Strato hat vServer gesperrt wegen angeblichem DDoS

Für mich hat sich der Fall mittlerweile aufgelöst. Der Fehler lag übrigens eindeutig bei Strato, es wurde nämlich normaler ausgehender Traffic von Nagios (nein ich betreibe dort keinen Server mit Plesk) als DoS fehlinterpretiert.

Ich sehe das übrigens ein wenig anders wie Joe User und Manu. Erster Ansprechpartner für mich als Kunden ist die Hotline, die bei Strato als "technischer Support" ausgeschrieben ist. Es ist nicht meine Aufgabe als Kunde mir die interne Unternehmensstruktur von Strato anzueignen. Vor allem wenn die Meldung zur Sperrung von service@strato.de kommt. Eine E-Mail Adresse auf die ich nicht antworten soll/kann.

Ich als Kunde rufe also bei Strato die technischen Hotline an. Der Mitarbeiter sagt mir dort wörtlich: "keine Chance". Ich melde mich dennoch bei der Abuse Abteilung (die e-Mail Adresse hatte ich von dem Support Mitarbeiter). In der Meldung an die Abuse Abteilung sende ich eigene Logauszuüge und Munin Grafiken mit. 1 Tag später kommt die Meldung, dass der Traffic fehlinterpretiert wurde und man sich entschuldigt.

Also lasst uns ein Resümee ziehen: Strato sperrt meinen Server (unberechtigt? keine Ahnung!). Der Support gibt mir die Auskunft: Strato würde keine Log Auszüge bereitstellen.
Ich würde unter Umständen auf meinen Kosten für Ausfall und externe Beweissicherung für einen etwaigen Einbruch sitzen bleiben.

Da könnt ihr mir hier soviel erzählen wie ihr wollt. Für mich ist dieses vorgehen unprofessionell. Und selbstverständlich mache ich den "armen" Hotline Mitarbeiter mitverantwortlich. Oder ist es nicht die Aufgabe des Supports/Hotline die Kunden korrekt und zielführend zu beraten bzw. zu unterstützen. Freundlich und höflich war er ohne Zweifel und natürlich kann ein Hotline Mitarbeiter auch nicht alle technischen Details wissen. Aber dann sollte er direkt auf die Abuse Abteilung verweisen und nicht solche, vielleicht falschen, Aussagen treffen.

Alles in allem hält sich mein Schaden jedoch in Grenzen. Der Strato vServer ist schnell gekündigt und Nagios auch kein Schlüsselsystem meines Geschäfts. Ein Ausfall von 1-2 Tagen ist also durchaus verkraftbar. Umgezogen, gekündigt, fertig.

Danke für die Hilfe!
 
Da stimme ich dir durchaus zu. Alles in allem wäre der Fall vermeidbar gewesen, wenn vor der Sperre eine manuelle Prüfung erfolgt wäre (offenbar läuft das da ja vollautomatisch). Wir erkennen einen potenziellen Angriff ebenfalls automatisiert, prüfen aber vor einer Serversperrung immer manuell den Traffic. Bislang ohne nachträglich festgestellten False-Positive-Fall. :)
 
Du stellst im Autohaus also Deine technischen Fragen der Dame am Empfang statt dem KFZ-Mechaniker in der Werkstatt und erwartest von ihr eine fundierte Antwort?

Sorry, aber jeder professionelle Hoster hat die gleiche "interne Unternehmensstruktur" wie Strato, denn die Zuständigkeiten ergeben sich automatisch aus den Aufgabengebieten.

Nach Deiner Logik hättest Du auch in der Buchhaltung eine fundierte Antwort auf Deine Abuse/Netzwerk-Frage erhalten müssen. Kannst Du ja bei Deinem neuen Hoster testen, viel Glück...



Wie kann man nur so ***
 
Auch in einem Autohaus gehe ich nicht an der Empfangsdame vorbei direkt zum Mechaniker.

Ich trage dem Empfang mein Anliegen vor und erwarte von diesem zu mindestens die Weiterleitung an die richtige Abteilung (Mechaniker) ohne die Info zu bekommen: vergessen sie es.

Nach Deiner Logik hättest Du auch in der Buchhaltung eine fundierte Antwort auf Deine Abuse/Netzwerk-Frage erhalten müssen. Kannst Du ja bei Deinem neuen Hoster testen, viel Glück..
Click to expand...
Hätte ich das erwartet hätte ich bei der Vertrags-Hotline angerufen. Ich habe aber bei dem technischen Support angerufen.

Das Vorgehen ist schlicht nicht kundenfreundlich. Und wie PHP Friends bereits sagte und Netcup auch schon angedeutet hat ist diese Art der Sperrung ohne nach kontrolle bzw. persönlichen Kundenkontakt doch sehr mager. Aber zugegeben, würde ich das erwarten wäre ich nicht bei einem Massenhoster wie Strato. Wie gesagt. Das ist nur ein Nagios XI.
 
Last edited by a moderator:
Ich sehe das auch so wie der TE, klarer Fehler vom Strato Supporter. Wenn man keine Ahnung hat sollte man wissen an welche Abteilung man den Kunden verweist um die benötigten Infos zu erhalten, die getätigten Aussagen sollte man dabei tunlichst unterlassen.

Hier im Forum sind einige wenige User aber voreingenommen und pro Hoster eingestellt bzw. vertreten den Gedanken "Alle Kunden sind doof!" dabei ziehen Sie haarsträubende Vergleiche zurate. Im Mix mit "Ich weiß alles besser!" macht es da meistens auch wenig Sinn sich weiter mit denen zu unterhalten bzw. ist es dann auch nicht mehr zielführend.

-Just my two cents-
 
Schrieb der OP nicht, dass der Supporter auf die Abuse-Abteilung verwies?
Also was hat der Supporter nun falsch gemacht? Richtig, gar nichts.

Sorry, aber dieses unberechtigte Anbieterbashing geht gar nicht.

Ist eigentlich Stratos Rescuesystem immernoch kaputt, oder ist der Bug bezüglich der Pfadlänge in dessen tar mitlerweile gefixt? Gemeldet hatte ich Strato den Bug schon vor über 10 Jahren...
Oder existiert der völlig ungeeignete SSH-Konsolenserver?
Über solche Dinge kann beziehungsweise konnte man sich bei Strato zu Recht aufregen, aber der Support war schon immer freundlich, hilfsbereit und ausreichend gut technisch versiert/geschult und bei freundlichen, sachlichen Kunden haben sie sich schon immer bemüht, individuelle Lösungen abseits der vorgegebenen Richtlinien und Vorschriften zu finden. Mir fallen spotan sechs hier im Forum vertretene Anbieter ein, bei denen der Support nichtmal halb so kompetent und hilfsbereit ist, wie bei Strato.
 
Nochmal zum mitschreiben:
Der telefonische technische Support bei STRATO ist nur eine Kundenbetreuung, da diese aber grundsätzlich keinen Zugriff auf die Daten von der Abuse Abteilung hat bzw. vom gesamten Rechenzentren von STRATO.

Ist der Ansprechpartner die entsprechenden Abteilungen in Rechenzentren von STRATO.

Denn die Kundenbetreuung arbeitet an ganz andere Standorte und nicht direkt in den Rechenzentren, bei Providers wie Hetzner ist es jedoch ganz anders.
Bei STRATO ist es nunmal so wie ichs beschrieben habe.

Joe User: Als ich dort Kunde war, hatte ich keinerlei Probleme.
Also es gab keine Bugs.

Der wechsel zu hetzner hat aber nur eine Begründung, Bedürfnis auf mehr IPv4 Adressen. Was STRATO jedoch nicht bietet.
Ansonsten wäre ich dort bis heute noch Kunde gewesen.
 
Last edited by a moderator:
Es war doch ein Einbruch

Hallo Leute,

nun habe ich mich extra mal angemeldet, weil ich bei euch genau meinen Problemfall gefunden habe und will euch auch gleich mal meinen Fall schildern:

Strato hat meinen vServer gesperrt und mich per SMS darüber informiert. Auch eine automatische Mail kam gleichzeitig. Eine erste Log-Prüfung ergab erstmal keine Anhaltspunkte. Eine Shell hat niemand bekommen. SSH hat auch nur die üblichen Angriffe gezeigt. rkhunter war auch nicht erfolgreich.
Also Mail an Strato geschrieben (über deren Kontaktformular), daß da was nicht stimmen kann, weil auch der "Traffic Monitor" von Strato nicht schlüssig zwischen angezeigter Messgrafik und Trafficsumme war und meine Logs nichts zeigten. Nach fünf(!) Tagen nun die Antwort, daß mein Server tatsächlich dabei war. Also nochmal näher geforscht: Und siehe da - Apache hat's tatsächlich erwischt! Mit einer (offenbar) PHP-Injection. Habe das nette Script auch vom selben Injector-Server noch laden können und auch bei einem Sammler auf Github im Netz gefunden.

https://github.com/nikicat/web-malware-collection/blob/master/Bots/Perl/sexi.txt

Das Script macht einen IRC Server auf. Dann wurden massenhaft UDP-Pakete gesendet (einige GB!).
Wenn es interessiert kann ich auch mal die entsprechenden Logeinträge posten, an denen man den Einbruch schön nachvollziehen kann.
Was mich aber wundert: Ich habe erst kürzlich den Shellshock-Patch aktualisiert und das Script ist sehr viel älter als mein Server läuft. Und trotzdem ist er angreifbar. Das ist wirklich irritierend. Das Script ist mindestens schon 10 Jahre alt!

http://www.redhat.com/archives/rhl-list/2005-March/msg00516.html

Wenn man die Suchmaschine seiner Wahl mit einigen Wortgruppen aus dem Script füttert wundert man sich, wo das alles zu finden ist!
Mein Server ist erstmal "down for maintanance".
Und was Strato betrifft: Sie könnten etwas (viel) schneller reagieren und präzisere Infos liefern. Aber sonst machen die ihre Arbeit schon ordentlich.

/Edit: Es war nun doch ShellShock. Der PHP-Versuch war dem Angreifer einige Tage vorher aber auch irgendwie zumindest teilweise geglückt. Ich bin ziemlich schockiert zumal ich die Shell extra noch aktualisiert habe. Da war wohl doch der erste Patch der Shell noch nicht so richtig ausgereift. Und das Script: Naja, auch wenn es alt ist und rkhunter es nicht im Log gesehen hat war trotzdem die Shell dran schuld. Schade.
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top