Nachfolgebearbeitung zu Wikipedia:Checkuser/Anfragen/Diesel-Accounts.
Schon einige Monate beschäftigt dewiki-Administratoren der so genannte Schniggendillertroll. Aus dem letzten CU-Antrag vom April 2013 Wikipedia:Checkuser/Anfragen/Diesel-Accounts hatten sich einige Ranges herausfinden lassen, darunter die für diesen Fall zentrale Range 87.174.128.0/18. Bei erneutem massivem Angriff der Projekte wurden die verlinkten Ranges gesperrt, dennoch konnten weitere missbräuchliche Benutzerkonten angelegt werden. Aufgrund von CheckUser-Aktivitäten auf loginwiki wurden darüber hinaus die Ranges 91.141.0.0/22, 91.21.0.0/17, 79.244.64.0/18, 2.206.0.0/22 und neu 178.115.128.0/21 sowie die ebenfalls für diese Fall zentrale Range 79.208.224.0/20 (neben diversen offenen Proxys) gefunden. Dieser massive Wechsel von IP-Ranges spiegelt sich auch in den verwendeten Rechensystemen wieder.
Bei einer Überprüfung der Range 79.208.224.0/20 am vorgestrigen Abend nutzte das Benutzerkonto Avoided zur selben Zeit dasselbe System wie diese Vandalenkonten, sodass ein dringender Verdacht bestand, der nun bestätigt werden mussten. Da Avoided wegen Beleidigungen in dewiki infinit gesperrt ist, konnte er zuletzt keine weiteren Bearbeitungen mehr tätigen, die überprüft werden konnten. Die Belästigungen, die vom Schniggendillertroll ausgehen, rechtfertigten jedoch eine erneute Betrachtung, da sich Avoided um Entsperrung beim Schiedsgericht bemühte.
Im Zuge der Untersuchungen hat sich herausgestellt, dass der Schniggendillertroll identisch ist mit dem sogenannten Höhlentroll (Beispiel) und sehr wahrscheinlich auch mit dem Beleidiger von Minderbinder, THWZ, Ne discere dessa! und anderen (kurz: Stalker-Troll, Beispiel 1, Beispiel 2, je nur Admins (vgl. dies), Beispiel 3). Darüber hinaus haben sich auch ein, zwei weitere singuläre Konten finden lassen, bei denen die Zuordnung aber nicht eindeutig ist, die anderweitig auffällig waren und deswegen hier nicht erwähnt werden. Zu einzelnen Übereinstimmungen siehe unten.
Bei der Untersuchung war es notwendig, sich nicht nur auf die loginwiki-Ergebnisse zu stützen, sondern die weiteren Bearbeitungen des Hauptkontos in den anderen Wikimedia-Projekten zu vergleichen, um weitere Übereinstimmungen zu finden. Dafür waren die Kollegen in dewiki (namentlich Kulac), enwiki und frwiki sehr hilfreich, die ich von der Notwendigkeit einer Abfrage überzeugen konnte. Letztere haben ein Nachfolgekonto zu Tage gebracht, das auch in der deutschsprachigen Wikipedia aktiv ist und überraschenderweise trotz markanter Übereinstimmungen, auf die ich hier nicht alle eingehen kann, da von weiteren Nachfolgekonten auszugehen, nicht gefunden wurde.
Für Degenera1ion waren auf loginwiki Bearbeitungen der Range 87.174.128.0/18 zu finden (in der sich auch Avoided befindet), unter der vom gleichen System aus innerhalb von einer Stunde folgende Konten angelegt wurden:
Auf ein noch deutlicheres Ergebnis wurde bei dem Check auf dewiki erreicht, als für die direkt hintereinander erstellten Konten
erneut eine Bearbeitung von Degenera1ion mit gleicher IP und vom gleichen System aus nur drei Minuten darauf gefunden wurde: Bezeichnenderweise genau eine Meldung dieser Benutzerkonten auf der VM. Als verkappte Selbstanzeige verstehe ich auch den Vorschlag, Schniggendiller als Unwort des Jahres zu küren. Daneben hat er Offene Proxys verwendet:
Letzterer wurde wohl eher zufälligerweise auch vom sogenannten Astrotroll unter dem Konto PoncetarotHlkad verwendet – sonst gibt es aber keinerlei Übereinstimmungen.
Schließlich hat auch die Anmeldung auf elwiki (sīc) mit einem Offenen Proxy wahrscheinlich gemacht, dass dieser über mehrere Tage von Degenera1ion zur Erstellung folgender Konten auf loginwiki benutzt wurde, zum Teil vom gleichen System, zum Teil verändert:
Purity impression hat dabei die Beleidigungen des Stalker-Trolls wiedereingesetzt, die beide aus der Haupt-Range 87.174.128.0/18 stammen, die vom Haupt-System genutzt wird.
Für Degenera1ion sollten dies genug Beweise dafür sein, dass er sowohl der Schniggendiller- als auch der Stalker-Troll ist. Dies auch Avoided nachzuweisen trotz signifikanter Ähnlichkeiten im Editierverhalten sowie identischer IP-Range und identischem System, war ebenfalls nur durch Crosswiki-Aktionen möglich. Über loginwiki war Avoided nur in einer anderen Range zu finden, in der sich auch folgende Konten fanden:
Vom gleichen System aus wurde innerhalb von 12 Stunden in der Haupt-Range 87.174.128.0/18 auch ein weiteres Störkonto angelegt:
Noch eindeutiger waren die Übereinstimmungen auf frwiki: Bsirkla2 hat unter gleicher IP und vom gleichen System aus wie Avoided auf frwiki keine 30 Minuten vor diesem am 1. Dezember die Benutzerin angegriffen, die die Schniggendillertroll-Seite betreut und diverse dieser Konten und Ranges gesperrt hat. Unter derselben IP und von demselben System aus (dem Haupt-System) wurden innerhalb von 24 Stunden folgende Konten angelegt:
Die ersten Konten haben wir für den Stalker-Troll schon kennengelernt, das dritte editiert identisch.
Ähnliches lässt sich für den 23. November feststellen mit gleicher IP und demselben Neben-System, jedoch mit einem Abstand von weniger als 2 Stunden. In dieser Zeit hat Avoided frwiki editiert und wurde folgendes Konto angelegt:
Vom 23. bis 25. November wurden vom gleichen System aus folgende (und keine anderen) Konten auf loginwiki angelegt, die alle zur Haupt-Range 87.174.128.0/18 gehören:
Schließlich noch die Übereinstimmungen auf enwiki: Innerhalb von einer Stunde vandaliert Klosteinwerfer zunächst meine Diskussionsseite und Avoided entfernt einen anderen Beitrag auf eben dieser, zwar nicht mit gleicher IP, aber vom identischem System aus und beide unter der Haupt-Range 87.174.128.0/18. Eindeutige Übereinstimmung der IP finden wir wieder bei einer Bearbeitung von Avoided und den hiesigen Bearbeitungen von Haicpsoet (siehe gelöschte Beiträge).
Avoided und sein Nachfolgekonto Degenera1ion sind eindeutig als Schniggendiller- sowie Stalker-Troll zu identifizieren. Meine Administratorenkollegen mögen die nötigen Maßnahmen ergreifen (die enwiki-Kollegen haben dies ebenfalls angekündigt). Ich bedauere dieses Ergebnis sehr, da ich mich viele Jahre eigentlich ganz gut mit Avoided verstanden habe. Doch seine Veränderung zu einem Angreifer von Minderbinder, THWZ und anderen, dazu mit einem Weltbild nicht verträgliche Einstellungen haben dies schon länger erschüttert. Ihn als Urheber dieser monatelangen Belästigungen zu identifizieren, ist ein sehr bedauerlicher Tiefpunkt, der mich überrascht und erschüttert hat. DerHexer
Da es offensichtlich Unklarheiten darüber gibt, in welchem Umfange Avoided die genannten Konten angelegt hat, gehe ich nun etwas detaillierter auf die einzelnen Ranges ein, unter denen Störkonten dieser Art auf loginwiki erstellt wurden.
Konten:
All diese Konten wurden von Avoideds Haupt-System angelegt oder benutzt:
Mindestens diese Konten wurden von Avoideds Neben-System angelegt:
Mindestens die folgenden Konten wurden vom dritten System angelegt:
Darüber hinaus gibt es noch folgende unter anderen Systemen angelegte Konten:
Zu diesen beiden Ranges, die beide von der Deutschen Telekom im Raum München vergeben werden, muss ich mich nicht mehr groß äußern, dies hat der vorherige Bericht schon ausführlich getan: Range und System sind zweifelsohne identisch mit Avoided, Überschneidungen gibt es zuhauf.
Bei der letzten Abfrage stellte 77.116.0.0/15 eine zweite Gruppe dar.
Es lassen sich drei Höhlentroll-Konten finden, die aber nicht zwingend Avoided zugerechnet werden müssen:
Es lassen sich fünf Höhlentroll-Konten finden, die aber nicht zwingend Avoided zugerechnet werden müssen:
Diese Ranges wird nicht mehr vergeben.
Fazit: Die in der letzten Checkuser-Abfrage maßgeblich betroffene 77.116.0.0/15 wird seit einiger Zeit nicht mehr vom Höhlen-Troll verwendet. Dennoch werden auch weiterhin Troll-Konten unter demselben Provider angelegt, dies betrifft folgende Ranges:
In dieser Range werden zwei Systeme missbräuchlich eingesetzt, die beide Avoideds Haupt-System sehr stark ähneln. Im Folgenden die von dem ersten System mindestens angelegten Konten, darunter welche vom 13. Januar 2014:
Vom zweiten System, das dem ersten ähnlich ist, kommen:
Die Konten In 20 Tagen wähle ich Npd! und das von Avoideds Neben-Range angelegte Konto Am22SeptemberNP1Dwählen greifen identische Themen auf. Das Editprofil ist ähnlich, die Namenswahl auch, die benutzten System ebenso. Es spricht einiges dafür, dass auch hier Avoided dahinter steht.
Weitere in dieser Range angelegte Konten:
Konten:
Erneut identische Namensgebung, zudem ähnliches System verwendet wie Avoideds Haupt-System.
Hutchison ist der Nachfolger von Orange, daher betrachten wir noch die Orange-Ranges, die ebenfalls missbraucht werden:
Hier finden sich zwei betroffene Systeme, von denen das erste wieder Avoideds Haupt-System ähnelt:
Das zweite System ist identisch dem zweiten System von 77.119.128.0/22:
Daneben finden wir auch wieder ein Höhlentroll-Konto, das sonst mit keinem anderen Konto Übereinstimmungen hat:
Insgesamt können wir aber feststellen, dass die Konten zahlenmäßig den eindeutig Avoided zuzuordnenden zurückstehen. Wie mehrfach ausgeführt sprechen recht viele Faktoren für eine Erstellung durch diesen Benutzer. Da es aber keine 1:1-Überschneidungen möglich sind, ist rein theoretisch auch ein fast identisch agierender Trittbrettfahrer nicht gänzlich auszuschließen.
Das hier verwendete Hauptsystem ähnelt Avoideds weniger und auch die Namen folgen anderen Schemata, Parallelen sind aber jeweils trotzdem vorhanden, auch Konten vom 14. und 15. Januar 2014:
Ein zweites System zeigt neben unauffälligen Konten auch diese auf:
Für mich sieht das aus wie ein (schlechter) Trittbrettfahrer aus (oder eine geplante Irreführung, deren Zweck sich mir aber nicht erschließt). Einzig überraschend ist, dass das zweite System im Oktober schon eine Anspielung auf Avoided hinterlassen hat.
Das hier verwendete System ist identisch dem ersten System von 89.204.128.0/19, und mit ihm wurden folgende Konten erstellt (auch am 14. Januar 2014):
Offensichtlich derselbe Trittbrettfahrer (oder eine leicht veränderte Irreführungsmethode).
Auch 2018 immer noch massiv missbraucht. Allein im ersten Quartal über 300 missbräuchlich angelegte Konten. —DerHexer (Disk., Bew.) 22:26, 3. Apr. 2018 (CEST)
Unter der mobilen Range 2.206.0.0/22 sind nur Diesel- und keine Schniggendillertrollkonten angelegt worden. Ähnlichkeiten zu Avoideds Haupt-System (dem die Haupt-Orange/Hutchison-Systeme ähnlich sind) sind vorhanden, die Namensgebung ist ähnlich, aufgrund des mobilen Charakters lässt sich aber kein eindeutiges Ergebnis benennen, möglicherweise der originäre Diesel-Vandale. Die Konten:
Unter dem ersten System, das kaum Ähnlichkeiten zu Avoideds Systemen hat, wurden folgende Konten angelegt:
Zu diesem System gehören wahrscheinlich auch noch folgende, jüngere Konten:
Daneben gibt es noch ein weiteres System mit folgenden Konten:
Aufgrund paralleler Bearbeitungen mit dieser Range und einem anderen System als unter Avoideds Haupt-System sowie der unterschiedlichen Namensbildung ist es äußerst unwahrscheinlich, dass dahinter dieselbe Person steht.
Die Untersuchung auf loginwiki hat gezeigt: Ein Großteil der Störungen gehen eindeutig auf Avoideds Konto. Ob die Person, die hinter den Trollereien unter dem mobilen Orange/Hutchison-Provider steckt, mit ihm identisch ist, lässt sich nicht mit letzter Sicherheit sagen. Es gibt jedoch einige Indizien, die dies wahrscheinlich machen, auch wenn dies ein österreichischer Provider ist. Der Vandale mit dem O2-Provider ist wahrscheinlich ein schlechter Trittbrettfahrer und die mit Vodafone und der Telekom erstellten Diesel-Konten werden wahrscheinlich ebenfalls von einer anderen Person angelegt. Damit sind zwar nicht alle Diesel-Konten von Avoided, mit größerer Wahrscheinlichkeit aber alle (und mit Sicherheit der größte Anteil aller) Schniggendiller-, Höhlen- und Stalker-Konten von ihm angelegt worden.
Unter 87.174.0.0/18 wurden mit den bekannten Avoided-Systemen folgende Konten angelegt:
Alle global gesperrt. —DerHexer (Disk., Bew.) 00:22, 23. Jan. 2014 (CET)
Erneuter Vandalismus hat folgende Ergebnisse geliefert:
Neuerdings nutzen die hier angesprochenen Konten auch IPv6. Aufgrund geringer Datenbasis ist folgender Abschnitt der Telekom-Range 2003:62:8800::/37 zu vermuten:
Die darunter erstellten Konten verwenden sowohl Avoideds Haupt- als auch erstes Nebensystem und sind damit eindeutig zuordbar:
Recht wahrscheinlich gehören auch die folgenden Konten trotz leicht unterschiedlichem System und anderen IP-Adressen dazu:
Eine weitere Vodafone-Range (neben der schon erwähnten 2.206.0.0/22) wird seit mehreren Wochen von Dutzenden dieser Konten genutzt.
Da das verwendete System jedoch zu dem unter 2.206.0.0/22 verwendeten System in Widerspruch steht und beide parallel benutzt wurden, ist es weniger wahrscheinlich, dass hinter beiden dieselbe Person steht. Eine Übereinstimmung mit Avoideds Systemen zu finden, ist nicht möglich, da diese Konten mobil angelegt wurden. Bei der weiteren Range 109.84.0.0/16 ergab sich jedoch für ein Konto eine exakte Übereinstimmung mit Avoideds Hauptsystem (das nicht mobil ist):
Eine spätere mobile Nutzung einer verkleinerten Range ist möglich, kann aber auch Zufall sein. Siehe neu unter #Nachfolgeabfrage 10.'
Von Avoideds zweiten Neben-System wurden folgende Konten erstellt:
Folgende Konten wurden von einem von Avoideds Neben-Systemen erstellt:
Folgende Konten wurden von Avoideds Haupt-System, leicht verändert, erstellt:
Folgende Konten wurden von einem von Avoideds Haupt-Systemen erstellt:
Folgende Konten wurden von Avoideds Haupt-System, leicht verändert, erstellt:
Folgendes Konto ist eindeutig Avoided zuzuordnen:
Folgendes Konto wurden von einem von Avoideds Neben-System erstellt:
Folgende Konten wurden von einem von Avoideds Haupt-Systemen erstellt, ein paar wenige Konten könnten false positives sein, soweit ich das überprüft habe, dürfte dies zeitlich aber unwahrscheinlich sein:
In dieser Range gab es noch das folgende Benutzerkonto, das von Avoideds Nebensystem stammen könnte:
Folgende Konten wurden wahrscheinlich von einem Avoideds Neben-System ähnlichen System erstellt. Ob der kurzen Range und keiner weiteren aktiven Benutzerkonten in dieser empfiehlt sich ein längerfristiger Hardblock.
Folgende Konten wurden wahrscheinlich von einem Avoideds Haupt- und Neben-System ähnlichen System erstellt.
Folgende Konten wurden sehr wahrscheinlich von einem Avoideds Haupt- und Neben-System ähnlichen System unter einer neuen Vodafone-Range erstellt, die zuletzt fast ausschließlich vom Vandalen benutzt wurde und daher längerfristig gesperrt wird.
Folgende Konten wurden sehr wahrscheinlich von einem Avoideds Haupt- und Neben-System ähnlichen System unter einer neuen Vodafone-Range erstellt, die zuletzt fast ausschließlich vom Vandalen benutzt wurde und daher längerfristig gesperrt wird.
Siehe Wikipedia:Checkuser/Anfragen/Avoided, Teil 2, Wikipedia:Checkuser/Anfragen/Avoided, Teil 3.
Aufgrund einer Abfrage von Administratoren erfolgte MaVorlage:ßnahmen sind hier dokumentiert.
Die wenigen ungesperrten Konten gesperrt --Itti 22:54, 12. Jan. 2014 (CET)
Die wenigen ungesperrten Konten nach Ergänzung gesperrt --Itti 00:35, 16. Jan. 2014 (CET)
Zwei noch ungesperrte Konten aus dem 2.Nachtrag auch noch gesperrt --Itti Hab Sonne im Herzen... 18:08, 27. Jan. 2014 (CET)
Bis Nachfolgeabfrage 5 alle gesperrt, Hinweis auf diese Aktion für die Akten --Itti Hab Sonne im Herzen ... 10:08, 7. Mär. 2014 (CET)
Nachfolgeabfrage 6 auch durchgesehen und letzten ungesperrten Konten gesperrt. --Itti Hab Sonne im Herzen ... 23:10, 16. Apr. 2014 (CEST)
Nachfolgeabfrage 7 durchgesehen Konten waren bereits lokal, bzw. global gesperrt. --Itti Hab Sonne im Herzen... 18:39, 21. Jul. 2014 (CEST)
Trittbrettfahrer von #8 gesperrt. --Itti 00:44, 9. Okt. 2014 (CEST)