IP-Adresse "ns1.bhelper.com"

Christian · 17.05.2005, 22:13

Hallo Forum,

gerade hat mal wieder die Forums-Datenbank gestreikt. Im Augenblick ist wieder ein Crawler oder ähnliches online und schaut sich mehrere 100 Seiten gleichzeitig an, was die Datenbank natürlich belastet.

Folgend mal ein Auszug. Komischerweise kommen alle Anfragen über "ns1.bhelper" und jedesmal kommt er mit anderem Betriebssystem, anderer Sprache usw. Was kann das sein?

Autos allgemein ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; FREE; MyIE2)
23:03 Gast Liest ein Thema
Frage zum Radio BMW Bavaria C Professional RDS ns1.bhelper.com
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.4.1) Gecko/20031008
22:57 Gast Betrachtet ein Forum
BMW 7er, Modell E32 ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90; KITV4.6 Câble Wanadoo)
23:02 Gast Liest ein Thema
Standgas schwankt rhytmisch beim 525d ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90; KITV4 Wanadoo; Wanadoo 6.0)
23:03 Gast Liest ein Thema
Russpartikelfilter im 730d (E65) Nachrüsten ns1.bhelper.com
Mozilla/5.0 (Windows; U; Win 9x 4.90; fr-FR; rv:1.0.0) Gecko/20020530
22:56 Gast Betrachtet ein Forum
Mitglieder stellen sich vor ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90; Wanadoo 5.3; Wanadoo 6.0)
22:58 Gast Liest ein Thema
Versicherungsausschluß ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 5.5; AOL 5.0; Windows 98; DigExt)
22:59 Gast Liest ein Thema
Karosserie - E32 ´ne Nummer grösser :-) ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Creative; .NET CLR 1.0.3705)
23:03 Gast Liest ein Thema
Motorraum - Startschwierigkeiten - er orgelt und orgelt.... ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; KITV4.7 Wanadoo; .NET CLR 1.0.3705)
23:01 Gast Liest ein Thema
Habt ihr auch diese Mail von BMW bekommen? ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; c_commfr)
23:05 Gast Liest ein Thema
"LOTUSEFFEKT" ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Rogers Hi-Speed Internet; YComp 5.0.2.4)
23:00 Gast Betrachtet ein Forum
BMW 7er, allgemein ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Câble Wanadoo 5.5; FunWebProducts)
22:57 Gast Liest ein Thema
E32 735iA mit Wandler-Schaden ns1.bhelper.com
Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-us) AppleWebKit/85.7 (KHTML, like Gecko) Safari/85.6
23:02 Gast Liest ein Thema
Motorraum - Wo dran sterben die V8 BMW-Motoren? (V12) i5387C5DD.versanet.de
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Opera 7.54 [de]
23:04 Gast Liest ein Thema
Motorraum - Der Kühler ns1.bhelper.com
Mozilla/5.0 (Windows; U; Win98; en-US; rv:1.4) Gecko/20030624 Netscape/7.1 (ax)
23:01 Gast Liest ein Thema
e32 Autotelefon nokia ns1.bhelper.com
Opera/7.11 (Windows NT 5.1; U) [en]
22:58 Gast Liest ein Thema
Ersatzteilversorgung und anderes ns1.bhelper.com
Mozilla/5.0 (Macintosh; U; PPC; en-US; rv:1.0.2) Gecko/20030208 Netscape/7.02
23:02 Gast Liest ein Thema
DAS nenne ich ein Auto! ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; KITV5 Wanadoo; Crazy Browser 1.0.5)
22:59 Gast Durchsucht die Foren ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Hotbar 4.1.8.0; FREE)
23:03 Gast Liest ein Thema
Elektrik - Bildschirm 16:9 Rahmen in Holz-Look ns1.bhelper.com
Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; Creative; Câble Wanadoo 5.5; Hotbar 4.3.5.

Gruß,
Chriss

Audi.V8 · 18.05.2005, 19:15

Hi Christian,

Keine Ahnung was das ist, aber schau mal hier, dieses "etwas" scheint recht aktiv zu sein

feste drücken

...

Seven · 18.05.2005, 20:26

Hallo Christian
Du oder besser dein Provider hat es hier mit dem sogenanntem Spoofing zutun.
Ist ne echt gemeine Sache... Aber lese mal selber wie das geht.

Viele der im Umlauf befindlichen Trojanischen Pferde bieten Funktionen für koordinierte SYN-Flood-Angriffe gegen Server. Die damit infizierten Rechner bilden sogenannte Bot-Netze, die sich jederzeit gegen beliebige Server einsetzen lassen. Wer sich nicht von Skript-Kiddies kalt erwischen lassen will, sollte Vorkehrungen gegen diese Attacken treffen, bevor er zu deren Ziel wird.
Denial-of-Service-Angriffe auf Server zielen darauf ab, legitimen Nutzern den Zugriff auf einen Dienst zu verwehren. Im einfachsten Fall überflutet der Angreifer den Server mit sinnlosen Paketen, um seine Leitung zu überlasten. Ein typisches Beispiel dafür ist ICMP-Flooding. Doch zum einen erfordert das eine große Bandbreite, zum anderen lassen sich die Pakete vergleichsweise einfach schon auf vorgelagerten Systemen ausfiltern. Alternativ kann er versuchen, beispielsweise einen Web-Server so mit Anfragen zuzuschütten, dass normale Anwender nicht mehr zum Zug kommen. Doch auch dafür ist eine große Bandbreite erforderlich und ist die IP-Adresse des Angreifers einmal ermittelt, ist er auch schnell ausgesperrt.

Deshalb verlegen sich immer mehr Angreifer auf sogenannte Syn-Flood-Attacken, die nicht darauf abzielen, die Bandbreite auszulasten, sondern die Systemressourcen des Servers selbst blockieren. Dazu verschicken sie sogenannte SYN-Pakete an den TCP-Port des Dienstes, bei einem Web-Server also auf Port 80. Der Server registriert den Synchronisierungswunsch des Clients, legt einen Eintrag in seinen Tabellen dafür an und bestätigt die Anfrage mit einem eigenen Synchronisierungspaket (SYN/ACK). Bei einem normalen Verbindungsaufbau bestätigt der Client dieses ebenfalls mit einem ACK-Paket und komplettiert damit den sogenannten Drei-Weg-Handshake einer TCP-Verbindung.

Nicht so der SYN-Flood-Angreifer. Er lässt den Server mit seiner halboffenen Verbindung einfach hängen. Der wartet eine Zeitlang und wiederholt sein SYN/ACK-Paket, in der Annahme das erste sei verloren gegangen (Retransmission). Statt einer Antwort kommen jedoch nur weitere Verbindungsanfragen, die der Server ebenso behandelt. Er speichert all diese SYN-Anfragen in einem speziellen Puffer, der sogenannten Backlog-Queue. Ist diese voll, kann er auf diesem Port keine Verbindungen mehr annehmen und das Systen verwirft weitere SYN-Pakete -- der Dienst ist nicht mehr zu erreichen.

Bis der Server einen einmal angelegten Eintrag in der Backlog-Queue wieder löscht, weil er keine Antwort bekommt, können mehrere Minuten vergehen. Nach einem ersten Timeout, typischerweise nach 3 Sekunden, nimmt der Server an, sein SYN/ACK-Paket sei verloren gegangen und schickt es erneut auf die Reise. Dieser Vorgang wiederholt sich mit immer längeren Timeouts mehrfach (Linux: 5 Retransmissions). Auf einem Standard-Linux-System bietet die Backlog-Queue Platz für 256 solcher halboffenen Verbindungen. Der Angreifer hat also mehr als genug Zeit, diese mit seinen Einträgen zu füllen.

Das ist ein kurzer Auszug zu dem Thema

Gruss Claus

18.05.2005, 20:58

Hallo,
scheint so, daß sich der Typ einen Linux-Server ausgesucht hat.
Mit der IP-Adresse 67.19.136.180 landest du auf einem Apache-Webserver, der sich
als Windows-PC ausgibt.

Gruß Severin

730SN · 23.05.2005, 02:01

Hab mal ein wenig meinen linux gequält... :

Network Query Tool

ns1.bhelper.com resolved to 67.19.136.180
DNS Query Results:

; <<>> DiG 9.3.0rc4 <<>> any ns1.bhelper.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46870
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;ns1.bhelper.com. IN ANY

;; ANSWER SECTION:
ns1.bhelper.com. 6000 IN A 67.19.136.180

;; Query time: 4056 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Mon May 23 02:14:40 2005
;; MSG SIZE rcvd: 49

WWWhois Results:

Connecting to whois.crsnic.net...

Deferred to specific whois server: whois.godaddy.com...

No match for "ns1.bhelper.com" in the registrar database.

IP Whois Results:

Connecting to whois.arin.net...

OrgName: ThePlanet.com Internet Services, Inc.
OrgID: TPCM
Address: 1333 North Stemmons Freeway
Address: Suite 110
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US

ReferralServer: rwhois://rwhois.theplanet.com:4321

NetRange: 67.18.0.0 - 67.19.255.255
CIDR: 67.18.0.0/15
NetName: NETBLK-THEPLANET-BLK-11
NetHandle: NET-67-18-0-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.THEPLANET.COM
NameServer: NS2.THEPLANET.COM
Comment:
RegDate: 2004-03-15
Updated: 2004-07-29

TechHandle: PP46-ARIN
TechName: Pathos, Peter
TechPhone: +1-214-782-7800
TechEmail: abuse@theplanet.com

OrgAbuseHandle: ABUSE271-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-214-782-7802
OrgAbuseEmail: abuse@theplanet.com

OrgNOCHandle: TECHN33-ARIN
OrgNOCName: Technical Support
OrgNOCPhone: +1-214-782-7800
OrgNOCEmail: admins@theplanet.com

OrgTechHandle: TECHN33-ARIN
OrgTechName: Technical Support
OrgTechPhone: +1-214-782-7800
OrgTechEmail: admins@theplanet.com

# ARIN WHOIS database, last updated 2005-05-21 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Checking Port 80...

Port 80 is open and accepting connections.

Wenn ich mal nur auf Domain checke kommt folgendes :

; <<>> DiG 9.3.0rc4 <<>> any bhelper.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45625
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;bhelper.com. IN ANY

;; ANSWER SECTION:
bhelper.com. 5750 IN NS ns1.bhelper.com. << --
bhelper.com. 5750 IN NS ns2.bhelper.com.

;; Query time: 31 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Mon May 23 02:18:51 2005
;; MSG SIZE rcvd: 65

weiterhin

Registrant:
Tony Luong
P.O.BOX 6902
Bellevue, Washington 98008-0902
United States

Registered through: GoDaddy.com
Domain Name: BHELPER.COM
Created on: 29-May-03
Expires on: 29-May-06
Last Updated on: 07-May-05

Administrative Contact:
Luong, Tony tonyluongonline@yahoo.com
P.O.BOX 6902
Bellevue, Washington 98008-0902
United States
4258297454 Fax --
Technical Contact:
Luong, Tony tonyluongonline@yahoo.com
P.O.BOX 6902
Bellevue, Washington 98008-0902
United States
4258297454 Fax --

Domain servers in listed order:
NS1.BHELPER.COM
NS2.BHELPER.COM

normalerweise steht das ns für nameserver,allerdings sieht das hier ziemlich verworren aus.Ich kenne keinen Nameserver,der gezielt in Foren rumsucht.

@Stockemann : den Indianer gibts übrigens auch unter Windows.

Christian · 23.05.2005, 09:54

Zitat:

Zitat von Seven

Hallo Christian
Du oder besser dein Provider hat es hier mit dem sogenanntem Spoofing zutun.

Wenn das stimmt, dann wundere ich mich auch nicht über die Ausfälle in letzter Zeit. Nun kann ich natürlich einzelne IPs blocken, aber das würde wohl nicht viel bringen, da sich diese wohl öfter ändern wird. Andrerseits findet man "ns1.bhelper.com" über google ja massenhaft. Dann werde ich diese IP mal sperren.

Oder was kann ich noch gegen solche Angriffe tun? Wahrscheinlich nichts, oder?

In den letzten Tage ist ja wieder Ruhe eingekehrt. Hoffentlich bleibt es dabei...

Gruß + Danke für die hier gegebenen Hinweise!
Chriss

10.01.2010, 01:00

siehe wie 730SN :

Domainname: ns1.bhelper.com
IP-Adresse (IPv4): 67.159.60.108
WWW-Homepage:

cPanel

E-Mails an Adressen username@ns1.bhelper.com
werden entgegengenommen von:
ns1.bhelper.com

Domainname: bhelper.com
IP-Adresse (IPv4): 67.159.60.108
WWW-Homepage:

Index of /

E-Mails an Adressen username@bhelper.com
werden entgegengenommen von:
bhelper.com

The data contained in GoDaddy.com, Inc. 's WhoIs database,
while believed by the company to be reliable, is provided "as is"
with no guarantee or warranties regarding its accuracy. This
information is provided for the sole purpose of assisting you
in obtaining information about domain name registration records.
Any use of this data for any other purpose is expressly forbidden without the prior written
permission of GoDaddy.com, Inc. By submitting an inquiry,
you agree to these terms of usage and limitations of warranty. In particular,
you agree not to use this data to allow, enable, or otherwise make possible,
dissemination or collection of this data, in part or in its entirety, for any
purpose, such as the transmission of unsolicited advertising and
and solicitations of any kind, including spam. You further agree
not to use this data to enable high volume, automated or robotic electronic
processes designed to collect or compile this data for any purpose,
including mining this data for your own personal or commercial purposes.

Please note: the registrant of the domain name is specified
in the "registrant" field. In most cases, GoDaddy.com, Inc.
is not the registrant of domain names listed in this database.

Registrant:
Tony Luong
P.O.BOX 6902
Bellevue, Washington 98008
United States

Registered through: GoDaddy.com, Inc. (

Browser Update Page)
Domain Name: BHELPER.COM
Created on: 29-May-03
Expires on: 29-May-10
Last Updated on: 26-Mar-09

Administrative Contact:
Luong, Tony hellotonyluong@gmail.com
P.O.BOX 6902
Bellevue, Washington 98008
United States
4258297454 Fax --

Technical Contact:
Luong, Tony hellotonyluong@gmail.com
P.O.BOX 6902
Bellevue, Washington 98008
United States
4258297454 Fax --

Domain servers in listed order:
NS1.BHELPER.COM
NS2.BHELPER.COM

730SN · 10.01.2010, 01:26

dafür gräbst du jetzen einen 4 1/2 Jahre alten Thread aus???

10.01.2010, 01:31

Ja, bin rein zufällig drauf gestoßen. War nur als Ergänzung gedacht, kann ja sein, dass das Ganze noch einmal passiert.