Abuse-Reports

[TerraX]

Wie händelt Ihr das eigentlich mit Abuse-Reports wenn der/die eigene/n Server angegriffen werden? Macht sich überhaupt noch wer die Mühe? Habt Ihr da nen Standard-Text?

Hatte gerade eben wieder den klassischen Fall, wo nach einer kurzen Serverinfo keine Fragen mehr offen bleiben:

HTTP/1.1 200 OK
Date: Fri, 08 Feb 2013 09:24:05 GMT
Server: Apache/2.2.4 (Win32) PHP/5.2.3
X-Powered-By: PHP/5.2.3
Connection: close
Content-Type: text/html

 

[virtual2]

Wenn die Firma in DE sitzt und nicht reagiert benutze ich gerne das Telefon als nerviges Druckmittel - wirkt aus Erfahrung meist Wunder

 

[blocklist]

Wenn man die Attacken automatisch und zu 100% ohne false-positives bestimmten kann, kannst du z.B. per Fail2Ban oder über www.blocklist.de/de/ Abuse-Reports versenden.

Wenn man es nicht ohne false-positives melden kann, dann lieber ein Skript schreiben, was die Logs durchgeht und prüft (geoip) ob die IP aus einem Land kommt, wo man normalerweise auf Abuse-Reports reagiert und dann einen Report versenden.

Viele Provider haben im eigenen IDS und Sensoren im Netzwerk/Gatewas stehen, wo so etwas auffällt und diese dann die Maschine entsprechend deren Regeln/agb stoppen/blocken. Bei DSL-Anschlüssen ist dies aber meist nicht der Fall, dort helfen dann nur externe Sensoren wie z.B. deine Abuse-Reports das festzustellen.

 

[d4f]

false-positive frei wird es wohl in Wildbahn nie geben.
Somit hast du mit dem Erstellen der Abuse-Meldungen und teilweise Rückfragen mehr Arbeit verbracht als der Angreifer, denn während du die Sperrung von 10 Machinen erwirkt hast wird er 100 weitere haben.
In anderen Worten; dann ist nicht nur dein Server sondern auch du selbst geDoS't.