Kommentare zu folgendem Beitrag: CyberBunker kommt zurück, Betreiber haben Domain gekapert
Die Betreiber vom CyberBunker haben kürzlich die Domain Zyztm.com gekapert, die die deutschen Behörden beschlagnahmt hatten. Laut Sven Olaf Von Kamphuis kommt der Webhoster CyberBunker bald zurück, allerdings wohl nicht in Deutschland.
Möglichst weit weg mit ihm und seinem Verein. Kein schöner Gedanke, für solche Freaks nochmal Steuergelder aus dem Fenster schmeißen zu müssen. 
Was heißt hier zurückgekapert?
Die haben die Server abgeschalten und ihr LKA-Banner drübergeklascht.
Es wurden keine Domains beschlagnhmt. Sofern die Inhaber der Domains noch Access zu den Domains haben ist sowas kein Problem die wieder aufn neuen Server zu leiten.
Es ist noch viel peinlicher:joy:
Das heißt?
Network: ZYZTM (NL)
Routing: 185.35.136.0/22 via AS7018 , AS3356 , AS9002 , AS62454
ZYZTM Research Division (group)
Bovenstraat 254 BG rechts
3077 BL
The Netherlands
Ein paar zum Schnuppern… insgesamt 1008!
Die erste zum Klicken, kleiner Teil danach als Textform
http://185.35.138.3/
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.137.209
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.136.236
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.136.124
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.139.151
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.138.1
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.136.122
ZYZTM (62454) Netherlands
80/http
185.35.139.232
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.137.240
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.138.85
ZYZTM (62454) Netherlands
80/http
185.35.139.72
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.136.231
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.136.146
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.139.149
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.137.195
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.139.92
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.136.101
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.136.228
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.137.11
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.136.21
ZYZTM (62454) Netherlands
80/http
185.35.138.75
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.136.56
ZYZTM (62454) Netherlands
80/http
185.35.136.215
ZYZTM (62454) Netherlands
80/http
185.35.138.118
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
185.35.139.105
ZYZTM (62454) Netherlands
Raspberry Pi Raspbian 10 22/ssh, 80/http
embedded raspberry pi
Kommen die jetzt eigentlich noch zurück? Sind die anderen DCs und Server von denen noch on?
Ich komme heute nur noch auf 1004 anstatt 1008 !!
Hier noch was strukturelles:
Weiter wird die Site: as62454.net mittlerweile als Phishing-Site bei Guuble gemeldet!!
Autonomous System: AS62454 (Hostverteilung)
1,004 ZYZTM
Protocol:
1,003 80/http
754 22/ssh
Tag:
1,003 http
754 embedded
754 raspberry pi
754 ssh
======================================
Autonomous System: AS29090 (Hostverteilung)
1,009 CALIBOUR GmbH, Deutschland
Protocol:
1,004 80/http
755 22/ssh
Tag:
1,004 http
755 embedded
755 raspberry pi
755 ssh
Naja…wem da nun keine Ähnlichkeiten zwischen den beiden Netzwerken auffallen, sollte mal den Optiker wechseln!!
Die CALIBOUR GmbH, welche bislang nur für die Mail-Server von ZYZTM anscheinend zuständig war beinhaltet nun wohl das ehemalige Routing unter dem IP-Bereich:
185.103.72.0 /22
Dort in diesem Bereich schlagen bei Aufruf der einzelnen IPs auch die ursprünglichen LKA-Banner wieder an!!
Beispiele:
185.103.74.34
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.75.6
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.75.86
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.75.43
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.73.84
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.74.254
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.75.67
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.73.105
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.73.182
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.74.155
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.72.92
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
185.103.73.67
CALIBOUR (29090) Germany
Raspberry Pi Raspbian 10 22/ssh, 80/http
autonomous_system.name: CALIBOUR
EMBEDDED RASPBERRY PI
Hingegen der aktuelle IP-Bereich, den auch @Alsheimer hier aufführte anscheinend die neue ZYZTM Route darstellt, welche quasi 1:1 im neuen Bereich „nachgebaut“ wurde! 
Stichwort: Proxy Registered Route Object
185.35.136.0 /22
Und das alles an Gedönse unter den Augen der Behörde…?!?
Ja, warum man da nicht aktiv wird, frage ich mich Aber die sind sicher mit weitaus wichtigeren Sachen beschäftigt…
Das hast du aber schön gesagt 
Klar, schlafen müssen sie natürlich auch mal
@Alsheimer
Du hast dabei wohl völlig die ganzen Stunden an der Gulaschkanone vergessen !??
Ich hab @Ghandy mit dem Herr @VIP von der Cybercrime Abteilung für Tarnkappe am Bunker gesehen. Sowie war @solmecke als Rechtsbeistand dabei um die Server wieder vom LKA zurückzubekommen.
Außerdem wurde am Abend auf dem Weinberg gegrillt und zur Feier das Tages mehere Biere getrunken, man munkelt @Ghandy wäre an dem Abend auch mehrmals lallend umgefallen @solmecke solte ihm aufhelfen ist aber dann auf Forderungen von @VIP dem nicht nachgekommen.
Außerdem verlor @solmecke nach der durchzechten Nacht am nächsten Morgen auch aus seiner rechten Hosentasche ein Bündel 50€ Scheine als er in seinen AMG einstieg.
Vorsicht ist geboten beim neuen Cyberbunker.
Woran erinnert mich das nur? Autonome Systeme, ständiger Wechsel von dubiosen ISPs? R&B?
Oder war das RBN? Na ja, wenn es schon einen Flyman gab, dann gibt es jetzt halt auch noch einen fliegenden Holländer
Genau aus diesem Grund und der Tatsache einer eventuell zukünftigen Zusammenarbeit mit einem französischen Groß-Hoster, der hier ungenannt bleiben möchte, haben wir den flüchtigen Techniker H.J. Xennt alias @JanaMaria darum gebeten, bei der RIPE eine Namensänderung des Projektes CyberBunker in CidreBunker durchzuführen!
Und bitte, X. du olle Hupe…beim nächsten Bergfest darfste gerne aus dem Schatten der Bunkertüre heraustreten und mit uns zusammen einen schnabbulieren!! Hast bestimmt gefroren da unten am Eingang…oder wie sollen wir dein Zittern uns sonst erklären…?
Ja, vielleicht planen sie ja schon bei dir die nächste Hausdurchsuchung Du müßtest es also wirklich besser wissen, was man ihnen so zutrauen darf.
Warum clonen, was vorher schon vorhanden war?
Schach - das Spiel der Könige. Spielt man Schach, schiebt man Bauern vor 
185.35.136.0 /22 ist der aktuelle IP-Bereich, den du nanntest, der momentan ja auch funktioniert (siehe Cyberbunker-Banner)
185.103.72.0 /22 ist der ehemalige IP-Bereich, auf dem nun das LKA-Banner sichtbar ist
Die Firma CALIBOUR GmbH, die vor dem Bust nur als Mail-Provider für ZYZTM tätig war, ist nun nach dem Bust plötzlich der Besitzer des verbrannten IP-Bereichs, welcher durch das LKA „beschlagnahmt“ wurde…Ich nenne das ein Bauernopfer! Und dann wären wir beim Schach…genaustens!!!
Das beide Netzwerke mehr oder weniger identisch sind (bis auf einen oder zwei Hosts) ist nunmal auch kein Zufall, oder!
Wenn ich mal eine kleine Rechnung zusätzlich aufmache, überrascht es mich grad selber!
1004 Hosts
minus 200 Hosts durch Beschlagnahmung
gleich 804 Hosts übrig
Wo sind diese denn untergebracht? Wenn man nun die 755 Hosts der beiden genannten IP-Bereiche mit dem ssh-Zugriff dagegensetzt, kommt das ja ungefähr hin im Gesamtergebnis. Das wäre nun aber reinste Spekulatius meinerseits - aber passt schon zusammen!
Goldene Regel für Netzwerkfreaks: Leg dich nie mit einem Holländer an! Der darf den ganzen Tag kiffen und sich schön überlegen, wie er alle verarscht.
Beide Netzwerke?
Ich leg noch zwei drauf… den Rest kann er uns doch selber erzählen. Denke, er hätte bestimmt kein Problem damit^^
Vor allem…je besser das Stöffchen, desto länger die Grübelstunden!!!
Vielleicht war der Bunker auch nur ne riesige Aufzuchtstation und die Behörden haben auf Grund der vielen Etagen und Türen, noch nicht den Geheimgang zum Solarium des Räucherwerks gefunden?!?
Da wären ein paar tausend Euronen für ne gefakte Server-Farm ein Taschengeld-Einsatz bei dem zu erwartenden grünen Reingewinn