Abuse Report und seine Folgen?

Ich bezieh mich mal auf diesen Post:

Wo steht denn geschrieben, was bei einem abuse report zu tun ist bzw. wer klagt das wie ein?

Ich kann dich gerne auf die Infoseite unseres Hosters verweisen: https://wiki.hetzner.de/index.php/Leitfaden_bei_Serversperrung

Eine Sperrung des Servers erfolgt allerdings meist erst, wenn dem initialen Abuse Report keine Antwort gegeben wurde, oder die erforderten Maßnahmen nicht durchgeführt werden.

Sollte der selbe Abuse auf mehreren Systemen (FFRN hat aktuell drei) stattfinden, kann übrigens auch eine Sperrung aller Dienste erfolgen, was einen Komplettausfall der FFRN Infrastruktur zur Folge hätte.

1 „Gefällt mir“

Ihr entsorgt bei diesem abuse report dann die route zu 30.0.0.0/8 in NULL? Das ganze 8er-Netz?

Es geht um diesen Report:

Die Antwort wurde hier bereits gegeben:

Genauer gesagt haben wir eine Firewall regel erstellt, welche das gesamte 30.0.0.0/8 Netz auf “DROP” setzt.

Ich habe übrigens gerade den Originalen Thread um neue Erkenntnisse erweitert.

Wieso verwirft dann Hetzner nicht die Route, wenn das Netz sowieso nicht erreichbar ist? Geht doch ueber deren BGP-Router raus.

So koennten eine Handvoll Porstscans mal ruckzuck das ganze Internet von unseren Gateways sperren bzw. die Sperre provozieren, interessanter Ansatz ueber abuse reports oeffentlichen VPNs die Routen Schritt fuer Schritt zu entziehen.
Portscans auf Echo Port 7 (da anwortet doch sowieso niemand mehr drauf, oder?) sind doch einfach auf dicke Netze gezuendet, Netzsperren auf /8 sind Wahnsinn, spaetestens hier sollte man sich Gedanken machen, wie man weiter vorgeht.

Mach sie ja, aber es ist eben ein Anzeichen dafür, dass das System da Dinge tut die nicht gut sind. Das ist schon verständlich, dass Hetzner das nicht möchte. Könnte ja auch ein infizierter Server sein.

Nein so einfach ist es nicht. Das passiert nur wenn wir über einige Zeit nicht reagieren.

Nö, wieso? Das Netz gehört zu 100% dem DoD und die benutzen es eben nicht. Da können wir es auch ohne bedenken sperren. Letztlich geht es bei dem Admin Job ja auch einfach darum für alle ein ordentlich laufendes Internet sicher zu stellen.

Wenn ich das richtig verstanden habe gab es keinerlei Kontakt vom oder mit dem DoD, sondern Hetzner hat reagiert, weil zuviele Errors auftraten. Warum sind denn für Hetzner diese ein Problem? Da das Netz nicht öffentlich geroutet ist kann man auch schwerlich mit der Vorbereitung einer Straftat argumentieren.

Hat das einen negativen Effekt auf deren Infrastruktur? Falls nicht könnte man doch Hetzner (rein hypothetisch) sagen: Der Server ist nicht infiziert, alles ist in Ordnung aber diese paar Port-Scans gehören halt dazu ;)

Kein Hoster möchte potenziell infizierte Hardware die z.B. Spam schleudert bei sich stehen haben. Das hat z.B auch negative Effekte auf andere Kunden dort, da gerne mal größere Netzbereiche dann eine schlechte Spam Reputation bekommen und schwups gehen auch bei anderen Kunden keine Mails mehr durch.

Ob diese Erkennung in der Form jetzt toll oder weniger toll ist, darüber kann man sich streiten, aber es ist aus einer rein technischen und organisatorischen Sicht nachzuvollziehen wie Hetzner hier agiert. Was nicht zu vergessen ist, ist nämlich das Freifunk Gateways bei denen nur einen winzigst kleinen Bereich an Kunden ausmacht. In den meisten Fällen ist ein System das plötzlich Scanns macht wohl somit wirklich infiziert. Wir sind da leider einfach ein false positive, also ein Treffer obwohl unser System eigentlich nicht selbst betroffen ist.

Das machen wir ja auch. Tatsächlich kommt da z.B. im Falle des DoD immer wieder dieser Text von mir:

Sehr geehrte Damen und Herren,

bei dem betroffenen Server handelt es sich um ein Freifunk Gateway mit mehren 100 Nutzenden. Die Anfragen an das Netz des DoD das nicht öffentlich announced wird, stammen dabei vermutlich von einem infizierten Nutzenden unseres Netzes. Wir werden versuchen den entsprechenden Netzbereich in Zukunft zu filtern, können weitere Zwischenfälle jedoch nicht ausschließen, da wir nur eine default Route von Ihnen erhalten und so nicht einsehen können ob Netze announced werden oder nicht.

Mit freundlichen Grüßen,
Leah

Da es in der letzten Woche jetzt aber > 10 Abuses für genau diesen Fall mit dem DoD Netz gab, haben sie jetzt beim Xten mal halt darum gebeten, dass wir das Netz doch bitte wirklich sperren. Das triggert ja nicht nur bei uns Arbeit um zu reagieren, sondern auch bei denen um sich das durchzulesen etc. Von daher ist es einfach nur gutes benehmen im Netz dieses eh nicht genutzte Netz schon bei uns zu filtern. Wir tun damit ja auch niemandem weh.

3 „Gefällt mir“

Vielen Dank für die ausführliche Antwort, habe keine weiteren Fragen mehr! :)