Contabo negative Erfahrung - Dos Angriff / Kunde soll in Haftung genommen werden

[Rukola]

Servus !

Ich habe gestern Abend bemerkt, dass einige Dienste nicht erreichbar waren. Nach den gängigen Methoden war keine Verbindung möglich und auch der rescuemodus war nicht zu starten.

Nun wollte ich genervt ein Ticket schreiben (nach 1h herumprobieren), da bekomme ich plötzlich eine Mail von Contabo mit folgendem Inhalt...

Sehr geehrter Herr ***,

wir kontaktieren Sie, um Ihnen mitzuteilen, dass Ihr Server bei Contabo
aktuell das Ziel eines sehr großen Netzwerkangriffs ist. Dieser Angriff
verursacht nicht nur Probleme mit der Erreichbarkeit Ihres Servers, sondern
auch Probleme für viele andere Kunden. Es handelt sich hier nicht bloß um
einen vernachlässigbaren Vorfall, sondern um eine erhebliche Beeinträchtigung
unseres Netzwerks. Als Dienstleistungsanbieter müssen wir allerdings die 
Verfügbarkeit des gesamten Netzwerks zu jeder Zeit gewährleisten.

Leider ist es nicht möglich, das Problem mit regulären Mitteln zu lösen. Sie sind 
stets unser wichtigster Partner und wir treffen alle Maßnahmen, um Ihren 
Server vor Angriffen aus dem Internet zu schützen. Bei diesem Netzwerkangriff 
handelt es sich allerdings nicht um einen trivialen DoS-Angriff. DoS-Angriffe 
werden automatisch an unserem Router geblockt und unsere Kunden nehmen 
im Normalfall nicht einmal Notiz davon. Der aktuelle Angriff jedoch ist massiv 
und wird mit gewaltigen Ressourcen durchgeführt. Solche Angriffe können nicht 
von jedermann koordiniert und bewerkstelligt werden. Abhängig von der 
Komplexität und den Mitteln des Angreifers ist es manchmal unmöglich, solche 
dDoS-Angriffe mit derzeitiger Technologie abzufangen. Dann gibt es nur eine 
Möglichkeit: Nicht die angreifenden IP-Adressen (von denen es unzählige 
geben kann) zu blocken, sondern die angegriffene IP-Adresse. Das ist für uns 
stets die letzte, aber leider einzige Möglichkeit, die Stabilität des Netzwerks 
wiederherzustellen. Unsere Hände sind in dieser Sache leider gebunden und es 
gibt nur noch diese eine Möglichkeit: Wir mussten sofort reagieren und Ihren 
Server temporär sperren.


Sollten Sie irgendwelche Informationen über den Angreifer oder den Grund des 
Angriffs besitzen, möchten wir Sie bitten, Ihre Kenntnisse detailliert zu 
beschreiben, damit wir unsere Bemühungen gemeinsam besser koordinieren 
können. Bitte nennen Sie uns eine Möglichkeit, solche Angriffe in Zukunft zu 
vermeiden. Wir schätzen unsere Geschäftsbeziehung sehr, müssen ab sofort 
aber enger zusammenarbeiten, um das Auftreten solcher Angriffe zukünftig zu 
verhindern.


Wir möchten Sie davon in Kenntnis setzen, dass die Bewältigung dieses 
Problems enormen Aufwand verursacht. Uns ist ernsthafter Schaden 
entstanden, viele unserer Kunden waren betroffen. Unsere Techniker sind 
damit beschäftigt, die betroffenen Netzwerksegmente wieder erreichbar zu 
machen. Unsere Supporter müssen Unmengen an Beschwerden aufarbeiten. Ein 
großer Teil des gesamten Unternehmens ist gezwungen, sich mit dieser 
Angelegenheit zu beschäftigen, anstatt der regulären Arbeit nachzugehen. 
Sämtlicher, zusätzlicher Aufwand wurde durch Ihren Server verursacht.

Unter Berücksichtigung der genannten Punkte müssen wir eigentlich auf 
vollständiger Wiedergutmachung des Schadens bestehen. Wir werden in diesem 
Fall jedoch ausnahmsweise davon absehen. Diese Ausnahme ist einmalig und 
kann nicht noch einmal gewährt werden.


Wir möchten betonen, dass wir solche oder ähnliche Vorfälle in Zukunft nicht 
mehr tolerieren können. Sollte einer Ihrer Server jemals wieder ein 
vergleichbares Problem verursachen, werden wir Schadenersatz fordern. Eine 
sofortige, fristlose Kündigung könnte ebenfalls letzte Konsequenz sein.

In der Zwischenzeit werden wir das Netzwerk genau beobachten und auf 
weitere Informationen von Ihnen warten. Erst wenn der Netzwerkangriff 
beendet ist und wir eine Antwort von Ihnen erhalten haben, können wir Ihren 
Server wieder entsperren.


Vielen Dank für Ihre Zusammenarbeit.


--
Mit freundlichen Grüßen
 
***
Technischer Support / Technical support

Na da habe ich blöd geschaut, denn weder diese Page für den Netzwerkstatus bei Contabo zeigte eine Beeinträchtigung noch diese diversen
Livemaps für solche Angriffe - normales Grundrauschen..mehr nicht

Also war von einem solchen gigantischen Angriff nichts zu sehen. Aber was ich nun sehr verwunderlich fand, ist die Androhung von Schadensersatz etc.

Ich habe dann bei Contabo gefragt, wo in den AGBs steht, dass ich für Schäden an Ihrer Infrastruktur haftbar gemacht werde, wenn ich damit überhaupt nichts zu tun habe. Angemerkt sei... auf dem Server war nur unwichtiger Kram der eigentlich keinen Interessiert ^^ Also nichts provokantes etc.

Das sollten Sie mir mal genauer erklären.

Dann bekam ich folgende Antwort....

Sehr geehrter Herr***,

Vielen Dank für Ihre Antwort.

Sie können für Schäden und Ausfälle in unserem Netzwerk haftbar gemacht
 werden.

Seien Sie jedoch versichert, dass dies nur in sehr extremen Fällen der Fall 
sein wird. In dem aktuellen Fall werden Ihnen keine Kosten berechnet.

Sollte ein derartiger Angriff jedoch erneut geschehen, könnte es sein, dass 
wir Ihnen, um unsere anderen Kunden zu schützen, leider kündigen müssten. 
Aber soweit ist es zum Glück noch nicht!

Sobald Sie akzeptiert haben, dass Sie versuchen solche Angriffe zu 
vermeiden, können wir Ihren VPS 24 Stunden nach angriff wieder freischalten. 
Dies wäre morgen um 20:00 der Fall!

Leider ist es nicht immer leicht den Täter hinter solchen Angriffen ausfindig zu 
machen. Vielleicht ein Mitbewerber? Wurde Ihnen gedroht?

Falls Sie weitere Fragen haben oder wir Ihnen anderweitig behilflich sein 
können, lassen Sie es uns wissen.

--
Mit freundlichen Grüßen
***
Technischer Support / Technical support

Tja was soll man nun sagen ... Ich habe einmal bei meiner Rechtschutz angerufen und mich beraten lassen. Der Anwalt meinte die Aussage von Contabo sei "Unfug" aber ich solle mir überlegen mit so einer Firma noch zusammen zu arbeiten.

So habe ich dann auch in meiner Antwort an Contabo die Kündigung aller meiner Server bei denen inkl. Domains erklärt.

Ist das nun neu in der Szene den Kunden so zu drohen ? Also ich habe immer Notrufnummern hinterlegt bei denen man mich 24h/7d anrufen kann. Eine kurze Info und fertig. Bisher habe ich von Dos Angriffen (bei anderen Anbietern) entweder nichts bemerkt und bei Hosteurope hat man sich sogar immer entschuldigt, wenn der Dienst wegen eines Angriffes (kam in 5 Jahren 3x vor) nicht erreichbar war.

Aber Server mal pauschal noch 24h nach dem Angriff aus dem Netz zu nehmen ist unmöglich wie ich finde. Da kann man ja produktiv überhaupt nichts anfangen.

Jemand ähnliche Erfahrungen mit denen gemacht ?

 

[PitbullOL]

Also meine Persönliche Meinung habe noch nie sowas unpersönliches wie hier gelesen, es liest sich wirklich wie eine Vorlage wo man nur C&P den Namen einsetzt, ich gehe davon aus das es auch so ist und das als Seriöse Anbieter ist ein No Go.

Da ist nicht ansatzweise dargestellt was passiert evtl. auszug ip`s ectpp.

Contabo sollte mal über DDos Schutz nachdenken.

Wenn die so ein massives Problem mit deinem Server haben und alle Mitarbeiter nur wegen dir Arbeiten dann können sie dir doch mitteilen was sie alles gemacht haben oder ?

Haftung naja es gibt urteile die den Anbieter stärken aber nehmen wir mal an deine IP vom vps wurde schon 20 Kunden zugewiesen die damit sich attraktiv gemacht haben für Botnetze da kannst du ja nichts für das du so eine zugewiesen bekommst das ist das Problem vom Anbieter.

Ein Bekannter hatte bei Webtropia auch mal so ein fall DDos Protection griff mehrmals nach Rücksprache mit Webtropia die sehr Hilfsbereit sind gab es eine neue IP und siehe da alles lief wieder rund Anbieter und Kunde zufrieden.

Ich wollte auch mal Kunde bei Contabo werden aber wenn man so etwas liest nein danke ganz großen bogen machen.

An deiner Stelle Server runterfahren und Kündigen!

Ein anderen Anbieter suchen mit dem im Vorfeld besprechen was du vor hast und was passiert im fall X.

LG

P.S. sind alles meine ansichtspunkte.

 

[Rukola]

Ich denke mal da läuft alles am Limit und ist auch so kalkuliert. Sonst könnten die ihre Preise nicht halten.

Was ich aber nun totalen Zirkus finde, ist das hier:

Auszug:

"Zudem möchten wir Sie informieren das wir Ihren VPS frühestens um 20 Uhr heute Abend, wie bereits erwähnt freischalten können. Bitte senden Sie uns noch eine Bestätigung Ihrerseits, dass Sie versuchen solche Angriffe zukünftig zu vermeiden. Sobald wir Ihre Antwort erhalten haben wird Ihr Server um 20:00 Uhr wieder aktiviert."

Was habe ich denn damit zu tun ??? Wie soll ich denn so etwas vermeiden ? Ich hoste keinen kritischen Inhalt und habe entsprechend der mir zur Verfügung stehenden Mittel entsprechende Einstellungen vorgenommen. Was wollen die damit bezwecken ???

 

[MadMakz]

Dieses schreiben ist an Inkompetenz nicht zu überbieten

...Bitte nennen Sie uns eine Möglichkeit, solche Angriffe in Zukunft zu
vermeiden...

Was soll man dazu noch sagen?

Dann gibt es nur eine
Möglichkeit: Nicht die angreifenden IP-Adressen (von denen es unzählige
geben kann) zu blocken, sondern die angegriffene IP-Adresse.

Korrekt! Oder man investiert in die "Zukunft" und bringt sein RZ auf einen Technikstand von wenigstens 2012. Oder einsehen das "6x 10GBits" (lt. HP) vielleicht nicht mehr ganz so ausreichen.

Ein
großer Teil des gesamten Unternehmens ist gezwungen, sich mit dieser
Angelegenheit zu beschäftigen, anstatt der regulären Arbeit nachzugehen.

Willkommen im Leben

, viele unserer Kunden waren betroffen.

Nö, denn "ihr" habt ja...

sofort reagieren und Ihren
Server temporär sperren.

Sollte einer Ihrer Server jemals wieder ein
vergleichbares Problem verursachen, werden wir Schadenersatz fordern.

Also hat der Server sich selbst einem DDoS unterzogen?

müssen wir eigentlich auf
vollständiger Wiedergutmachung des Schadens bestehen

AFAIK fehlt dazu jegliche rechtliche Grundlage soweit nicht beweisbar ist das Kunde den Angriff in Auftrag gegeben hat.

Sobald Sie akzeptiert haben, dass Sie versuchen solche Angriffe zu
vermeiden

Das müsst "Ihr" schon weiter definieren denn das ist nicht einmal ansatzweise in der Theorie möglich, sofern nicht gegen Inhaltsverbote in eurer AGB verstoßen wird welches derartiges provozieren könnte.
Ihr hab't ja nicht einmal so viel Info weitergegeben das Kunde gar Anzeige gegen Unbekannt erstatten hätte können.


Ich hätte als Betreiber ganz einfach geschrieben;

"Bitte nehmen sie unsere optionales Anti-DDoS Paket in Anspruch (sofern vorhanden), da wir andernfalls für die Erreichbarkeit ihres Servers nicht mehr garantieren können".

 

[Rukola]

Ich hätte als Betreiber ganz einfach geschrieben;

"Bitte nehmen sie unsere optionales Anti-DDoS Paket in Anspruch (sofern vorhanden), da wir andernfalls für die Erreichbarkeit ihres Servers nicht mehr garantieren können".

Ganz genau, so etwas würde ich dann eher erwarten. Ich habe die Kündigung schon verschickt. Ich möchte meine Daten nicht nur vom letzten Backup ziehen, also muß ich noch einmal an den Server. Also habe ich wie ein kleiner Junge der beim Kuchen klauen erwischt wurde mich brav gebückt. Alternative wäre nochmals beim Anwalt anrufen ...aber mir ist das zu doof da noch ein großes Faß aufzumachen.

Das ärgerliche ist halt, dass nach dem Angriff erst nach maximal 24h und nach so einer dämlichen "Entschuldigung" der Server wieder ins Netz genommen wird. Fast schon bissl Erpressung ...

 

[IP-Projects.de]

Ein DDoS Schutz wie Voxility ist eigentlich genau für solche Sachen ausgelegt und man muss ja nicht permanent darüber routen. Sehr komisch die Sache.

 

[virtual2]

Ein DDoS Schutz wie Voxility ist eigentlich genau für solche Sachen ausgelegt und man muss ja nicht permanent darüber routen. Sehr komisch die Sache.

Auch eine vernünftig aufgebaute Infrastruktur mit Schutzmechanismen wie Blackholing wirkt. Wer sein Netz offensichtlich noch nicht auf dem technischen Stand von 2016 betreibt um weiterhin derlei Dumping auf niedrigsten Niveau zu realisieren, dem wünsche ich es nicht anders.

@TE: Was erwartest du von derart niedrigen Preisen - doch nicht ernsthaft Qualität oder gar Kompetenz?

@Contabo: fastnetmon, angucken - testen - nutzen, danach solche Angstmacherei unterlassen. Ich traue mich zu wetten das hier jemand von dem Zirkus mitliest.

 

[Rukola]

Also alles gekündigt, aber ein Sonderkündigungsrecht will man ...oder besser bräuchte man mir nicht geben. Ich bin doch ein wichtiger Kunde den man nicht verlieren will *hust*

Übrigens wird man auch im Verwaltungspanel immer wieder unterschwellig an den Pranger gestellt, aber schaut selber was ich da für einen Eintrag gefunden habe ^^

 

[andreas0]

Übrigens wird man auch im Verwaltungspanel immer wieder unterschwellig an den Pranger gestellt, aber schaut selber was ich da für einen Eintrag gefunden habe^^

Ich persönlich würde es eher so interpretieren, dass man dir die Kosten erlassen hat und du mit weiteren Kosten nicht mehr rechnen mußt. Eventuell sollte man nicht alles überbewerten, sondern dem Provider in diesem Fall mal dankbar sein, dass er zumindestens dir im Kundenbereich diese Information hinterlegt hat. Denn diese Information sieht im Normalfall nur der betreffende Kunde.

 

[Rukola]

Hallo Andreas,

ich glaube ich habe mich unpräzise ausgedrückt. Natürlich kann das nur ich als Kunde sehen, aber es ist sehr nett (ironisch gemeint), dass man noch zusätzlich auf diese Art dauerhaft auf einen "Verstoß" aufmerksam gemacht wird. Auch wenn man nichts damit zu tun hat. Ich denke mal du hast dir nicht den ganzen Vorgang durchgelesen worum es hier im Prinzip geht !?

Denn dankbar brauchst da für so etwas nicht sein

Wenn dein Zug für den du ein Ticket gelöst hast, vor dem Bahnhof aus dem Gleis springt und somit den ganzen Bahnhof blockiert. Dir als Fahrgast dann die Bundesbahn die Kosten auferlegen will (oder droht) , dann bin ich mal gespannt wie weit deine Dankbarkeit geht , denn so in etwa liegt die Sache

 

[Deleted member 11740]

Mich würde es auch stören jedes mal aufs erneute drauf hingewiesen zu werden, dass man angegriffen worden ist und man selbst dafür auch noch die Schuld tragen soll. Wenn man so argumentiert, könnte man so ziemlich alles verdrehen.

- Wenn die sich mit Friedensexplosionskörpern beschmeißen lassen, dann ist das doch deren Schuld
- Wenn sich Frauen vergewaltigen lassen, sind sie selbst Schuld
- Alle Opfer haben ihre Lage selbst herbeigeführt...

Menschlich gesehen ist das unterste Schublade und ich würde eine Entschuldigung fordern! Falls diese nicht kommt, weißt du ja was du zu tun hast. Es gibt auch noch Hoster, die sich um ihre Kunden kümmern.

 

[Rukola]

Na eine Entschuldigung oder ähnliches erwarte ich nicht mehr. Ist ja nun alles gekündigt. Ich suche aktuell einen Nachfolger und dann werden die Server ganz schnell leergeräumt und abgeschaltet. Laufen halt noch fast 2 Monate ...Kündigungsfrist etc.

Diesmal nehme ich auch wenn die beiden Server eher unwichtig waren wieder mehr Geld in die Hand.

Ach übrigens ... Den letzten Schriftwechsel möchte ich euch nicht vorenthalten. Mir wird zu der Nutzung von Cloudflare geraten ^^ Die angeforderten Logs waren mehr als dürftig (im Grunde nichts) und auf meine Frage wie denn die Schritte waren welche durchgeführt wurden, bevor der Server abgehängt wurde ... na da kam nichts zurück.

Sehr geehrter Herr ***

vielen Dank für Ihre E-Mail.

Leider ist es nicht ganz einfach, sich gegen einen DDoS Angriff zu schützen. 
Firewall Regeln werde nicht viel nützen. Viele unserer Kunden verwenden 
Cloudflare um Ihre IP zu verschleiern. Cloudflare bietet darüber hinaus extra 
DDoS Schutz Optionen. 

https://www.cloudflare.com/ddos/

Im Anhang schicken wir Ihnen einen Auszug aus unserem Log mit den 
angreifenden IP Adressen.
Falls Sie weitere Fragen haben oder wir Ihnen anderweitig behilflich sein 
können, lassen Sie es uns wissen.

--
Mit freundlichen Grüßen
 
***
Technischer Support / Technical support

Die sollten ja eigentlich mich "schützen" oder Schutz anbieten (auch kostenpflichtig) oder besser und viel wichitger ...sich selber besser schützen

 

[Deleted member 14422]

Die Story bestätigt nur meine Meinung über Contabo... danke dafür!

 

[andreas0]

Auch wenn man nichts damit zu tun hat. Ich denke mal du hast dir nicht den ganzen Vorgang durchgelesen worum es hier im Prinzip geht !?

Hallo Rukola,

bevor ich heute Morgen meinen Beitrag reingestellt hatte, habe ich mir deinen hilfreichen Erfahrungsbericht mit dem Provider Contabo schon angeschaut. Aber dennoch habe ich mal aus meiner Sicht als neutraler Zuschauer dargestellt, wie ich diesen Vorgang, "Reaktivierung Netzwerkstörung [1. Vorfall]", der bei dir als bezahlt gekennzeichnet ist, interpretiere bzw. sehe.

Wenn mir ein Provider solche Probleme machen würde, wie du sie bei deinem jetzigen Provider Contabo erleben mußtest, würde ich natürlich auch recht schnell alle meine Verträge bei dem kündigen, um Folgekosten zu begrenzen. Da bin ich also auch ganz bei dir.

 

[derWachert]

Kündigen kann dir der Provider jederzeit, fristgerecht. Je nach AGB auch fristlos.

Aber Schadenersatz verlangen wenn du das Opfer bist? Dafür müsste man erstmal nachweisen das du in irgendeiner Weise deine Pflichten vernachlässigt hast.

Sind halt die üblichen Phrasen einiger Anbieter um Druck aufzubauen. Da kommt in der Regel nix außer dann einer Kündigung. Wenn doch was kommt, ist das Thema mit einem Anwalt sehr schnell aus der Welt geschafft. Wenn man sich entsprechend artikulieren kann, löst man es auch selbst.

Manche Anbieter nutzen solche Droh-Tiraden sogar im Buchhaltungsbereich, Waldorfschule lässt grüßen

Nach einer solchen Mail würde ich halt einfach den Anbieter wechseln zu einem der eine ordentliche DDoS Protection einsetzt anstatt mit dem Wikipedia Trashtalk zu kommen das DDoS Abwehr ja nicht so einfach wäre...

Der Anbieter hat zumindest reagiert und ordentlich artikuliert, auch wenn die Argumentationsgrundlage schlichtweg ein Abklatsch von Frau Holle ist