Cyber"war" in Belarus (oder: "wass'n hier los?")

1. offizieller Beitrag

    Eine meiner Infoquellen ist ja die oppositionelle Webseite charter97.org.
    Betrieben und finanziert von wem auch immer, mit Serversitz in USA-Texas.
    Soweit so gut - hab ja schon einige Male drüber berichtet.

    Immer wieder beklagen die sich über angebliche DDOS Attacken auf ihre Webseite.
    Vor ein paar Wochen haben sie allerdings mehr oder weniger direkt zu einer DDOS-Attacke auf die Webseite des weißrussischen Präsidenten Lukaschenko aufgerufen (http://president.gov.by).

    Naja - DDOS auf Opposition "schlecht", DDOS auf Lukaschenko "gut".
    Kindergarten...


    Die letzten Tage war nun charter97 nur noch sehr schwer zu erreichen.
    Selbst der Mirror http://charter97.eu (lt. WhoIs ebenso in USA, 2 IPs weiter) war nicht immer erreichbar.

    So, und nun heute öffne ich charter97.eu, und was kommt?
    Die Webseite von Lukaschenko, hehe. :phat:

    Da die weißrussischen Behörden ja wohl kaum die DNS der "EU"-Demoain manipulieren können, hat da wohl jemand den Mirror gehackt...

    Update:
    Muß mich gleich korrigieren.
    Die IP-Adresse von charter97.eu (IP 178.124.138.142) zeigt jetzt nach Belarus/Minsk:

    Zitat

    % Information related to '178.124.136.0 - 178.124.143.255'

    inetnum: 178.124.136.0 - 178.124.143.255
    netname: BELTELECOM-DATACENTER-2011-1
    descr: RUE BELTELECOM
    descr: Minsk, Belarus
    country: BY

    Wie geht das denn?

    Hab mir das schon angesehen.

    probiere mal "nslookup" aus.
    Dort kannst Du verschiedene DNS Server nutzen/auswählen (hab einige Deutsche mal durchprobiert).
    Einige spucken 178.124.138.142 (Minsk) andere 75.125.122.109 (die "richtige") aus.

    Im NS-Record von charter7.eu stand vorhin noch charter97.org als Nameserver drin.
    Jetzt ns.charter97.eu.

    Also irgendwas läuft da im Hintergrund...

    Zitat von babajaga

    auch staatliche Organisationen

    BND? :golly:

    Wenns aus Weißrussland wäre, ist es für die Beltelecom ein leichtes für ihr eigenes Netz.
    Interessanterweise ist dieses von mir beschriebene "Phänomen" in Belarus aber nicht der Fall.
    Die DNS-Server der Beltelecom liefern brav die richtige IP-Adresse.
    Meines Wissens haben die noch nie charter97 geblockt oder gestört.
    Denn immer wenn das charter97 mal wieder behauptete, ging es auch nicht von Deutschland aus.
    Also war das immer ein hausgemachtes Serverproblem von denen.

    Wenn der Staat (oder KGB) Seiten stilllegen möchte, könnte sie es bei den "by"-Seiten ja sofort. (nn.by z.B.)
    Bei der Online-Auktion-Plattform für Devisentausch haben sie es wohl auch per DNS gemacht.


    Inzwischen glaube ich, das bei charter97 zeitweise die DNS-Infos verstellt waren/wurden.
    Letztes Update des charter97.eu Record war ja gestern.
    Einige DNS Server haben dieses Update dann bereits übernommen, andere nicht...

    Na mal sehn.
    Arcor meint immer noch die Webseite wäre in Minsk...
    t-mobile liefert inzwischen wieder die Richtige.

    • Offizieller Beitrag
    Zitat von MrMogilev

    probiere mal "nslookup" aus.


    Danke, wieder was dazu gelernt :)

    Zitat von MrMogilev

    Inzwischen glaube ich, das bei charter97 zeitweise die DNS-Infos verstellt waren/wurden.
    Letztes Update des charter97.eu Record war ja gestern.
    Einige DNS Server haben dieses Update dann bereits übernommen, andere nicht...

    Ja glaube ich auch. Ich bin zwar nur ein interessierter Laie, aber wenn ich deinen obigen Vorschlag mit einem Trace kombiniere, ist zu sehen, dass die eu-Root-Server bei der Namensauflösung für charter97.eu auf den Nameserver charter97.org verweisen. Und zum Schluss steht da dann:

    Zitat

    charter97.eu. 86400 IN A 178.124.138.142
    charter97.eu. 86400 IN NS ns.charter97.eu.
    ;; Received 79 bytes from 75.125.122.107#53(charter97.org) in 119 ms


    Also scheinbar doch ein ganz "einfacher" Angriff auf den eigenen Nameserver von charter97.

    Es scheint aber noch eine ganze Reihe von Aktivisten in BY zu geben. Denn auch das Portal UDF.BY meldet massive DDOS-Angriffe auf ihre Seite.

    • Offizieller Beitrag

    я не волшебник я только учусь
    Getreu diesem Motto muss ich mal weiter fragen. Ein Laie kann ja nur lernen :)

    Zitat von babajaga

    ;; QUESTION SECTION:
    ;https://www.deutsch-ukrainisches-forum.de/www.charter97.eu. IN A

    ;; ANSWER SECTION:
    https://www.deutsch-ukrainisches-forum.de/www.charter97.eu. 11928 IN CNAME president.gov.by.
    president.gov.by. 1085 IN A 178.124.138.142
    president.gov.by. 1085 IN A 178.124.138.141


    Sieht mir aber sehr nach der verkürzten Variante aus. Interessanter ist es doch wenn man die Zwischenschritte sieht, wie die EU-Root-Server und das diese dann zur weiteren Namensauflösung auf charter97.org verweisen und halt erst am Ende zu Luka.

    Zitat von babajaga

    Der "interessierte Laie" mit seiner DSL-Verbindung z.B. erhält von arcor deren MODIFIZIERTE DNS-SERVER zur Nutzung angeboten. Und die SW des "interessierten Laien" benutzt die dann auch. Und landet beim Präsidenten. Hoast me ?

    Ich nix Arcor. Habe außerdem mal auch ein externes Webtool bemüht mit verschiedenen DNS, auch sicheren probiert. Mit dem selben Ergebnis.

    Zitat von babajaga

    "Fachleute" bentzen u.U. ganz bewußt auch andere DNS-Server, auch mit einem DSL-Anschluß. Denn sie wissen halt, wie. Und glauben nicht, was.

    Verrätst du auch noch welchen? Ansonsten muss ich glauben ;) , dass wie du es so schön beschrieben hattest, dein Cache nur noch nicht aktualisiert wurde :)

    Zitat von babajaga

    Aber, ich bin es ja gewohnt, daß Halb-Wissen, also "Glauben", gerne verbreitet wird.

    Ach das mache ich doch nur, damit die wahren Profis sich mal richtig darstellen können :)

    • Offizieller Beitrag

    Eigentlich gehört charta97 nicht zu meinen bevorzugten Webseiten. Sind mir etwas zu einseitig. Aber die Internetproblematik finde ich schon spannend.
    Auf der Seite beschwert man sich wohl auch über massive DDOS - Angriffe. Der Seitenaufbau ist auch sehr langsam. Allerdings gibt es da in den Kommentaren auch den Tip es über https zu versuchen. Siehe da, der Zugriff geht tatsächlich wesentlich schneller. Es wird auch die Umleitung von charter97.eu auf die Präsidentenseite von Luka diskutiert. Einige sind der Meinung, dass das Absicht ist und so ein Teil der DDOS- Attacken auf die Präsidentenseite gelenkt wird. Naja lustig, aber irgendwie nicht sehr überzeugend.

    Zitat von icke

    Sind mir etwas zu einseitig

    Einfach belta.by dagegen lesen. Das gleicht es wieder zu 100% aus :)
    charter97 ist ziemlich schnell und sehr aktuell. Wenn man um deren "Objektivität" weiß, kann man deren Infos auch entsprechend bewerten.


    ---

    Warum babajaga jetzt seine Kommentare gelöscht hat, muß ich jetzt nicht verstehen, oder?