Strato hat vServer gesperrt wegen angeblichem DDoS

D

Daretar

PHP Entwickler
Hallo miteinander,

ich habe bei Strato einen kleinen vServer für Nagios. Heute morgen um 7 Uhr wurde der Server gesperrt wegen angeblichem ausgehenden DDoS.

Ich habe die Kiste dann im Rescue Modus gestartet und alle Log Dateien durchforstet und rkhunter ausgeführt.
Als ich da nichts finden konnte habe ich den Server wieder normal gebootet und den Traffic im Auge behalten. Nichts besonders. Auch bei den ein- ausgehenden Verbindungen nichts besonders.

Kurz vor der Sperrung hatte ich einen Peak von 120Mb/s wegen einem Backupscript. Kann es sein, dass Strato etwas über vorsichtig ist, oder sollte ich sicherheitshalber neuinstallieren?
 
Hallo,


Nagios baut je nach Anzahl der Dienste ja eine beachtliche Anzahl an Verbindungen auf. Diese könnten unter Umständen ja als DoS gewertet werden. Fordere doch bei Strato einmal einen Logauszug an. Wenn hier die IP-Adressen enthalten sind die überwacht werden sollen, ist die Meldung vermutlich ein Fehler.


Viel Erfolg!

Felix
 
Du wirst doch wohl mehr Informationen von Strato bekommen haben, als nur das diffuse "wegen angeblichem ausgehenden DDoS."?
 
Nicht so wirklich ^^


hiermit möchten wir Sie davon in Kenntnis setzen, dass von Ihrem Server h******.stratoserver.net mit der
Auftragsnummer ***** eine Denial of Service Attacke (DoS-Attacke) ausgeht bzw.
an einer Distributed Denial of Service Attacke (DDoS-Attacke) beteiligt ist.
Sollte die DoS-Attacke nicht durch Sie initiiert worden sein, ist anzunehmen, dass sich ein Dritter Zugang zu den root-Benutzerrechten auf Ihrem Server verschafft hat.
Die von Ihrem Server ausgehende DoS-Attacke beeinträchtigt die technische Infrastruktur der
STRATO AG in einer nicht akzeptablen Art und Weise und verstößt gegen die
Regelbetriebsbedingungen unserer Allgemeinen Geschäftsbedingungen, jederzeit einsehbar unter
https://www.strato.de/agb/

Wir sehen uns leider gezwungen Ihren Server zu sperren, bis Sie die Fehlfunktion Ihres Servers
korrigiert haben.

Bitte bestätigen Sie die Behebung der Fehlfunktion im Kundenservicebereich
(https://config.stratoserver.net/), um die Sperrung aufzuheben.
Für weitere Fragen stehen wir Ihnen jederzeit gern zu Verfügung.

Mit freundlichen Grüßen

Ihr STRATO Server Team
Click to expand...
 
Ein Strato Hotline Mitarbeiter hat mir am Telefon mitgeteilt, dass die Sperrung für ihn nicht mehr nachvollziehbar sei. :eek: :eek: :eek:

Logauszüge könnten Sie mir nicht zur verfügung stellen. :confused: Allerdings würde der Traffic zum Zeitpunkt der Sperrung für ihn nicht nach DoS aussehen.

Nach mehrfacher Aufforderungen wurde der Fall jetzt nochmal an die Abuse Abteilung weitergeleitet.

Wie um alles in der Welt wird da denn gearbeitet. Server abschalten, aber auf Nachfrage nicht mal einen Nachweis bieten können.

@Felix
Danke für den Tipp. Aber ich bekomme ja keinen Logauszug :(
Kleine Info am Rande (keine Ahnung ob man das hier überhaupt sagen darf ^^) ich habe die kritischen Sachen heute morgen zu Euch umgezogen. Bei so einer Vorgehensweise seitens Strato ...
 
Last edited by a moderator:
Bitte :-)

Kleine Info am Rande (keine Ahnung ob man das hier überhaupt sagen darf ^^) ich habe die kritischen Sachen heute morgen zu Euch umgezogen. Bei so einer Vorgehensweise seitens Strato ...
Click to expand...

Oh, dass wusste ich nicht. Natürlich freuen wir uns über neue Kundschaft :-)

Bei uns gibt es einen Log-Auszug oder eine ähnliche Information wenn wie sperren müssen. Zudem versuchen wir nach Möglichkeit immer vorher anzurufen.
 
Bei STRATO bekommt man normalerweise auch ausreichende Informationen.

Ich geh davon aus und ich bin mir auch ziemlich sicher, dass man nicht gesagt habe.
Was genau für Logauszüge man haben möchte und auch nicht genannt wurde, wofür überhaupt.
 
[netcup] Felix;363123 said:
Zudem versuchen wir nach Möglichkeit immer vorher anzurufen.
Click to expand...

Falls ich mal wechsle, weiß ich wohin ich gehen werde. Die Massenhoster sind zwar billig, aber dafür wird man als Kunde auch wie Massenware abgefertigt.
 
@Manu
Ich weiß nicht wie du es angestellt hast, aber mir hat man unmissverständlich klar gemacht, dass es nicht vorgesehen ist an Kunden Log Dateien auszuliefern.

Ich solle mich hierzu zwar nochmal an die Abuse Abteilung wenden, der Hotline Mitarbeiter sah dafür allerdings keine Aussichten.

Meiner Meinung nach kein gutes Vorgehen. Ich verstehe ja, dass ein Massenhoster wie Strato sein Netz sauber halten muss (vorallem bei den ganzen Kindern, die da Server mieten wegen Plesk)
Und ich verstehe auch, dass die automatische Abuse Meldungen verschicken und meinentwegen auch gleich sperren.

Aber auf Nachfrage muss Strato doch in der Lage sein, mir die Sperrung zu rechtfertigen?! Mal abgesehen von dem rechtlichen Aspekt.



Ich habe gestern Mittag einen befreundeten Systemadministrator an die Kiste rangelassen. Er konnte nach 4 Stunden Arbeit mehr oder weniger garantieren, dass die Kiste nicht kompromittiert ist und dass der Traffic zu dem Zeitpunkt der Sperrung nicht mal annähernd wie DoS aussieht.

Alles in allem: Experiment Strato gescheitert
 
Wie gesagt, STRATO liefert normalerweise zu 100% ausreichende Informationen.
Um eine Sperrung wieder aufheben zu können.

Fakt ist: Ich kann es zwar nicht selber beweisen aber beweisen kann man es jedenfall, dass STRATO nicht umsonst sperrt.

Eigene Erfahrung als ehemaliger Kunde.
 
Es sagt ja keiner, dass unberechtigt gesperrt wird.
Wenn aber im konkreten(!) Fall(!) keine Informationen geliefert wurden, dann finde ich das auch absolut nicht in Ordnung.
 
Viieleicht wurde ganz einfach nicht gesagt, welche Informationen zum beheben benötigt werden.

Einfach so irgendwelche Informationen würde ich auch nicht raus geben und das ist so wieso eine Angelegenheit , um der die Abuse Abteilung kümmern muss.

Der Support hinterm Telefon hat nämlich auf solche Informationen schonmal gar kein Zugriff drauf. An so einem Zugriff hat die Kundenbetreuung auch nichts verloren.
 
Naja, dazu schrieb er doch was?
Aber mir ist das sowieso egal, ich bin dort kein Kunde und das bestätigt mich nur wieder.
 
Meine Lösung zu....Strato hat vServer gesperrt wegen angeblichem DDoS

Wir hatten das gleiche Problem.

4mal haben wir den Strato-Server neu aufgesetzt (aufsetzen lassen) und nach 2-3 Tagen kam von Strato wieder der DDoS-Vorwurf.

Meine persönliche Lösungs-Meinung: PLESK deinstallieren.

Erst nachdem wir die Neuinstallation OHNE dieses PLESK-Zeug gemacht haben, war unser Strato-Server scheinbar "sicher".

Also, falls PLESK installiert ist, einfach mal ohne probieren....
 
Ralf M. said:
(...)nach 2-3 Tagen kam von Strato wieder der DDoS-Vorwurf.

Meine persönliche Lösungs-Meinung: PLESK deinstallieren.

Erst nachdem wir die Neuinstallation OHNE dieses PLESK-Zeug gemacht haben, war unser Strato-Server scheinbar "sicher".
Click to expand...
Linux-Server sind auch mit installiertem Plesk sicher und erzeugen kein DDos.

Wäre dem nicht so, hätten schon einige hier seitens des Anbieters Sperren und von anderen Abuse-Mails bekommen.
 
Last edited by a moderator:
Ralf M. said:
4mal haben wir den Strato-Server neu aufgesetzt (aufsetzen lassen) und nach 2-3 Tagen kam von Strato wieder der DDoS-Vorwurf.
Click to expand...
Gab es denn in deinem Fall auch keinerlei Detailinformationen? Wir fügen immer einen Trafficdump bei, wenn ein Server wegen ausgehender Angriffe gesperrt wird.

Ralf M. said:
Meine persönliche Lösungs-Meinung: PLESK deinstallieren.
Click to expand...
:rolleyes: Oder halt das Administrieren eines Servers erlernen.
 
Was sich mir nicht klar ist, was hat Plesk mit ausgehendem Traffic zu tun. Kónnte nur am Backup auf extern FTP liegen?
Das hat aber nichts mit ddos zu tun?
 
Mit Plesk hat es rein gar nichts zutun und dieser Blödsinn sollte auch ganz schnell mal aufhören.

Da müssten andere Admin-Software's auch für DDoS verantwortlich sein.

Aber nochmal:

Einfach die Abuse Abteilung kontaktieren, Informationen einfordern und fertig.

Inbesondere: Die Kundenbetreuung in Ruhe lassen, die können nämlich nichts liefern.
 
1.) Ein einzelner Host kann schon per Definition keinen DDoS ausführen, maximal einen DoS.
2.) Der Kundensupport ist für derartige technische oder administrative Belange weder zuständig noch qualifiziert.
3.) Es sind hierfür ausschliesslich die Abuse-Teams und/oder Netzwerk-Admins zuständig.
4.) Wer auf Grund seines eigenen mangelhaftem Grundlagenwissen keine vernünftig formulierte Anfrage an die zuständige Abteilung stellen kann, der sollte sich mit jeglicher Kritik an unschuldigen Supportmitarbeitern zurückhalten.
5.) Auch bei Strato bekommt man von der jeweils zuständigen Abteilung ausreichend detailierte Informationen zur Verfügung gestellt, wenn nötig auch in Form von Logs, um das Problem zu lösen.
6.) ...

Also stelle erstmal der richtigen Abteilung die richtige(n) Frage(n), bevor Du hier Unschuldige anprangerst. Bisher liegt der schwarze Peter nämlich einzig und allein bei Dir und nicht bei Strato...
 
Durch diesen Beitrag wurden meine Beiträge jetzt bestätigt, dass nunmal wirklich so ist wie ichs geschrieben habe.
 
You must log in or register to reply here.
Back
Top