…wobei sich dieser Artikel nicht um 13375p34k (Leetspeak) drehen soll, sondern viel eher um die 1337crew (oder neu auch 1337-crew, da wohl die SLD 1337crew unter der TLD `to` schon vergeben war, und die Befürchtung umgeht, die frühere `info`-Second-Level-Domain könnte deaktiviert werden). Hinter dieser zweifelsohne kindischen Bezeichnung verbirgt sich eine Community, die zumindest zu einem grossen Teil aus Personen mit dunklen Hüten und Skript-Kiddies besteht. Neben einigen wenigen durchaus legitimen Themen finden sich vor allem Anfragen von Skript-Kiddies, wie man $seite `hacke` (auch ich hatte vor einiger Zeit einen Fan dort), wie man $malwarebaukasten bediene oder wie man die damit erstelle Malware vor Malwarescannern verstecken könne. Zur Anonymisierung steht unter anderem eine eigene Tor-Node zur Verfügung, samt Anleitung, wie man Tor angeblich dazu bringt, statt des üblichen Circuits aus 3 Nodes nur die 1337crew-Node zu verwenden (dass dies das grundlegende Konzept von Tor – dass die Anonymität niemals auf dem Vertrauen zu einer einzigen Autorität beruhen darf – untergräbt, sollte klar sein. Ich will nicht behaupten, dass die 1337crew-Node loggt; wenn sie es aber – aus welchem Grund auch immer – täte, dann würden sämtliche Informationen anfallen, die zur De-Anonymisierung der Nutzer notwendig sind).
Von `hochwertigen Angeboten`…
Es wäre jedoch falsch zu glauben, die Community bestünde nur aus Skript-Kiddies – eine andere, wesentlich unschönere Seite sind die `hochwertigen Angebote`. Hier werden gestohlene Kreditkartennummern von Privatpersonen, Malware-Generatoren, gestohlene Accounts, Keys für diverse Spiele und ähnliches verkauft. Auch kann man das Botnetz von 13speedtest37 für DDoS-Attacken `mieten`.
Wie mittlerweile bekannt sein dürfte, habe ich für vieles Verständnis, nur nicht für solcherlei Handel. Und für die Verbreitung von Malware auch nicht – wobei es zum Glück (oder leider, das hängt ganz vom Standpunkt ab) bei Baukasten-Malware immer noch sehr populär ist, zur Übertragung der gestohlenen Daten nicht verschlüsselnde Protokolle wie FTP oder SMTP zu nutzen – und das meist nicht als Drop-Box. Wenn da rein zufällig ein Netzwerksniffer läuft…
…und dem Umgang mit Kritik
Das Botnetz des Inhabers ist freilich nicht nur da, um vermietet zu werden – nein, auch gegen die Kritiker (ob nun sachlich oder nicht, sei dahingestellt) der Crew, respektive gegen die Server, die deren Webseiten ausliefern, werden DDoS-Attacken gefahren. Opfer war erst dug-portal.com, wohl weil ein Mitglied einen abfälligen Kommentar bei newsbox.cc eingestellt hatte (in der Folge war auch newsbox.cc `temporär überlastet`). Im Verlauf des Werbethreads im G:B, der in einen Diskussionsthread ausartete, wurde erst onesworld und etwas später – komischerweise kurz nach einem Post von Mati, der einen Link zu FreiBrief.net in seiner Signatur stehen hatte – auch YourFTP (unbeteiligt; das ist aber egal, schliesslich war FreiBrief.net darauf gehostet) seltsamerweise Opfer von DDoS-Attacken – aber das war wohl nur ein seltsames Zusammentreffen unglücklicher Umstände…
DDoS Mania…
Der kritische Thread liegt nun schon einige Wochen zurück. Ob YourFTP jemals zurückkommt, steht in den Sternen – wobei man fairerweise anmerken muss, dass das nach eigenen Angaben nicht nur mit der DDoS-Attacke in Verbindung steht. onesworld ist wieder da, FreiBrief.net war einige Zeit bei CroneKorkN auf einem Homeserver gehostet, wo auch alles glatt lief – doch wenige Stunden nach dem Umzug auf einen neuen Webspace gingen die Angriffe wieder los, wobei die angeforderten URIs darauf schliessen lassen, dass ein gewisser Administrator der 1337crew wohl auf die etwas kritischen, zuweilen leicht sarkastischen Posts CroneKorkNs im Ankündigungsthread auf FreiBrief aufmerksam wurde. Seit jenem Tag ist ein ständiges auf und ab – zeitweise lassen die Attacken nach, einige Stunden später sind die Zombies wieder da – gang und gäbe.
Update: 13speedtest37 hat seine Angriffe unter der Voraussetzung, dass einige von CroneKorkNs Posts, die wohl zugegebenermassen etwas über das Ziel hinausgeschossen sind, entfernt werden, eingestellt.
Dezember 6, 2008 um 8:10 |
Die Leute von der 1337crew wissen halt wie man sich unbeliebt macht
Dezember 6, 2008 um 9:01 |
Gibt es die Seite überhaupt noch? Alle Links bei Google sind dead und im Gulli:Board wurden entsprechende aus allen Beiträgen entfernt. Ansonsten ist es in meinen Augen unrecht gerade Privatpersonen Schaden zuzufügen (oder dies zumindest zu versuchen/wollen).
DDoS-Spam, klingt eigentlich schon absurd, dass die alle möglichen Seiten „DDoSen“, nur weil sie (zurecht) stark kritisiert wurde.
Dezember 6, 2008 um 9:06 |
Ja, die TLD ist `info`, die Second-Level-Domain `1337crew`.
Dezember 7, 2008 um 9:41 |
Danke, war gestern auch schon drauf, wurde nur nichts angezeigt, wahrscheinlich weil ich vergessen hatte Javascript zu aktvieren.
Dezember 9, 2008 um 4:30 |
nice, ddost die *****!
Bitte keine Beleidigungen. Danke! –Kugelfisch
Dezember 10, 2008 um 8:37 |
Dass gegen die nix unternommen werden kann o.0
Naja ich bin dort selbst regged, gibt interessante Dinge dort.
Aber übertreiben kann man es auch (Accounts+DDOS).
Das finde ich einfach Assozial.
Naja zum Glück gibt es noch Spirit of Hackers
die sind viel besser, auch von der Qualität der Posts
Da Dreht sichs nicht nur ums Ownen und klauen!
Januar 1, 2009 um 3:01 |
omfg, spirit of hackers, gehts noch lower?
sogar der admin selbst zieht dort seine user ab
Januar 5, 2009 um 11:59 |
Das Forum wurde nur gestartet ,damit der Admin mehr Kunden findet.
Februar 19, 2009 um 6:50 |
Nun,
alles in allem ein recht interessanter Eintrag, welcher darauf schließen lässt das du (Kugelfisch) eine gewisse Abneigung gegen dieses Board hegst. Ersichtlich, weil du hier eben nur die negativen Seiten der Page darlegst, jedoch nicht von den guten sprichst.
Da frag ich mich doch – wieso? Hetze? Oder einfach um den Informationsdurst deiner Leser zu stillen? Aber wenns nur darum ginge, würde es reichen wenn du Fakten darlegen würdest. Stattdessen schreibst du in einer recht ausgereiften Stilweise einen Post der Sie in schlechtes Licht rückt.
Jeder der wirklich ein bisschen Verstand hat, und ein wenig in der Szene aktiv ist, der wird das, was du schriebst auch selbst entdecken können, wenn es ihn interessieren sollte.
Aber leider fällt dein Text auch den Leuten in die Hände die eventuell mal bei Wiki nach „DDoS“ geschaut haben. Diese wie „nice“ (Kommentator hier), dann einfach nichts dazugelernt haben, durch deinen Text, sondern wieder nur engstirnig sagen „DDoS – los!“.
Ich finds nicht traurig das du so einen Text schreibst, sondern, das du ihn öffentlich verfügbar machst.
Da ich deine Seite nur dieses eine Mal besuche und vielleicht in 3 Jahren wieder, rate ich dazu dich jetzt nicht mit mir hier auseinander zu setzen, sondern (falls du es denn so willst), mir eine Nachricht persönlich zukommen lassen kannst.
–
PS: Ich war nie ein Symphatisant von 1337crew oder dir. Ich bin „nur“ ein neutraler Beobachter.
MfG NoName
Februar 19, 2009 um 7:18 |
Damit hast du nicht ganz Unrecht, wobei meine `Abneigung` auf rein sachlichen Kriteren – die ich im Post auch dargelegt habe – beruht. Es ist in der Tat so, dass es dort auch Forenbereiche gibt, wo es nicht darum geht, fremden Personen zu schaden, deshalb auch die Relativierungen im Text. Aber allein die Tatsache, dass der Inhaber solcherlei Geschäfte macht und das Board dafür nutzt, reicht aus, um eine entsprechend negative Meinung über dieses Board zu haben. Handel mit fremden Kreditkarten, Accounts oder Botnetzen ist für mich – und ich denke, an dieser Stelle wiederhole ich mich – ein absolutes No-Go. Die `guten Seiten` – die vollkommen legitimen Informationen über Schwachstellen und deren Ausnutzung – findet man andernorts auch.
Ich frage mich, wo ich hier etwas behauptet habe, das nicht der Wahrheit entspricht – den Anspruch auf absolute Vollständigkeit aussen vor. Dass dort Botnezte vermietet werden ist genauso Fakt wie die DDoS-Angriffe auf die Seiten derjenigen, die sich im verlinkten Thread kritisch gegenüber der 1337crew geäussert haben.
Gegen Skript-Kiddies ist kein Kraut gewachsen. Allerdings ist jeder, der sich ernsthaft bemüht, im Stande, das Board zu finden, insofern sehe ich hier kein Problem.
Juli 16, 2009 um 7:01 |
Moin zusammen,
Hab gerade diesen Artikel gefunden, weil ich bei guli über Kugels Sig gestolpert bin.
Einige hier kennen ich sicher noch und wisser das ich Mitbetreiber von ScriptzBase.org war.
Ich kann euch allen sagen wie das mit den DDos abläuft!
Man schreibt etwas negatives über ihn, 1337 oder seinen Hoster und bekommt dann entwerder Post im ICQ oder via PN. Wenn nicht von ihm dann schreibt einer seiner „Sklaven“
Meist waren die Nachrichten noch nett geschrieben, aber man mußte einfach zwischen den Zeilen lesen. „Bitte Posting X,Y und Z löschen, sonst beenden wir die Partnerschaft und Handeln.“
Was es genau heißt, dass die Partnerschaft beendet wird, kann sich jeder denken, denn genau dann kommen die DDos.
Was mich an Speed nervt, er ist ansich, wenn man mit ihm telefoniert oder skypt, ein recht netter Kerl. Auch wenn er Paysafecards ausgecasht haben möchte. Da kann er schleimen ohne Ende. Aber sobald er dich nicht mehr braucht bist du für ihn der letzte ….!
Ich bin froh soweit aus der Scene raus zusein. Ich ha mich soweit zurück gezogen das ich nichts mehr damit zutun haben möchte und meistens nur stiller Leser bin. Aber das was Kugel hier geschrieben hat ist leider Gottes die Wahrheit!
Die Frage ist nur, wielange sein Spiel noch so weiter geht. Er macht sich damit mehr feinde wie Freunde und es gibt inzwischen einige Admins die ihn suchen und auch finden werden! Es haben sich schon andere sicher gefühlt und wurden am Ende gefunden.
Solltet ihr noch Fragen zum Thema Speedtest haben, schreibt mich an, ich geb da gern Auskunft!
Gruß The Don
August 13, 2009 um 7:54 |
hallo the don,
ich hab schon hier und interesse an infos zu speed usw. war gerade 1337 crew und die andern boards an geht.
kannst mich ja gerne mal per icq 260333690 oder skype beamaus1979 adden.cya
August 28, 2009 um 10:04 |
@the don,
du hast nie mit speed telefoniert oder geskype, erzählt keinen unsinn.
aber ich kann dir sagen was du gemacht hast, du erzählst immer, dass du großartig – anonym – erzählt, dass angeblich „the don“ (also du erzählst von dir selbst) bei dateiload mitwirkt und so einen schwachsinn. wie man auch im geliebten 1337crew board lesen kann.
blöd nur, wenn man dann mit DIESEM account pms schreibt mit infos, die nur du wissen kannst und noch dazu selbst sagst, dass du the don bist, hochstapler
August 29, 2009 um 7:08 |
*lol
Ich lebe schon seit der Schliesung von Scriptzbase nicht mehr anonym! Wieso auch? Ich lebe legal und brauch mich nicht mehr verstecken! Also was solls? Jeder der sich mit Google auskennt findet mich in 5 Sek.
Was Dateilooser angeht. Ja dann mach dich mal ab zu gulli.com wenn es darum geht wer alles hinter Dateilooser steckte waren es 4 Namen. Provokateur, Tina79, The Snake und The Don. Und das nur weil alle nicht negatives über den Verein geschrieben hatten.
Ja ich ziehe mir den Schuh an, mit einer der gewesen zusein der Dateilooser groß gemacht zu haben! Aber wenn ich je geschrieben hab das ich hinter dateilooser stecke dann war es Ironie hoch drei!
Aber was jetzt lustig ist, ich hab nur mit einem bei 1337 geschrieben und das war Speed selbst! Somit gibt es jetzt 2 Möglichkeiten.
1. du bist Speed.
oder
2. du bist ein „Hochstapler“
Gruß Don
August 31, 2009 um 4:21 |
und was genau hat das eine mit dem anderen zu tun?
dass ihr eine gewisse lese/denkschwäche habt, hat man auf scriptzbase bemerkt als auch hier.
November 27, 2009 um 9:28 |
Sind das zufällig die selben: http://www.heise.de/newsticker/meldung/BKA-geht-mit-Grossrazzia-gegen-Botnetz-Betreiber-vor-Update-868515.html
Weil bei der oben angegebenen Seite kommt jetzt:
Sorry,
For some time site closed to techical maintance.
Technical problems with high amount of mysql locking requests.
All ok, don’t worry.
Please visit us after some time.
Gruß,
David.
November 27, 2009 um 9:33 |
Ja sind sie.
November 27, 2009 um 10:12 |
Ja, in jüngster Zeit überstürzten sich die Ereignisse rund um die 1337crew. Am 19./20. November wurde deren Website erfolgreich angegriffen und ein komplettes Backup der Board-Datenbank veröffentlicht, das u.a. auch Team-Bereich und private Nachrichten enthält. Am 25. November war den Pressemeldungen des deutschen BKA zu entnehmen, sie hätte bei der Führung der`Elite-Crew` Hausdurchsuchungen durchgeführt, in Zusammenarbeit mit den österreichischen Behörden: http://www.bka.de/pressemitteilungen/2009/pm091125.html
Viele Online-Medien und gar gewisse Radio-Stationen berichteten über den Erfolg des BKAs – die Vermutung, es würde sich um die 1337crew handeln, lag mehr als nahe, zumal die Website, die nach dem Angriff zwischenzeitlich wieder verfügbar war, wieder deaktiviert wurde (über die Downtime hat 13speedtest37 als `crew1337` getwittert). Auch die Diskussionen im g:b bestätigen den Verdacht:
http://board.gulli.com/thread/1480351-bka-schlag-gegen-underground-economy-/
http://board.gulli.com/thread/1480368-bka-fuehrte-razzia-wegen-ampquotcardingampquot-durch-update/
13speedtest37 wurde offenbar vorläufig festgenommen, ist aber aufgrund seiner `Kooperationsbereitschaft` mittlerweile wieder auf freiem Fuss.
Interessantes Detail am Rande – die allseits geliebte GoMoPa hat in einer Pressemitteilung erst einen gewissen Dominik Hackl als 13speedtest37 beschuldigt. Dies war – wie mittlerweile mit an Sicherheit grenzender Wahrscheinlichkeit geklärt ist – ein Fehler, D.H. fiel offenbar aus allen Wolken, als er von der Ente, die mehrfach zitiert und kopiert wurde, erfuhr. Seine Nachfrage wird wohl zum Nachtrag und zum nachträglichen Fragezeichen im Titel geführt haben. In der neusten Pressemitteilung verliert sich GoMoPa zwar wie gewohnt tief in Spekulationen, doch zumindest der Name wurde korrigiert und der neue, vermeintlich korrekte Name wird nunmehr bloss in gekürzter Form (`Dominik B.`) genannt.