So long, dl.am, and thanks for all the Warez

Der Weiterleitungsservice dl.am ist gestorben – wo früher viele Warez-Seiten geschaltet waren, prangen seit heute Mittag Layer-Ads. Aufgrund einer `technischen Störung` seien die Seiten nicht erreichbar. Mit dieser eher einer BOFH-Story als einem realen Webangebot entnommenen Entschuldigung finden sich nur noch Screenshots der alten Pracht auf den jeweiligen Domains – darüber lagern sich Layer-Ads und ein Formular, um E-Mail-Adressen zu sammeln. Was mit den Adressen geschieht, ist unklar – ich versuche das gerade mit 2 Honeypots zu ergründen. Mehr davon, wenn die ersten SPAM-Mails in den beiden Accounts eintrudeln.

Der Redirector dl.am war einer der grössten seiner Art – vermutlich wegen der gefühlten Nähe zu `DownLoad` war er besonders bei Warez-Seiten sehr beliebt. Vor kurzem häuften sich die Gerüchte, Aviteo hätte dl.am übernommen – dieses Unternehmen steckt unter anderem hinter völlig unzweifelhaften Angeboten wie UseNExT, für die auf den Leichen der dl.am-Seiten auch kräftig geworben wird. Auch für Save.TV, deren Geschäftsführer der ehemalige Besitzer von dl.am ist, wird die Werbetrommel geschwungen. Laut Gulli dementiert Aviteo das. Der ursprüngliche Entwickler DaMajor sagt lediglich, dass er das Projekt verkauft habe – aber nicht, an wen oder zu welchem Preis. Deshalb könne er auch nichts mehr tun.

Einige Skriptkiddies hatten derweil ihren täglichen Spass und versuchten sich an einem DDoS-Angriff auf den dl.am-Server. Um 20:00 sollte die Attacke starten – und tatsächlich, die Seiten waren für einige Minuten nur sporadisch erreichbar. Es kursieren jedoch glaubwürdige Gerüchte, dass dl.am danach 3dl.am als vermeintlich Verantwortlich für den Angriff identifiziert und einen Gegenangriff gestartet habe, indem bei jedem Seitenaufruf einer dl.am-Domain automatisch mehrere Requests an board.3dl.am gesendet wurde – was diesem Server bei einigen hundert Anfragen pro Minute schnell zu viel wurde. Mittlerweile berichtet auch Gulli über den Vorfall, und sowohl dl.am als auch 3dl.am sind back to SNAFU – alles geht wieder, die Attacken wurden eingestellt.

Update: Mittlerweile ist die Käuferschaft von dl.am deutlich weniger zurückhaltend – statt eines Screenshots der ursprünglichen Seite kombiniert mit einem Layer-Ad wird gleich ein Screenshot der UseNExT-Webseite angezeigt (wobei die Navigation als Image-Map realisiert wurde, und das Video separat eingebunden wird, um den Eindruck einer HTML-Seite zu erwecken) – anscheinend bei jeder beliebigen dl.am-Subdomain. Aviteo Limited, die Firma hinter UseNExT, streitet weiterhin jegliche Beteiligung an dem Vorfall ab. Der Server mit der IP 81.95.3.164, auf dem die Screenshots liegen, steht in Deutschland (bei einer Firma, die sich `Core Backbone GmbH` nennt), als Kontaktperson für die IP ist ein Grieche eingtragen, der den ganzen IP-Block von 81.95.3.160 bis 81.95.3.191 gemietet hat.

Update 2.0: Da es der Käufer anscheinend eilig hatte, dl.am in den Tod zu reissen, hat er nicht darauf geachtet, die angesurfte Subdomain, die im unteren Bereich angezeigt wird, korrekt zu verifizieren – mit der Folge, dass eine XSS (Cross-Site-Scripting)-Lücke entstand. Daduch kann man durch die Übergabe einer präparierten Domain an das Werbescript dieses zu lustigen Ausgaben anregen. Wird eine Subdomain von dl.am besucht, wird die Aufgerufene Adresse an das Skript
http://81.95.3.165/index.php?host=$foo.dl.am
übergeben. Dabei wird $host direkt in den Footer eingearbeitet, ohne dass diese korrekt überprüft wird. Somit lässt sich durch einen modifizieren $host-Parameter HTML-Code in die angezeigte Seite einschleusen. Was üblicherweise von Phishern zum Ausspionieren geheimer Daten genutzt wird, habe ich hier eingesetzt, um einen kurzen Nachruf an dl.am zu formulieren. Der Link führt auf den neuen dl.am-Server und enthält einen präparierten $host-Parameter…

Update 3.0: Kurioserweise geht speedtorrent.dl.am als einzige dl.am-Subdomain noch problemlos. Somit drängt sich der Verdacht auf, der Betreiber von Speedtorrent könnte was mit dem Tod von dl.am zu tun haben. Noch gibt es keine Stellungnahme des Betreibers – wenn sich dieses Gerücht bestätigen sollte, dürfte Speedtorrent gewaltig an Gunst der User verlieren.

Update 3.1: Da Speedtorrent angeblich von `einem Freund` von DaMajor betrieben wird, und es auch sonst einige Ungereimtheiten gibt, ist Dark-Born der Meinung, der Verkauf könnte nur vorgetäuscht sein, und DaMajor würde sein Projekt selbst einstamfen. Ich muss Dark-Born zustimmen, dass es ziemlich viele `Zufälle` sind…

Update 3.2: speedtorrent.dl.am ist nun auch tot und zeigt bloss noch die vorgetäuschte UseNeXT-Webseite.

Update 4.0: Die gesammelten E-Mail-Adressen scheinen (noch) nicht verkauft worden zu sein – die beiden dafür aufgesetzten Honneypots blieben bis Heute (25.11.07) leer…

Update 5.0: Nun wird bei Besuch jeder beliebigen dl.am-Subdomain direkt auf die Seite von UseNeXT weitergeleitet.

Update 6.0: Der Server hinter dl.am ist endgültig tot.