Schupp Aber in Testing landen standardmäßig alle neuen Pakete nachdem sie in Unstable waren, in Stable ändert sich prinzipiell nichts mehr. Außer Security-Updates und maximal wichtige Bugfixes im Rahmen von Point Releases.
Oder worauf willst Du raus? Testing ist dadurch (vor dem Freeze) halt nicht so stabil und auch nicht so sicher wie Stable 
Schon mitbekommen? Bei allen Servern und Webhostings von mir. Bei euch auch?
Webhosting würde funktionieren, vServer jedoch ebenfalls nicht.
Ob daran mein Ticket von vor zwei Wochen bezüglich eines Bugs beim Inhaberwechsel schuld ist? 
Sorry, falls das der Grund ist. 
Soll ja schon am 09.08.2025 erscheinen
Nutze es bereits für meine Server, da es schon länger im "Testing" und nicht mehr "Unstable (Sid)" ist
Ich will ja nicht klugscheißen, aber "Testing" ist die zukünftige Debian Version bereits einen Tag nach dem Release einer neuen Stable Version. In diesem Fall also bereits seit zwei Jahren 
Um auch noch etwas ernsthafteres beizutragen: Spätestens wenn der Freeze ist, kann man Debian Testing erfahrungsgemäß eigentlich ganz gut verwenden. Für ein produktiv genutztes System wäre es mir allerdings zu riskant. Ich habe es aber meistens auch schon Monate vorher in diversen VMs laufen, wo es nicht so tragisch ist, falls diese einmal für einige Stunden bis Tage kaputt sind.
KB19 eindeutig Fuchs
Ja, das "Fotomodell" meines Avatars ist ein Fuchs. 
Aber ich finde es echt cool das du den Teddy deines Profilbildes in echt hast.
Teddy? 
Jetzt ist er aber stinksauer, dass ihn schon wieder jemand mit einem Bären verwechselt. 
finnvweiss Ich habe meine Ente bei einem Gewinnspiel im Forum gewonnen. tab übrigens auch
Ankunft der Killerente bei der Fake-Ente killerbees19
IMG_20230119_184700-03-01.jpeg
Die benutzt die Grußkarte als Floß, ganz ein schlaues Viech!
ich krieg dann immer eine passwortabfrage - und meine user haben alle keins....
su verlangt das Passwort vom root User, nicht vom aktuellen User. Das unterscheidet sich somit grundlegend von sudo. 
Falls Dein System auch kein Rootpasswort hat (was durchaus möglich ist), führt kein Weg an sudo vorbei.
Na Servus, du hast aber viel mehr kriminelle Energie als ich
Na zum Glück nutze ich die nicht im negativen Sinne.
NoahS04 Wenn Du keine Daten angegeben hast und Dein Betriebssystem sowie Browser alle Updates aufgespielt hat, dürfte das Risiko für negative Effekte eher gegen Null tendieren.
Deine IP-Adresse ist bei einem typischen Endkundenanschluss nicht viel wert, die ist der Welt sowieso bekannt und i.d.R. hast Du da nach einiger Zeit sowieso bald eine neue.
Das einzige was realistisch betrachtet passieren könnte, dass Du jetzt von solchen Phishing-Versendern bevorzugt angeschrieben wirst, weil Du bestätigt hast, dass die E-Mails gelesen werden und jemand darauf reagiert. Das kannst Du jetzt aber sowieso nicht mehr ändern.
In diesem Sinne: Entspannen, Füße hochlegen und ein Kalt-/Heißgetränk Deiner Wahl genießen.
- wenn SOA auf netcup -> "Treffer"
Nur A und eventuell AAAA, wobei sie sich Letzteres auch gleich sparen könnten. SOA (oder NS) interessiert sie offenbar nicht. Denn ich und viele andere haben das auch für zahlreiche Domains bekommen, die noch nie über netcup registriert wurden.
Also anscheinend doch eine Menge "Mühe" für diese Aktion, interessant.
Du gehst davon aus, dass nur netcup das Ziel ist. Wenn man aber die Daten aber sowieso schon abfragt, kann man sie gleich in mehrere ISP-Listen aufteilen und die anderen für spätere Aktionen aufheben. Dann relativiert sich der Aufwand, denn diese Listen kann man auch Jahre später noch verwenden. Auf ein paar False-Positives kommt es da auch nicht mehr an…
Hat jemand eine aktuelle Phishing Mail zu einer Domain bekommen, auf die KEIN PTR zeigt?
Ja, bei allen bisherigen und aktuellen Wellen.
Ich verwende nur drei Domains im PTR, aber die Mails kommen auch für ein knappes Dutzend anderer Domains. SSL-Zertifikate haben die aber definitiv alle, auch wenn es teilweise nur Weiterleitungen auf andere Domains sind.
Im Endeffekt wird es ein Mix aus mehreren Quellen sein.
Vielleicht probieren sie mittlerweile auch Wortlisten und Kombinationen bei den großen TLDs durch. Das würde ich jedenfalls diversen Akteuren, die Domainlisten verkaufen, durchaus zutrauen. Für eine grundlegende Prüfung reicht es ja DNS abzufragen, was vergleichsweise extrem kostengünstig ist und durch die Nutzung von verschiedenen Resolvern sehr gut verschleiert werden kann.
Infiltrierte Browsererweiterungen sind Gerüchten zufolge auch eine nette Möglichkeit, um Domains zu sammeln, die nicht öffentlich auftauchen. Kompromittierte Postfächer bei Kommunikationspartner verraten auch reine E-Mail-Domains. Vielleicht war die Domain auch schon einmal vor mehreren Jahren registriert und aktiv. Es gibt so viele Möglichkeiten, wie Domains bekannt werden.
Ich bezweifle jedenfalls, dass die Versender von solchen Phishing-Kampagnen die Domainlisten selbst zusammentragen. Die kaufen die grundlegend bestimmt ein und filtern sie maximal anhand der A/AAAA-Records. Wobei es mich nicht wundern würde, wenn man die auch schon fix für ein ASN einkaufen kann. Dann haben die Phishing-Versender nur noch den Aufwand, das Zeug über fremde Server oder Postfächer zu verschicken.
Vermutlich ist @operations [d.h. [netcup] Lars S.] im Urlaub.
Oder hat alle Hände voll zu tun mit der Phishing-Welle, die garantiert zu zahlreichen Tickets im Support führt. 
So, jetzt glaube ich nicht mehr an Zufall. Ich habe jetzt innerhalb von 1 Stunde 3 Mails gezielt an alle meine Domains hier bei netcup bekommen. Gestern kam eine einzelne.
Alle an postmaster@* und daher erstmal durchgekommen. Auch wenn das frei zu findende Informationen sind (whois/dig) ist das schon merkwürdig. Woher sollte diese Information in dieser Ansammlung so kommen? Von der DENIC?
Wahrscheinlich aus den Certificate Transparency Logs. Oder alternativ (kostenpflichtige) dubiose Domainlisten, die es durchaus gibt. Sobald eine Domain registriert wurde und irgendwie verwendet wird (z.B. für HTTP oder als E-Mail-Domain), ist es nur eine Frage der Zeit, bis sie allgemein bekannt ist und in diversen Listen auftaucht.
Und danach werden sie halt gefiltert nach den Providern. Im aktuellen Fall wohl einfach anhand der A/AAAA-Records im DNS, ob diese auf Subnetze von netcup zeigen. Alles öffentliche Informationen, die keinen speziellen Zugriff erfordern. Die E-Mail-Adressen selbst sind sowieso einfach erraten, was bei Postmaster jetzt nicht so schwer ist.
Aber eigentlich gibt es dafür bereits einen Thread, in dem das schon mehrfach diskutiert wurde: https://forum.netcup.de/inform…52-phishing-e-mail-welle/
Bist Du Dir sicher, dass das nicht bereits in nf_nat.ko (CONFIG_NF_NAT=m) enthalten ist? Bei Debian sollte das jedenfalls verfügbar sein, wenn ich mir das Git-Repo so ansehe.
Und ich bin mir ziemlich sicher, dass ich das auf 1-2 Debian Bookworm Systemen (mittels ISO installiert) ohne extra Verrenkungen verwende. Dort allerdings noch über ip6tables[-nft], was im Endeffekt aber unter der Haube keinen großen Unterschied machen sollte.
War das beim SCP sichtbar?
Das mit den Enten wird wohl in allen Bereichen konsequent durchgezogen 
Dito, aber bei Verwendung von desec.org/desec.io als Nameserver.
finnvweiss Offenbar doch keine Änderung ggü. früher, alles wie immer. Soeben trudelte auch bei mir eine E-Mail ein, bei einer Domain die über netcup registriert wurde, die jedoch die NS von deSEC verwendet und einen A/AAAA Record auf netcup IPs hat.
Und auch die reine Textmail ist nach wie vor "sauber", da die gefährlichen Links nur in der HTML-Version auftauchen.
Bokommt ihr auch so einen Müll?
Nein, schon ewig nicht mehr. Die letzte große Welle war bei mir 2024.
Ich habe bei netcup aber auch nicht viele Domains liegen. Und die produktiv genutzten verwenden einen anderen NS, was die Erkennungsrate bei den bösen Akteuren drastisch reduzieren dürfte.
Wie viele "Labels" kann man bei den Konversationen in der rechten Seitenleiste eigentlich anlegen?
Moderators
Ist 5 dort das aktuelle Limit? Oder bin ich blind und finde den Link für neue Labels nicht mehr?
Screenshot 2025-07-12 at 00-32-46 Konversationen - Seite 6 - netcup Kundenforum.png Screenshot 2025-07-12 at 00-33-43 Konversationen - Seite 6 - netcup Kundenforum.png
(Bezeichnungen der Labels vor dem Screenshot anonymisiert.)
Auch interessant: Deaktiviert man DNSSEC, fliegt die Domain komplett weg und ist nicht mehr auflösbar. Eh?
Es dauert ein wenig, bis die entsprechenden Änderungen bei den NS der TLD ankommen und alle Caches ungültig werden. Bis dahin glauben die Resolver bzw. Clients, dass DNSSEC aktiv ist, bekommen aber keine signierten Antworten mehr von den netcup NS und brechen deswegen ab.
Nach spätestens 24h sollte es wieder funktionieren, meistens geht es aber deutlich schneller innerhalb von 1-4 Stunden.
