Sowas nennt 
man Smarthost und selbst die aktuellen Würmer benutzen diese nicht.

Welche rechtlichen Schritte könnten Sie denn einleiten? Dadurch, daß
vorab geklärt wird, wer von mir eine virulente Mail erhalten möchte,
kann der Empfänger schon mal keinen Schaden davontragen.

Darüberhinaus mag mir nichts vernünftiges einfallen. Ich konsultiere
dazu aber noch meinen Anwalt.

> Fuer weitere Fragen stehe ich Ihnen gerne zur Verfuegung.

Vielen Dank dafür. Ich denke, unsere Diskussion wird noch eine Weile 
anhalten.

MfG

Stefan Krister

Ohne weiteren Kommentar:

Sehr geehrte Damen und Herren,

zu Ihren Punkten:


>
> Was geht Sie das an?
>

Wenn Viren oder Wuermer ueber unserere Server verschickt werden, liegt
das selbstverstandlich im Interesse von WEB.DE dies zu unterbinden.

> Zeigen Sie mir erst einmal die Header der betreffenden Mails, dann
> werden wir ja sehen, wer der Urheber ist.

Der oder die uebermittelten Header wurden von uns ueberprueft.

>
> Bis dahin werden Sie mein Postfach so lassen, wie es ist - klar?
>

Das ist Ihr gutes Recht. Wir moechten allerdings auf unsere AGB verweisen
und darauf aufmerksam machen, dass wir im Wiederholungsfall berechtigt
sind dieses Postfach ggfls zu schliessen.

> es würde Ihnen gut zu Gesicht stehen, wenn Sie Ihrerseits den NAZI-SPAM
> in Griff bekommen würden!

Sofern dieser Spam von unseren Servern verschickt wurde gehen wir gegen
diese Nutzer gemaess unserer AGB vor.

>
> Das wär' viel besser als Ihr Gemaule wegen _absichtlichem_ Wurmversand.


Hier geht es nicht um "absichtlichen" Versand. Ist einem Nutzer ein
initialer (absichtlicher) Versand nachzuweisen wird der Nutzer nicht erst
gebeten sein system zu ueberpruefen, in diesem Fall wird das Postfach
umgehend geschlossen und nach Pruefung werden rechtliche Schritte
eingeleitet.

Fuer weitere Fragen stehe ich Ihnen gerne zur Verfuegung.

Mit freundlichen Gruessen

Daniel Bauch
Abuse
WEB.DE AG

Neulich kam folgende Mail vom web.de Abuse-Team bei mir an:

Sehr geehrte Dame, sehr geehrter Herr,

>> 
>> Sie haben Nachrichten verschickt, deren Anlagen Viren 
>> enthielten. Bitte ueberpruefen Sie, ob Ihr Virenschutz 
>> aktualisiert wurde und lassen Sie zur Vorsicht einen 
>> kompletten Scan ueber Ihr System laufen. Nuetzliche 
>> Informationen zum Schutz vor Viren finden Sie unter 
>> http://portale.web.de/Computer/Viren_Special/viren3.html
>> 
>> Bitte beachten Sie, daß wir Ihr Postfach im Wiederholungsfall,
>> zur Ihrer eigenen Sichterheit, so wie der Sicherheit Ihrer 
>> Kommunikationspartner, sperren werden.
>> 
>> Wir bitten um eine kurze Stellungnahme Ihrerseits.
>> 
>>  
>> Mit freundlichen Gruessen
>>  
>> Ihr WEB.DE Abuse-Team

Eine Frechheit, oder?

Meine Antwort fiel deswegen nicht gerade freundlich aus:

Selbstverständlich versende ich verwurmte Mails an meine IT-Kollegen zur
Überprüfung deren Systeme. So wie auch ich von denen Gewürm erhalte, um
meine Systeme zu prüfen.

Was geht Sie das an?

Zeigen Sie mir erst einmal die Header der betreffenden Mails, dann
werden wir ja sehen, wer der Urheber ist.

Bis dahin werden Sie mein Postfach so lassen, wie es ist - klar?

Im Übrigen ist mein Gewürm mit einem eindeutigen Betreff versehen. Wer
da dann immer noch draufklickt, hat es nicht anders verdient. Zeigen Sie
mir eine Mail von meinen Mailpartnern in der eine Beschwerde über mein
Verhalten ersichtlich ist. Dann sehen wir weiter.

Ach noch was, weil's grad gut dazu passt,

es würde Ihnen gut zu Gesicht stehen, wenn Sie Ihrerseits den NAZI-SPAM
in Griff bekommen würden!

Das wär' viel besser als Ihr Gemaule wegen _absichtlichem_ Wurmversand.

MfG

Stefan Krister

Tja und nun sind 2 Tage vergangen. Außer den Mails vom Autoresponder (je 62k "FAQ zum Thema Spam") hat sich web.de noch nicht weiter geäußert.

Mal sehen, was das noch wird. Die erste Mahnmail ging gerade eben hier raus.