Abuse Report und seine Folgen?

#1

Ich bezieh mich mal auf diesen Post:

Wo steht denn geschrieben, was bei einem abuse report zu tun ist bzw. wer klagt das wie ein?

0 Likes

#2

Ich kann dich gerne auf die Infoseite unseres Hosters verweisen: https://wiki.hetzner.de/index.php/Leitfaden_bei_Serversperrung

Eine Sperrung des Servers erfolgt allerdings meist erst, wenn dem initialen Abuse Report keine Antwort gegeben wurde, oder die erforderten Ma├čnahmen nicht durchgef├╝hrt werden.

Sollte der selbe Abuse auf mehreren Systemen (FFRN hat aktuell drei) stattfinden, kann ├╝brigens auch eine Sperrung aller Dienste erfolgen, was einen Komplettausfall der FFRN Infrastruktur zur Folge h├Ątte.

1 Like

#3

Ihr entsorgt bei diesem abuse report dann die route zu 30.0.0.0/8 in NULL? Das ganze 8er-Netz?

0 Likes

#4

Es geht um diesen Report:

Die Antwort wurde hier bereits gegeben:

Genauer gesagt haben wir eine Firewall regel erstellt, welche das gesamte 30.0.0.0/8 Netz auf ÔÇťDROPÔÇŁ setzt.

0 Likes

#5

Ich habe ├╝brigens gerade den Originalen Thread um neue Erkenntnisse erweitert.

0 Likes

#6

Wieso verwirft dann Hetzner nicht die Route, wenn das Netz sowieso nicht erreichbar ist? Geht doch ueber deren BGP-Router raus.

So koennten eine Handvoll Porstscans mal ruckzuck das ganze Internet von unseren Gateways sperren bzw. die Sperre provozieren, interessanter Ansatz ueber abuse reports oeffentlichen VPNs die Routen Schritt fuer Schritt zu entziehen.
Portscans auf Echo Port 7 (da anwortet doch sowieso niemand mehr drauf, oder?) sind doch einfach auf dicke Netze gezuendet, Netzsperren auf /8 sind Wahnsinn, spaetestens hier sollte man sich Gedanken machen, wie man weiter vorgeht.

0 Likes

#7

Mach sie ja, aber es ist eben ein Anzeichen daf├╝r, dass das System da Dinge tut die nicht gut sind. Das ist schon verst├Ąndlich, dass Hetzner das nicht m├Âchte. K├Ânnte ja auch ein infizierter Server sein.

Nein so einfach ist es nicht. Das passiert nur wenn wir ├╝ber einige Zeit nicht reagieren.

N├Â, wieso? Das Netz geh├Ârt zu 100% dem DoD und die benutzen es eben nicht. Da k├Ânnen wir es auch ohne bedenken sperren. Letztlich geht es bei dem Admin Job ja auch einfach darum f├╝r alle ein ordentlich laufendes Internet sicher zu stellen.

0 Likes

#8

Wenn ich das richtig verstanden habe gab es keinerlei Kontakt vom oder mit dem DoD, sondern Hetzner hat reagiert, weil zuviele Errors auftraten. Warum sind denn f├╝r Hetzner diese ein Problem? Da das Netz nicht ├Âffentlich geroutet ist kann man auch schwerlich mit der Vorbereitung einer Straftat argumentieren.

Hat das einen negativen Effekt auf deren Infrastruktur? Falls nicht k├Ânnte man doch Hetzner (rein hypothetisch) sagen: Der Server ist nicht infiziert, alles ist in Ordnung aber diese paar Port-Scans geh├Âren halt dazu ;)

0 Likes

#9

Kein Hoster m├Âchte potenziell infizierte Hardware die z.B. Spam schleudert bei sich stehen haben. Das hat z.B auch negative Effekte auf andere Kunden dort, da gerne mal gr├Â├čere Netzbereiche dann eine schlechte Spam Reputation bekommen und schwups gehen auch bei anderen Kunden keine Mails mehr durch.

Ob diese Erkennung in der Form jetzt toll oder weniger toll ist, dar├╝ber kann man sich streiten, aber es ist aus einer rein technischen und organisatorischen Sicht nachzuvollziehen wie Hetzner hier agiert. Was nicht zu vergessen ist, ist n├Ąmlich das Freifunk Gateways bei denen nur einen winzigst kleinen Bereich an Kunden ausmacht. In den meisten F├Ąllen ist ein System das pl├Âtzlich Scanns macht wohl somit wirklich infiziert. Wir sind da leider einfach ein false positive, also ein Treffer obwohl unser System eigentlich nicht selbst betroffen ist.

Das machen wir ja auch. Tats├Ąchlich kommt da z.B. im Falle des DoD immer wieder dieser Text von mir:

Sehr geehrte Damen und Herren,

bei dem betroffenen Server handelt es sich um ein Freifunk Gateway mit mehren 100 Nutzenden. Die Anfragen an das Netz des DoD das nicht ├Âffentlich announced wird, stammen dabei vermutlich von einem infizierten Nutzenden unseres Netzes. Wir werden versuchen den entsprechenden Netzbereich in Zukunft zu filtern, k├Ânnen weitere Zwischenf├Ąlle jedoch nicht ausschlie├čen, da wir nur eine default Route von Ihnen erhalten und so nicht einsehen k├Ânnen ob Netze announced werden oder nicht.

Mit freundlichen Gr├╝├čen,
Leah

Da es in der letzten Woche jetzt aber > 10 Abuses f├╝r genau diesen Fall mit dem DoD Netz gab, haben sie jetzt beim Xten mal halt darum gebeten, dass wir das Netz doch bitte wirklich sperren. Das triggert ja nicht nur bei uns Arbeit um zu reagieren, sondern auch bei denen um sich das durchzulesen etc. Von daher ist es einfach nur gutes benehmen im Netz dieses eh nicht genutzte Netz schon bei uns zu filtern. Wir tun damit ja auch niemandem weh.

3 Likes

#10

Vielen Dank f├╝r die ausf├╝hrliche Antwort, habe keine weiteren Fragen mehr! :)

0 Likes

geschlossen, #11
0 Likes