Credit Hack Versuch von eigener WAN IP aus?

Tom-XT · 1. February 2007, 00:26

[Anti Credit Hack](ban)-(,MID=Tag0x55="StulleMule 4.3",ICS=Tag0x3D=(Int32)1,WCV=Tag0x69=(Int32)10959 10196,WCF=Tag0x6A=(Int32)15) Client xx.xxx.xxx.xxx 'MEIN NICK [yGgDq]' (eMule v0.47c [StulleMule 4.3],None/None/None)
[Anti Credit Hack](ban)-() Client xx.xxx.xxx.xxx 'MEIN NICK] [yGgDq]' (eMule v0.47c,None/None/FwCheckConnecting)

xx.xxx.xxx.xxx = meine eigene WAN IP vom Router zum Zeitpunkt des Log Eintrags!

Eintrag im Verbose/Morph Log vom StulleMule.
Wie ist das zu verstehen? Viren Scan ohne Ergebnis. PC ist ziemlich sicher sauber. Ein Bug oder eine geschickte Täuschung/Hack eines gemoddeten Clients?

Danke schonmal und Grüsse, Tom

**Myth88** · 1. February 2007, 15:59

interessant, ich habe so auch mal meine vorbose-logs durchsucht, und zb. das hier gefunden:

31.01.2007 20:52:06: Received suspicious my adress: **meine IP** from xx.xx.xx.xxx via KAD

31.01.2007 20:52:06: Received my adress: **meine IP** from xxx.xx.xxx.xx via KAD

und so stellt sich die frage: ist das ein leecher, oder wie kann das sein?

mfg
myth

**Xman** · 1. February 2007, 16:21

also ihr bekommt normalerweise euch selbst als sourcen von Kad geliefert. Die anderen Clients filtern nämlich euch zuvor nicht raus (was optimiert werden könnte!), sondern normalerweise filtert euer client sich selbst aus den Kad-Ergebnissen.

wenn das nicht funktioniert, dann ist wohl ein Bug im Stulle-Mule...

@Myth88
Du schreibst leider nicht welchen Mod Du benutzt, aber die Logmeldung zum Herausfiltern schaut beim Offi emule anders aus.

Tom-XT · 1. February 2007, 18:16

Zitat:

wenn das nicht funktioniert, dann ist wohl ein Bug im Stulle-Mule...

Der ev. durch einen Leecher-Mod ausgelöst werden kann? Denn normalerweise gibt es keinen solchen Eintrag.

Ich habe daraufhin mal die eigene WAN IP in die ipfilter.dat eingetragen. Knapp 2std später gab's dann folgenden Log Eintrag:

[Fake NICK](ban)-() Client xx.xxx.xxx.xx 'MEIN NICK [yGgDq]' (eMule Compat v126.108,Connecting/None/None)

mit anderer IP, den ich dann auch mal in die ipfilter.dat eigetragen habe.

15:16:13: IPfiltered source IP=xx.xxx.xxx.xx ([BG]NickThief) received from Kademlia
15:16:17: IPfiltered source IP=xx.xxx.xxx.xxx ([BG]CreditHack) received from Kademlia

mal exemplarisch, auffällig dass beide IP Filtereinträge immer sehr zeitnah zusammen auftreten; nur Zufall?

Interessant auch, das nach der 24std Trennung und dem damit verbundenen IP Wechsel nur noch der Compat (FakeNick Ban) mit seiner IP als gefiltert auftacht und die alte eigene nicht mehr gültige vorherige IP nicht mehr im Log als gefilter auftacht; die eigene IP im übrigen tatsächlich immer nur über KAD, nie über Server oder Source Exchange.

Für was steht das Fw in: None/None/FwCheckConnecting
FireWall Check?

Ob hier tatsächlich ein Zusammenhang zwischen dem CompatMod und dem Filter der eigenen IP besteht ist von mir jetzt nur Spekulation, ev. auch nur ein nur Zufall.

Grüsse und ein Dank an Xman, Tom

**Myth88** · 1. February 2007, 18:49

@ xman: meine mod ist die aktuelle stullemule....

mfg
myth

**Xman** · 1. February 2007, 19:29

Zitat:

mal exemplarisch, auffällig dass beide IP Filtereinträge immer sehr zeitnah zusammen auftreten; nur Zufall?

das ist ganz logisch erklärbar:
Du suchst ja nicht ständig via Kad nach Quellen sondern in bestimmten Zeitabständen die von verschiedenen Faktoren abhängen. Und wenn Dir dann Quellen geliefert werden werden Dir natürlich auch diese geliefert die in Deine IPFilter.dat sind.

@Myth88
na dann habt ihr wohl nen Bug im StulleMule gefunden

**Myth88** · 1. February 2007, 20:23

stulle, wo bist du? *oops*

mfg
myth

rallebraun · 1. March 2007, 12:41

Hallo Leute,

eben ist mir was seltsames aufgefallen, das evtl. irgendwas mit dem oben beschriebenen Problem zu tun hat, und zwar meldet mein Emule (V0.47c) für einen Download eine Quelle, die angeblich den "eMule Compat v126.108" betreibt und exakt den selben Nick hat wie ich, nur das dort noch "eMule" davor steht. Zunächst dachte ich, dass da mein eigener Client irgedwie auf die Quellenliste geraten ist, aber inzwischen hat der Client mir was hochgeladen (und laut Statusfenster auch schon was von mir runtergeladen). Der Client ist laut Liste auf einem anderen Server als ich, auf dem ich aber früher (evtl. gestern?) auch eingeloggt war.

Ich bin zwar ein ziemlicher Laie, was die oben angesprochenen eMule-Interna angeht - aber irgendwas kann da doch nicht stimmen, oder?!? Was ist da los? Versucht da jemand, meine Identität zu kauen? Mich auszuspionieren? Muss ich mir Sorgen machen?

(Falls ihr für eine Beurteilung der Situation noch weitere Infos braucht, einfach hier rein posten - ich kenne mich mit eMule nicht gut genug aus, um zu wissen, was relevant sein könnte...)

**Myth88** · 1. March 2007, 13:26

Das ist ein leecher der dir (unter anderem?) deinen Namen klaut...kommt aber wohl öfters vor...

MfG
MyTh

**Stulle** · 1. March 2007, 15:55

hoppla, total überlesen. sollte ich wohl mal prüfen. :-/
kleine hilfestellung für mich, klappt es im morphXT¿

Tom-XT · 1. March 2007, 17:21

Hi Stulle,

Wenn Du den "Anti Credit Hack von eigener IP" meinst, den Eintrag kenne ich nur vom StulleMule. Ist in keiner von mir benutzten MorphXT Version aufgetreten. Letzte von mir benutzte war v9.2. Zum aktuellen (v9.5) kann ich nix sagen, müsste ich erst installieren.

Der Eintrag tritt im StulleMule v4.5 momentan regelmässig ca. alle 8 bis 12std auf. Eine Verbindung zu einem gebannten Client kann ich nicht feststellen, es gibt keinen der ebenfalls regelmässig in zeitlich naher Beziehung gebannt wird.

Viele Grüsse, Tom

**Stulle** · 1. March 2007, 19:47

bitte teste es mal mit dem aktuellsten morph, das würde mir viel helfen.

Tom-XT · 1. March 2007, 21:31

Ok, der MorphXT v9.5 läuft seit ca. 10min.

clean install, nur Temp und Incomming übernommen.
Jetzt heisst es erstmal abwarten; melde mich dann morgen abend wieder oder wenn sich vorher schon was tuen sollte.

Viele Grüsse, Tom

Tom-XT · 2. March 2007, 13:46

02.03.2007 09:09:49: [Anti Credit Hack]-(,MID=Tag0x55="MorphXT 9.5",ICS=Tag0x3D=(Int32)1,WCV=Tag0x69=(Int32)10959 10196,WCF=Tag0x6A=(Int32)15) Client xx.xxx.xxx.xx 'http://emule-project.net' (eMule v0.47c [MorphXT 9.5],None/None/None)
02.03.2007 09:09:49: [Anti Credit Hack]-() Client xx.xxx.xxx.xx 'http://emule-project.net' (eMule v0.47c,None/None/FwCheckConnecting)

xx.xxx.xxx.xx = eigene WAN-IP vom Router

ca. alle 4std im MorphXT v9.5 sind die zwei Einträge.

02.03.2007 07:57:10: [Suspect Hello-Tag: [md4]]-(,MID=Tag0x55="eWombat o.o66b",Tag0x76="e07883d40dd19ef05cae0999bb756aa9" ,Tag0xCD="40365e04cf7968eff939a09fd05d5446") Client 12345ätxx.xx.xxx.xxx (xx.xxx.xx.xxx) 'http://emule-projet.net' (eMule [eWombat o.o66b],None/None/None)

der einzige gebannte Client

Viele Grüsse, Tom

**Stulle** · 2. March 2007, 14:36

okay, ich guck mal... scheint ja was im morphxt zu sein.

Ähnliche Themen: Credit Hack Versuch von eigener WAN IP aus?