Versuche, Radioquelle ausfindig zu machen

Mellimaus

Benutzer

• 12. März 2011

• #1

Hallo Leute,

ich hab da mal eine Frage. Wior haben eine Radiosoftware, wo man alle Hörer sehen kann. Welche IP die haben und welche Quelle die zum hören benutzen, z.B Winamp etc.

Seit einiger Zeit haben wir allerdings recht viele Hörer, die von einer Quelle kommen, die mir irgendwie komisch vor kommt. Die Hörer kommen alle gleichzeitig und als Quelle wird der "Winamp 2.7" ausgegeben. Doch die Hörer können ja nicht alle gleichzeitig den Winamp 2.7 nutzen, da die neuste Version des Winamp schon die 5.60 ist.

Es muss sich um irgendein Ripper-Programm handeln. Sind zwar alles unterschiedliche IPs, aber sehr seltsam. Vielleicht hat jemand schon mal von was ähnlichem gehört?

lg Melli

 

W

wolle1

Benutzer

• 12. März 2011

• #2

AW: Versuche, Radioquelle ausfindig zu machen

Hallo Mellimaus,

das ganze Internet Radio ist verseucht mit fake Zahlen, mein Radio nur mit WinampMPEG/5.50 usw

das kann man auch mit dem Skript sehen

http://www.radio-tools.com/stats/

 

Mellimaus

Benutzer

Themeneröffner

• 13. März 2011

• #3

AW: Versuche, Radioquelle ausfindig zu machen

Hi,

aber woran erkennst du, dass es ein Fake ist. Ich mein, ich befürchte das ja auch, weil seltsam ist es ja. Aber irgendwo muss doch die Quelle sein, Weil anscheinend werden die Hörer auch zum Traffic meines Servers zugezählt. Wir zahlen uns hier dumm und dämlich für keine Hörer. Das irgendwie komisch...

lg Melli

 

W

wolle1

Benutzer

• 13. März 2011

• #4

AW: Versuche, Radioquelle ausfindig zu machen

Hallo Mellimaus,

langsam glaube ich das von der Gema & und GVL gesteuert wird oder Sogar von der Platen Industrie die meisten fake Hörer kommen aus Deutschland.

Winamp 2.7, WinampMPEG/5.50, WinampMPEG/5.5 diese Player sind fake wenn die öfters auftauchen

siehe den beitrag http://www.radioforen.de/showthread.php?45114-Explosionsartiger-Anstieg-der-H%F6rerzahlen

 

H

Hefeteich

Benutzer

• 13. März 2011

• #5

AW: Versuche, Radioquelle ausfindig zu machen

wolle1 schrieb:

langsam glaube ich das von der Gema & und GVL gesteuert wird oder Sogar von der Platen Industrie die meisten fkae Hörer kommen aus Deutschland.

Zum Vergrößern anklicken....

Genau. Die haben nämlich nichts besseres zu tun.

Bei so Kommentaren darf man sich über das allgemeine Meinungsbild zum Internetradio nicht wundern.

 

W

wolle1

Benutzer

• 13. März 2011

• #6

AW: Versuche, Radioquelle ausfindig zu machen

Also ich kann nur eins sagen das ganze Internet Radio wird hochgepuscht Weltweit.

 

Mellimaus

Benutzer

Themeneröffner

• 13. März 2011

• #7

AW: Versuche, Radioquelle ausfindig zu machen

hmm,

da wird geschrieben das es sich dabei um ClipInc bez. Radio.fx handelt. Das kann ich allerdings total ausschließen, weil das bei uns über einen anderen Server läuft und daher auch in einem anderen System aufgezeichnet wird. Das muss ne Fremdquelle sein, aber Gema und GVL sind das nicht. Das haben die gar nicht nötig...

 

W

wolle1

Benutzer

• 13. März 2011

• #8

AW: Versuche, Radioquelle ausfindig zu machen

Mir ist das auch egal ob 1000 Fake Hörer drauf sind, werde sowiso das ganze Radio Abmelden.

 

Mellimaus

Benutzer

Themeneröffner

• 13. März 2011

• #9

AW: Versuche, Radioquelle ausfindig zu machen

hmm und wieso? welches gehört den dir?

 

MADxHAWK

Benutzer

• 21. März 2011

• #10

AW: Versuche, Radioquelle ausfindig zu machen

Hi,

ich habe die letzten Tage ein ähnliches Problem. Ich habe etliche Einträge mit dem Useragent PSP-InternetRadioPlayer/1.00 in meinen Logfiles. Diese Verbinden für 10 Sekunden bis hin zu 2 Minuten, dann bricht die Verbindung mit broken-pipe oder timeout ab.
Gut 90% der zugehörigen IP's kommen aus den USA / Kanada. Ferner fand ich raus, das einige IPs einer Firma namens MarkMonitor gehören.

MarkMonitor is the global leader in enterprise brand protection. Experts in Domain Management, AntiCounterfeiting, Grey Market, Trademark Protection, ...

Zum Vergrößern anklicken....

Interessant oder? Wir haben zwar nichts zu verbergen, lustig finde ich es trotzdem nicht wenn die mehrfach stündlich mit unterschiedlichen IPs unseren Stream scannen und so unnötigen Traffic verbrauchen :S

Die hohe Anzahl der Besuche, aus IP Ranges der USA/Kanada, und alle mit gleichem Useragent gleicht schon fast dem Verhalten eines Botnets. Somal ich mich ehrlich gesagt Frage, wieso ein Kiddy aus den Staaten mit seiner Playstation-Porable ausgerechnet ein kleines deutsche Internetradio aufsuchen sollte.


Gruss
MAD

 

Mellimaus

Benutzer

Themeneröffner

• 21. März 2011

• #11

AW: Versuche, Radioquelle ausfindig zu machen

@MADxHawk: So geht es mir auch. Nur meine Software zeigt an, dass die Hörer alle aus Deutschland kommen. Es muss doch irgendwie möglich sein, diese unnötigen unechten Hörer loszuwerden. Hab schon gedacht, einfach mal die Domain wechseln oder abändern, aber das danna uch für die richtigen Hörer doof, wenn der Standard-Link sich ändert. Ich hab auch schon extrem viel danach gegoggelt, aber wirklich ne Hilfe hab ich noch nicht gefunden...

lg Melli

 

MADxHAWK

Benutzer

• 21. März 2011

• #12

AW: Versuche, Radioquelle ausfindig zu machen

Nun ich habe fail2ban "missbraucht". Eigentlich überwacht das Programm z.B. fehlerhafte ssh logins auf die shell und blockt die entsprechende IP nach x Fehlversuchen über iptables.
Ganz los wird man diese Geisterhörer damit nicht, aber spätestens nach einer Minute fliegen sie vom Stream und die IP ist für 24 std. gebant.

Für interessierte:
shoutcast.conf nach /etc/fail2ban/filter.d kopieren

Code:

# Fail2Ban configuration file

[Definition]
failregex = msg:\[DST <HOST>:([0-9]{1,5}) sid=1\] SHOUTcast 1 client connection accepted. PSP-InternetRadioPlayer/1.00

ignoreregex =

PSP-InternetRadioPlayer/1.00 durch den zu bannenden Useragent ersetzen.

Es sollte auch möglich sein mehrere Useragents so zu blocken:

Code:

failregex = msg:\[DST <HOST>:([0-9]{1,5}) sid=1\] SHOUTcast 1 client connection accepted. PSP-InternetRadioPlayer/1.00
            msg:\[DST <HOST>:([0-9]{1,5}) sid=1\] SHOUTcast 1 client connection accepted. Winamp2.7blablubb

Anmerkung zur Failregexp:
Die RegularExpression ist für den Shoutcast 2 Server und muss für den Shoutcast 1 Server angepasst werden.
Ich habe leider kein Logfile eines Shoutcast 1. Denke aber folgende Änderung sollte funktionieren:

Code:

failregex = msg:\[DST <HOST>:([0-9]{1,5})\] SHOUTcast 1 client connection accepted. PSP-InternetRadioPlayer/1.00

Falls nicht bitte mal eine entsprechende Zeile Posten, dann kann ich eine entsprechende Regexp erstellen.

Anschliessen die jail.conf (/etc/fail2ban) editieren und folgendes hinzufügen:

Code:

[shoutcast-iptables]
enable	  = true
filter   = shoutcast
logpath  = /pfad/zur/shoutcast/logdatei.log
maxretry = 1
# bantime angabe in Sekunden 86400 = 24 Std.
bantime  = 86400
action   = iptables[name=DNAS, port=8000, protocol=tcp]

Pfad zur Logdatei vom shoutcast angeben und Streamport (port=8000) anpassen!

Alternativ sollte folgende Zeile alle Zugriffe, von der betreffenden IP, auf den Server unterbinden:

Code:

action   = iptables-allports[name=DNAS]

Gruss
MAD

 

mratix

Benutzer

• 26. Juli 2011

• #13

AW: Versuche, Radioquelle ausfindig zu machen

Hallo MAD,
Vielen Dank für den tollen Beitrag!

Hat mich inspiriert ein paar Sachen zu implementieren und über fail2ban auswerten zu lassen.

Jedenfalls, betreibe ich für Kunden mehrere Shoutcast v1.x Server und möchte die schwarzen Schafe (Nichtzuhörer) ausschließen. Im Einsatz sind alles gescriptete sc_serv d.h. keine Web-Management-Interfaces.

Sitze nun seit einigen Tagen dran, hauptsächlich Shoutcast-Monitoringquellen abzufangen, als auch fehlerhafte Loginversuche, fake-clients usw. zu erkennen. Meine Kenntnisse über regex sind nicht so besonders. Würde mich über ein paar Beispiele sehr freuen.
Vielen Dank