Abuseabteilung netcup vServer

[kannnix]

Hallo zusammen,

hatte jmd. schonmal das Vergnügen von der netcup Abusabteilung kontaktiert zu werden?

Normalerweise seh ich es gern, wenn sich ein Provider darum ernsthaft kümmert, aber bei netcup nimmt es bizarre Ausmaße an.

Angefangen hat alles mit dem vlt bei vielen bekannten Proftpd Bug letztes Jahr. Da machten einige Scripte die Runde und Root-und vserver wurden reihenweise geöffent. Ok na gut denk ich mir, setzt du dein System neu auf, habs damals verpennt das update einzuspielen da es ein sonst wenig genutzter Testserver war.

Das Ende vom Lied waren ssh Bruteforceangriffe ausgehend von meinem vserver, da sich irgendjmd eingenistet hatte.

Netcup hat mich kontaktiert, dies mitgeteilt und den vserver heruntergefahren. Im Grunde vorbildlich und nichts dagegen zu sagen.
Um nun jedoch den vserver wieder zum Leben zu erwecken wird eine detialierte schriftliche Stellungnahme per Post/Fax eingefordert.

Diese Stellungsnahme muss folgende Punkte abhandeln:

- Wie es zu dem Vorfall kommen konnte
- Unterlassungserklärung das ein solcher Vorfall nicht erneut auftritt
- Zusicherung das alle schadhaften Daten ausnahmslos entfernt wurden

Na gut, ganz schöner Aufwand, aber so ein Brief ist ja schnell getippt. Das wie war mittlerweile klar, und die Zusicherung alle schadhaften Daten zu entfernen geht mit der beauftragten Neuinstallation einher.
Der zweite Punkt macht mich jedoch stutzig.
Wie soll ich bitte schön verhindern, dass der vserver nächste Woche nicht durch einen anderen Bug geöffnet wird? Theoretisch besteht sogar die Möglichkeit dass jmd mit einem bisher unveröffentlichten Exploit angelaufen kommt. (ok, angesichts der Unbedeutsamkeit meines vservers unwahrscheinlich, aber doch möglich)

Habe das netcup auch so geschrieben, dass wohl kein Mensch auf dieser Welt in Form einer Unterlassungserklärung garantieren kann, dass einem der Server geknackt wird. Leider gibts nur Standardbausteine zurück, dass der vserver erst nach Übersendung einer Unterlassungserklärung wieder online geschalten werden kann.

Meine Frage, hat das schonmal jmd gemacht, netcup eine solche Unterlassungserklärung geschickt? Wenn ja was habt ihr dort rein geschrieben?
Ausserdem für wie gefährlich haltet ihr eine solche Unterlassungserklärung? Ich mein im Grunde ist das ja dann ein Freifahrtschein für netcup falls wieder Ungereimtheiten auf dem Server auftrteten? Nicht das es am Ende um Schadensersatzforderungen geht.

Also mir ist einfach sehr mulmig bei dem Gedanken eine, wie ich finde, generische Unterlasssungserklärung bezüglich einer theroetisch wieder möglichen Serverkompromittierung abzugeben.

Danke & Gruss

 

[Roger Wilco]

Also mir ist einfach sehr mulmig bei dem Gedanken eine, wie ich finde, generische Unterlasssungserklärung bezüglich einer theroetisch wieder möglichen Serverkompromittierung abzugeben.

Schreib doch einfach, dass dein System durch die bekannte, zuletzt genutzte Lücke nicht mehr kompromittiert werden wird und fertig.

Du musst dann natürlich auch dafür sorgen, dass dein System durch diese spezifische Lücke tatsächlich nicht mehr geknackt werden kann.

 

[mr_brain]

Hast du mal Netcup gefragt, was ein Bruch der Unterlassungserklärung zur Folge hat?

 

[Ben.]

Ich würde keine Pauschalunterlassung verfassen.

In deinem Fall würde ich schreiben, dass der aktuell bekannte Exploit der Pro-FTPd-Version xxx in deinem System nicht mehr auftreten wird, da die überarbeitete Version yyy installiert wurde. Demnach unterlässt du des die unsichere Version xxx zu installieren.

Aber grundsätzlich bist du natürlich dafür verantwortlich, dass dein Server an sich mit gängigen Mitteln abgesichert ist.

 

[Perry_Rhodan]

Die Leute haben wohl nicht alle Latten am Gartenzaun?

Grundsätzlich ist man verpflichtet, seinen Server soweit aktuell zu halten und abzusichern, das keine Gefahr von ihm ausgeht. Soweit so gut. Kann man aber sicher einen Mißbauch ausschließen? Ich denke NEIN!

Aber.. welcher seriöse Serveradmin würde so eine Erklärung abgeben? Ich kenne keinen.

Völlig überzogen und inakzeptabel. Ich würde dort wegen Inkomepents der Mitarbeiter fristlos kündigen!

Man, man, man.....

 

[Roger Wilco]

Aber.. welcher seriöse Serveradmin würde so eine Erklärung abgeben? Ich kenne keinen.

Fast alle größeren Provider - 1&1, Strato, Hetzner, usw. - haben ähnliche Prozesse, nachdem ein Server auffällig geworden ist. Teilweise auch mit fast identischem Wortlaut bzgl. der geforderten schriftlichen Versicherungen des Kunden.

Ich würde dort wegen Inkomepents der Mitarbeiter fristlos kündigen!

Interessant. Wie hast du das Kompetenzlevel der Mitarbeiter durch die in diesem Thread gegebenen Informationen ermittelt? Ich kenne zahlreiche Mitarbeiter von HR-Abteilungen, die sich diesbezüglich liebend gerne mit dir unterhalten würden.

 

[OldSwede]

Mit Hinsicht auf zum teil sehr Junger Kunden und teilw. unzureichende Admin-Kenntnisse finde ich die vorgehensweise völlig korrekt.

 

[Kato]

Also ich fände es nur problematisch, wenn man es aus dem Zusammenhang reißt. Aber im Kontext betrachtet ist es doch so:

1. Du schilderst detailiert einen bestimmten Vorfall
2. Du verpflichtest dich, diesen bestimmten Vorfall nicht mehr eintreten zu lassen.

Also z.B. schreibst du: PHP Skript XY hatte folgende Lücke, die durch den Exploit XYZ ausgenutz wurde. PHP Skript wurde upgedated.

Und dafür kann man dann auch guten Gewissens eine Erklärung abgeben, dass dieser Vorfall nicht mehr auftreten wird.

 

[Armin]

Mit Hinsicht auf zum teil sehr Junger Kunden und teilw. unzureichende Admin-Kenntnisse finde ich die vorgehensweise völlig korrekt.

Da ist man selber schuld an NetCups Seite man wird ja nicht gezwungen das Geschäft so zu öffenen das Jugendliche ankommen, wenn man weiß das die nur Probleme machen.

Aber sowas zu fordern halte ich für ne Frechheit! Als ob es jemanden gibt der seinen vServer absichtlich öffnet.

 

[d4f]

Also z.B. schreibst du: PHP Skript XY hatte folgende Lücke, die durch den Exploit XYZ ausgenutz wurde. PHP Skript wurde upgedated.

Und dafür kann man dann auch guten Gewissens eine Erklärung abgeben, dass dieser Vorfall nicht mehr auftreten wird.

Wenn du jetzt Webhosting betreiben wuerdest? (Ohne jetzt die Leistung des Servers zu beachten).
Dann kannst du nicht garantieren dass dein Kunde - oder ein anderer - nicht wieder diese Version hochlaedt. Diesen einen Kunden kannst du deinerseits wieder mit einer Unterlassungserklaerung beliefern, was aber ist mit den anderen Kunden? Allen Kunden das Hochladen der spezifischen Version durch Unterlassungserklaerung verbieten _BEVOR_ sie es ueberhaupt machen?

 

[ChrisServer]

Bezogen auf eine Sicherheitslücke ist es meiner Meinung in Ordnung. Aber nicht so allgemein, wie von Netcup gefordert.

Unterlassungserklärung das ein solcher Vorfall nicht erneut auftritt

Unter einem solchen Vorfall könnte man tatsächlich auch irgendeine andere Sicherheitslücke verstehen.

Den Wortlaut anderer Provider kenne ich nicht.

 

[Perry_Rhodan]

Fast alle größeren Provider - 1&1, Strato, Hetzner, usw. - haben ähnliche Prozesse, nachdem ein Server auffällig geworden ist. Teilweise auch mit fast identischem Wortlaut bzgl. der geforderten schriftlichen Versicherungen des Kunden...

Kann ich nicht bestätigen. Mein/Unser Server wurde letztes Jahr leider durch eine Lücke im vergessenen Verzeichnis (phpmyadmin) das vor vielen, vielen Jahren mal angelegt wurde, kurzfristig zu Scans von anderen Servern benutzt.

Wir wurden von Strato informiert und um Behebung der Sicherheitslücke aufgefordert. (Natürlich völlig zu Recht)

Strato hat aber niemals und überhaupt nicht, so eine Unterlassungserklärung verlangt!!! Diese hätten wir auch nie abgegeben. Denn woher sollen wir uns sicher sein, das nicht wieder eine Lücke in phpmyadmin auftritt?

Das der Server bei uns damals abgeschaltet wurde, wie auch in diesem Fall bei "kannix" ist völlig korrekt und nachvollziehbar. Ich würde auch nicht anders handeln. (Kommt aber auf den Einzelfall an, evtl. würde ich VOR abschalten des Servers eine angemessene Zeitspanne (2-12 Stunden) zum beheben des Problems einräumen, je nachdem wie schwerwiegend das Problem ist.)

Nehmen wir nun im vorliegenden Fall mal ein Szenario:

Kannix gibt eine modifizierte Unterlassungserklärung ab, in dem er erklärt, das dieser "Bug" nie wieder auftritt. 5 Jahre läuft alles prima und ohne Probleme.

Nach 5 Jahren ist aber in der dann aktuellen Version, aus welchen Gründen auch immer, plötzlich genau der gleiche "Bug" wieder da und er bemerkt es wieder zu spät!

Dann ist er Schadensersatzpflichtig, denn er hat damals ja eine Unterlassungserklärung abgegeben und dagegen verstoßen!

Also, meiner bescheidenen Meinung nach eine völlig überzogene Forderung seitens des Providers.

 

[[netcup] Felix]

Liebe Leserinnen und Leser des SSF,

gern möchten wir zu dem Thema aus unserer Sicht Stellung beziehen.

Zunächst sei gesagt, dass viel passieren muss, bis es zu einer kompletten Sperrung eines Servers von unserer Seite kommt. Kommt es zu einer solchen Sperrung, liegt ein Verstoß gegen unsere AGB vor und es geht eine aktuelle Gefahr von dem Server aus, den wir sperren. In den meisten Fällen besteht kein Grund, sofort zu sperren. Meist senden wir hier eine eMail an den Kunden und geben dem Kunden eine Reaktionszeit um den bemängelten Missstand zu beheben.

Gründe für eine sofortige Sperrung sind z.B.:

• Massenhafter Versand von Spam. Mehrere Abuse-Mails müssen hierzu von unabhängigen Stellen bei uns eingegangen sein.
• Ein andauernder Angriff auf einen fremden Server
• Eine größere Menge von Scans an fremden Servern
• Bereitstellung von Illegalen Content, z.B. Warez

Warum sperren wir hier sofort?

Es besteht die Gefahr das unsere Netze auf Blacklisten landen und andere Kunden dadurch einen erheblichen Schaden hätten. Angriffe auf fremde Server können einen Schaden am fremden Server verursachen. Sie sind nach deutschem Recht strafbar. Wir müssen hier sofort agieren, sollten wir hiervon Kenntnis erlangen. Andernfalls machen wir uns mit strafbar.

Bei ganz harten Fällen besteht die Gefahr, dass die Justiz bei uns Hardware beschlagnahmt. Hiervon wäre schnell eine größere Menge von anderen Kunden betroffen. Auch können wir ohne Hardware, unsere Dienste nicht mehr anbieten. Der Schaden wäre für den Betreiber des Servers, vermutlich nicht bezahlbar.

Auch werden unsere eigenen Netze häufig bei ausgehenden Angriffen überlastet. Dieses ist ein Nachteil für andere Kunden.

Als Betreuer von Netzen mit insgesamt mehr als 16 000 IP-Adressen, haben wir daher nicht nur mit eingehenden Angriffen zu kämpfen, sondern wir müssen auch Sorge tragen, dass in unserem Netzbereich alles so läuft, wie es vorgesehen ist. Hierfür haben wir Firewalls so wie Regeln auf den Nodes und Routern im Einsatz, die Missstände möglichst automatisch erkennen und dann einen neuen Abuse-Fall bei uns aufmachen. Zudem nehmen wir jede eingehende Abuse-Mail ernst und bearbeiten sie nach bestem Können.

Per AGB und deutschem Recht sind alle Betreiber eines Servers dafür verantwortlich, dass kein Schaden von dem Server ausgeht. Sie haften im schlimmsten Fall für einen verursachten Schaden und müssen dafür Ersatz leisten. Wir können und müssen bei einem Missstand aufgrund der AGB Server sperren und sogar, wenn der Kunde nicht bereit dazu ist ausreichend Stellung zu einem Missstand zu beziehen, den Vertrag fristlos kündigen (hier würden wir den Schaden auf unserer Seite in Rechnung stellen).

Warum ist eine Unterlassungserklärung erforderlich?

Eine fristlose Kündigung ist meist weder im Interesse des Kunden, noch im Interesse von uns. Wir geben daher in dem Fall den Kunden die Möglichkeit uns zuzusichern, dass derartige Missstände nicht mehr vorkommen. So können wir für uns sicher stellen, dass der Kunde nicht erneut gegen die AGB verstößt und auch ggf. Dritten nachweisen, dass wir gegen den Missstand vorgegangen sind und versuchen diesen zu verhindern.

Was passiert wenn man gegen die Unterlassungserklärung verstößt?

Da bei uns keine feste Vertragsstrafe in der Erklärung festgelegt ist, nicht mehr als wie wenn man gegen die AGB verstößt. Auch bei einem Verstoß gegen die AGB können wir oder Dritte ggf. Schadensersatz fordern. Die Unterlassungserklärung, für die wir übrigens keine Bearbeitungsgebühren o.ä. verlangen, ermöglicht es nur, dass der Vertrag fortgeführt werden kann, obwohl gegen die AGB bereits verstoßen wurde.

Ein vServer / Server ist für die meisten Menschen nicht geeignet

Insgesamt sei gesagt, dass ein Server viel Arbeit auf Seiten des Administrators erfordert. Sie können sich nie ausruhen, wenn Sie für einen Server verantwortlich sind. Oft ist reiner Webspace oder ein managed Server die bessere Variante. Sollte ein Kunde uns diesbezüglich um Rat fragen, beraten wir ihn auch dahingehend. Wir verkaufen keine Server damit sie später Angriffe fahren. Sie können sich sicher sein, dass die Bearbeitung eines Angriffes, uns in der Regel mehr kostet, als der Server im Jahr an Gewinn bringt. Die Kosten für die Bearbeitung eines Abuse-Falles, tragen wir meistens aus Kulanz (Ausnahmen sind eine sehr grobe Fahrlässigkeit auf Seiten des Kunden).

Völlig überzogen und inakzeptabel. Ich würde dort wegen Inkomepents der Mitarbeiter fristlos kündigen!

Ich hoffe das ich unsere Sicht auf die Dinge nachvollziehbar erklären konnte. Ich denke nicht, dass wir inkompetent sind. All unser Handeln basiert auf langjähriger Erfahrung in unserem Business und ist immer auf das Wohl des Kunden ausgerichtet. Bei Fragen, stehe ich gern zur Verfügung.

 

[Joe User]

Diese umfangreiche Stellungnahme können wohl 98% aller Anbieter unterschreiben, daher danke Dir Felix.

 

[Perry_Rhodan]

Hallo Felix (netcup)

das Inkompetenz nehme ich zurück und entschuldige mich dafür.

Bis auf daß mit der Unterlassungserklärung stimme ich mit Dir völlig überein. Völlig korrektes und nachvollziehbares Verhalten.

 

[Kato]

Wenn du jetzt Webhosting betreiben wuerdest? (Ohne jetzt die Leistung des Servers zu beachten).
Dann kannst du nicht garantieren dass dein Kunde - oder ein anderer - nicht wieder diese Version hochlaedt. Diesen einen Kunden kannst du deinerseits wieder mit einer Unterlassungserklaerung beliefern, was aber ist mit den anderen Kunden? Allen Kunden das Hochladen der spezifischen Version durch Unterlassungserklaerung verbieten _BEVOR_ sie es ueberhaupt machen?

Man kann jetzt natürlich nach Einzelfällen suchen, in denen die Abgabe einer solchen Unterlassungserklärung vielleicht schwierig ist. Aber mal ehrlich: Wenn du sie nicht abgibst, dann wir der Vertrag fristlos gekündigt. Ob das für die Kunden die bessere Alternative ist, wage ich zu bezweifeln.
Die Unterlassungserklärung muss dann eben an den betreffenden Kunden weitergereicht werden oder gegenüber Netcup soweit modifiziert werden, dass auf einen bestimmten Kunden abgestellt wird.
Das ist aber alles eigentlich nicht so schwierig.

 

[kannnix]

Hallo,

ich bedanke mich erstmal für die lebhafte Diskussion.

Prinzipiell stimme ich auch zu 90% mit den hier dargelegten Ansichten überein. Über das Vorgehen gegenüber Servermissbrauch brauchen wir, denke ich, nicht diskutieren. An sauberen Netzen ist jeder rational denkende Admin interessiert.

...

Warum ist eine Unterlassungserklärung erforderlich?

Eine fristlose Kündigung ist meist weder im Interesse des Kunden, noch im Interesse von uns. Wir geben daher in dem Fall den Kunden die Möglichkeit uns zuzusichern, dass derartige Missstände nicht mehr vorkommen. So können wir für uns sicher stellen, dass der Kunde nicht erneut gegen die AGB verstößt und auch ggf. Dritten nachweisen, dass wir gegen den Missstand vorgegangen sind und versuchen diesen zu verhindern.

Aber genau hierin sehe ich jedoch das Problem. Eine U-Erklärung an sich kann eben nicht sicher stellen, dass es nicht erneut zu einem Hack kommt. Genauso wenig wie Gesetze nicht vor Straftaten schützen können.

Unabhängig davon, finde ich darüber hinaus, die Vorgehensweise, dass sowohl U-Erklärung als auch der Auftrag zur Serverneuinitialisierung per Fax/Post zugeschickt werden müssen nicht zeitgemäß. Das verzögert die Downtime der betroffenen Maschine erheblich.
Regulär (wenn der Server nicht gesperrt ist) ist es ja sonst auch möglich den vserver per Webinterface jederzeit neu zu initialisieren.

Auf jeden Fall habt ihr mir sehr geholfen und ich werde eine U-Erklärung mit den genannten Tipps verfassen.

Vielen Dank

 

[[netcup] Felix]

Ich freue mich sehr, dass mein Beitrag scheinbar für Verständnis sorgen konnte. Dieses war mir sehr wichtig.

Aber genau hierin sehe ich jedoch das Problem. Eine U-Erklärung an sich kann eben nicht sicher stellen, dass es nicht erneut zu einem Hack kommt. Genauso wenig wie Gesetze nicht vor Straftaten schützen können.

Also wir haben mehrere tausend IPs in unserem Zuständigkeitsbereich. Von den wenigsten gehen jemals Angriffe aus. Mit dem erforderlichem Können, kann man zu fast 100% verhindern, dass ein Server kompromittiert wird. Wenn man als Kunde z.B. Dritten Zugriff auf seinen Server gibt, diese dann Warez verteilen, ist das grob fahrlässig, denn so etwas ließe sich ganz einfach verhindern. Warum eine Unterlassungserklärung erforderlich ist, hatte ich im vorherigen Beitrag geschrieben. Konkrete Fragen hierzu beantworte ich gern.

Zum zeitgemäßen und dem Zustellen der Dokumente per Post oder Fax:

Gerade bei der Verbreitung von Warez stehen schnell Behörden vor der Tür. Diese sind leider nur selten mit dem Informationsmedium "eMail" vertraut. Hier muss dann ein Dokument der "altmodischen Art" vorgelegt werden. Alles andere ist dort meist wertlos, besonders wenn es schnell gehen muss. Drohen Server beschlagnahmt zu werden, rennt unser Rechtsanwalt im wahrsten Sinne des Wortes zum Gericht und versucht eine einstweilige Verfügung gegen die Beschlagnahme zu erwirken. Legt er dann eMails vor, ist mit riesigen Verzögerungen zu rechnen oder eine einstweilige Verfügung wird gar nicht stattgegeben.

Sobald eMails von allen Gerichten und Behörden als rechtskräftiges Dokument anerkannt werden, werden wir auch die Möglichkeit der Stellungsnahme per eMail bieten.

 

[Armin]

Drohen Server beschlagnahmt zu werden, rennt unser Rechtsanwalt im wahrsten Sinne des Wortes zum Gericht und versucht eine einstweilige Verfügung gegen die Beschlagnahme zu erwirken. Legt er dann eMails vor, ist mit riesigen Verzögerungen zu rechnen oder eine einstweilige Verfügung wird gar nicht stattgegeben.

Wieso können Server4you, Serverloft, Host Europe oder wie die alle heissen das ohne UE machen? Wie oft kommt sowas vor das die Hardware wegen Filesharing beschlahnahmt/Sichergestellt wird... Mich hats selber mal mit Torrent(-> Mod UE und fertig...) erwischt aber das heisst doch lange nicht ein SEK kommt und mir meine Wohnungstür eintritt um meinen Laptop mitzunehmen.

 

[PapaBaer]

Äh, doch, sowas passiert durchaus: http://so36.net/2010/4/26/polizei-durchsucht-linken-internet-provider