Forenbesucher haben IP der Hetzner AG

[Kirby]

Hi,
ich bin Moderator in einem größeren Forum.
Seit einiger Zeit haben mehrere User die gleiche IP, die uns über utrace auf die Hetzner-AG verweist.
Seltsamerweise handelt es sich dabei nicht um Spam-Accounts, Spider oder Trolle, sondern um ganz normale aktive Nutzer aus verschiedenen Städten.

Die Hetzner-AG bietet selbst keine VPN-Dienste an und bei vielen Nutzern bezweifle ich auch, dass sie überhaupt wissen, was VPN ist.
Habt ihr eine Idee, worum es sich hierbei handeln könnte? Über Google konnte ich nicht viel finden, außer dass deren Server wohl relativ unsicher sind.

Es geht hier nicht um irgendwelche Vergehen. Ich bin lediglich neugierig und am technischen Hintergrund interessiert.

LG
Kirby

 

[gabberaner]

http://www.proxybridge.com/proxy/id66086#axzz2cYMOXpRo ( Achtung seite verbreitet schadsoftware)

hab auch ein wenig gesucht und das hier gefunden , könnte das eine mögliche lösung sein?
Handelt es sich zufällig um diese IP = 88.198.23.37:8080 ?

 

[Chegwidden]

Super gabberaner

Link angeklickt: Öffnet: Virus gefunden -> Das Programm bricht in 9-8-7-6...Sekunden ab

(Hier mein Dank an die Person, die mir das Virussuchundabbruchprogramm installiert hat )

 

[accC]

Wenn der utrace-Link stimmt, sollte es sich um diese IP handeln: 88.198.133.98

Unter der IP werden laut yougetsignal.com 3 Domains gehostet:

• www.pickup-tipps.de
• monkey-mind.pickup-tipps.de
• verfuehrungskunst.pickup-tipps.de

Betrieben wird das von Kommuni Media bzw. einer Steffi N.
Ob selbige einen Proxy-Service o.ä. betreiben konnte ich nicht herausfinden.
Die Dame scheint wohl noch an mindestens einer anderen Seite beteiligt zu sein, aber das sollte ja weniger von Interesse sein.


Vielleicht kannst du uns nähere Details geben, zum Beispiel um welches Forum es sich handelt.
Auch weitere Daten wären interessant. Woher stammen die Logdaten denn? Wird das über die Forensoftware ermittelt oder stammt die Information aus Logeinträgen deines Webservers? Hast du mal geschaut, ob weitere Informationen angegeben sind, eventuell transparente Proxys? (Hinweise auf Proxy: HTTP_FORWARDED ; HTTP_X_FORWARDED_FOR ; HTTP_CLIENT_IP ; HTTP_VIA ; HTTP_XROXY_CONNECTION ; HTTP_PROXY_CONNECTION)

Eventuell genügt es dir ja auch, mal eine Umfrage zu machen, soetwas wie "Welchen ISP verwendest du?" oder "Gehst du anonym ins Netz? Nein, Ja+Proxy, Ja+VPN, Ja+Sonstiges"
Alternativ kannst du die Nutzer ja auch einfach mal direkt darauf ansprechen.

 

[Der3Geist]

Link angeklickt: Öffnet: Virus gefunden -> Das Programm bricht in 9-8-7-6...Sekunden ab

mein Browser hat sich auch Gnadenlos beranschiedet,nachdem ich ein paar sekunden auf der Homepage war !

 

[gabberaner]

Sry mein Avast hat sich net beschwert bei der seite und was runtergeladen habe ich auch nocht o.O hätte mein AV programm protestiert hätte ich das selbstverständlich mit rein geschrieben -.- sry

 

[qube]

hetzner ranges scannen, ungesicherte systeme knacken, securen, und wenn kein router davor ist einfach mpx oder ssocks drauf laufen lassen und mit nonlogging highspeed socks5 unterwegs sein.

/edit
sowas wird im übrigen auch oft in gewissen foren kostenlos verbreitet, weils sowas in massen gibt und schnell neu zu machen ist.

 

[DrDuke]

Das erklärt aber nicht weshalb normale Foren User mit der IP kommen...

 

[Xerebus]

mein Browser hat sich auch Gnadenlos beranschiedet,nachdem ich ein paar sekunden auf der Homepage war !

Welcher Browser.
Hab das mal in ner vm gestestet. Chrome macht da nichts.

 

[Mareacho]

@gabberaner: machst Du solche Forschungsreisen eigentlich in virtuellen (Browser-)Umgebungen
(Virt.Box-VMware-Sandboxie), oder klickst und lädst Du ins Blaue rein?
Du nutzt doch auch VirusTotal, wieso beim Untersuchen ungewöhnlichen Verhaltens nur Avast?

Avast e-mails schicken ist ja ganz schön, andere Sheriffs, Jäger und Foren/Blogs von Malware-Researchern
(z.B. Krebs on Security) sind vielleicht manchmal effektiver, aktivere Gruppen zu ermitteln, die Schadsoftware herstellen und verteilen. Haben alle Twitter-Accounts, oder treffen sich auf Security-Accounts.

Wenn Du soviel Phish-Links bekommst, guck doch mal nach einem guten Blocker;
die Links bei Phishtank o.a. melden ist eins, ich würde die gar nicht erst haben wollen.

 

[Kirby]

@accC: OK, danke! Ich kannte yougetsignal noch nicht.
Ich bin Moderator bei pickup-tipps. Wie kann es sein, dass einige Nutzer als IP die IP des Forums angezeigt bekommen und nicht ihre eigene?

LG Kirby

 

[accC]

Ist das Forum über irgendwelche Plugins an ein weiteres CMS angeschlossen?
Ich kenne es von Wordpress-Forenbridges, dass man Wordpress-Artikel direkt ins Forum als Thema einfügen lassen kann. In diesem Fall wird in den Log-Einträgen dann die IP des Servers geführt.
Eventuell ist soetwas auch für andere CMS-Kombinationen im Zusammenhang mit Kommentaren denkbar.

Es könnte auch sein, dass die Forensoftware aus irgendwelchen Gründen die Nutzer anonymisiert. Wenn du Moderator bist, solltest du vielleicht einfach mal den Admin fragen, der müsste das Verhalten seiner eingesetzten Software kennen und wissen, warum das so ist.

 

[Der3Geist]

Welcher Browser.
Hab das mal in ner vm gestestet. Chrome macht da nichts.

Firefox 23.0.1 + Adblock 3.2.3

Der Browser ist eingefroren und nix ging mehr.

 

[Novgorod]

adblock schützt zwar davor, dass arschgeigen geld mit dir verdienen, es schützt dich selbst aber keineswegs vor scheiße.. ohne noscript auf unbekannten/unsicheren seiten unterwegs zu sein ist einfach fahrlässig, egal welcher browser und wieviele virenscanner dahinter hängen...