VServer nach Abuse Mail deaktiviert

Fedor · 1. Februar 2014

Hallo,
Wie ich heute bemerkt habe ist mein VServer deaktiviert worden.
Da ich den Server erst knapp über eine Woche besitze verwundert mich das schon ein wenig.

Da ich im Moment gerade ein wenig überfordert bin würde ich mich über Hilfe freuen.

Mein Problem ist das ich noch Datein auf dem Server habe die ich bräuchte aber keine U-Erklärung unterschreiben kann weil ich es nicht versichern kann das es nicht nocheinmal vorkommt. Aber anders wird der Server ja nicht in das Rettungssystem gebootet.

Folgende Email habe ich bekommen.

Guten Tag XXXXXX XXXXX,

Ihr Server vXXXXX - Root-Server L v2 hat einen Angriff auf einen oder mehrere andere Server im Internet ausgeführt. Dabei wurden erhebliche Netzwerkressourcen beansprucht und Teile unseres Netzwerks stark beeinträchtigt.
Ihr Server wurde deshalb deaktiviert.

Für Ihre notwendigen Wartungs- und Analysearbeiten können wir Ihr System auf Wunsch im Rettungssystem für Sie starten. Ihr Server wird dabei mit einem minimalen Linux gestartet. Hinweise zur Bedienung des Rettungssystem finden Sie hier: Rettungssystem – netcup Wiki

Um Ihren Server wieder aktivieren zu können, benötigen wir von Ihnen eine schriftliche, persönlich durch Sie unterschriebene Stellungnahme per Brief oder Fax. Geben Sie darin bitte an, wie es zu dem Vorfall kam und wie Sie solche Vorfälle in Zukunft verhindern. Zudem benötigen wir eine Unterlassungserklärung, in der Sie uns zusichern, dass ein solcher Vorfall nicht erneut vorkommt und dass alle schadhaften Dateien entfernt wurden. Verwenden Sie zur Erstellung bitte folgendes Formular: http://formulare.netcup.net/index.php/sn

Eine Stellungnahme per E-Mail reicht zur Aktivierung Ihres Servers nicht aus.

Wenn Sie uns nicht zusichern können, dass alle schadhaften Daten und veränderten Dateien entfernt wurden, besteht die Möglichkeit, dass wir das System für Sie neu installieren. Beachten Sie dabei, dass alle vorhandenen Daten unwiderruflich gelöscht werden. Bitte wählen Sie, falls gewünscht, diesen Punkt auf dem Formular aus.

Log:

Hello Abuse-Team,

your Server/Customer with the IP: ** has attacked one of our servers/partners.
The attackers used the method/service: *ssh* on: *Fri, 31 Jan 2014 21:45:05 +0800*.
The time listed is from the server-time of the Blocklist-user who submitted the report.
The attack was reported to the Blocklist.de-System on: *Fri, 31 Jan 2014 23:01:59 +0100*

The IP has been automatically blocked for a period of time. For an IP to be blocked, it
needs
to have made several failed logins (ssh, imap....), tried to log in for an \"invalid user\",
or have
triggered several 5xx-Error-Codes (eg. Blacklist on email...), all during a short period
of time.
The Server-Owner configures the number of failed attempts, and the time period they have
to occur in, in order to trigger a ban and report. Blocklist has no control over these
settings.

Please check the machine behind the IP XXXXXX (XXXXXX.yourvserver.net)
and fix the problem.
This is the 2 Attack (reported: 2) from this IP; see:
show history/attacks for IP: XXXXXX () IP - Hit: 0; Page:

If you need the logs in another format (rather than an attachment), please let us know.
You can see the Logfiles online again:
Show Logs again from the Report.

You can parse this abuse report mail with X-ARF-Tools from
e.g. validatexarf-php.tar.gz.
You can find more information about X-Arf V0.2 at

This message will be sent again in one day if more attacks are reported to Blocklist.
In the attachment of this message you can find the original logs from the attacked system.

To pause this message for one week, you can use our \"Stop Reports\" feature on Blocklist.de
to submit
the IP you want to stop recieving emails about, and the email you want to stop receiving
them on.
If more attacks from your network are recognized after the seven day grace period, the
reports will start
being sent again.

To pause these reports for one week:
www.blocklist.de -- Stop Reports for a IP and E-Mail-Address for 7 Days to fix the Problem.[..]

We found this abuse email address in the Whois-Data from the IP under the SearchString
\"abuse-c (Ripe AbuseFinder)\"
Reply to this message to let us know if you want us to send future reports to a different
email. (e.g. to abuse-quiet or a special address)

------------------------------
blocklist.de Abuse-Team
This message was sent automatically. For questions please use our Contact-Form
(autogenerated@ is not monitored!):
Contactform, ask us or sent us your Server-Data to sent Report over us.
Logfiles: Show Logs again from the Report.
------------------------------

Dragon · 1. Februar 2014

Zitat von Fedor

Hallo,
Aber anders wird der Server ja nicht in das Rettungssystem gebootet.

Das steht doch dort gar nicht? "Für Ihre notwendigen Wartungs- und Analysearbeiten können wir Ihr System auf Wunsch im Rettungssystem für Sie starten."

Fedor · 1. Februar 2014

Muss ich ihn dafür davor nicht aktivieren?
Für mich hat sich das so angehört als müsste ich den Server erst aktivieren um dann ins Rettungssystem zu kommen

Dragon · 1. Februar 2014

Nein, aktivieren bedeutet, dass der vServer wieder freigeschaltet wird.

Fedor · 1. Februar 2014

Mhm ok,Danke.Dafür werd ich mich aber dann an die Supporthotline wenden müssen. Und die ist erst am Montag wieder da

perryflynn · 3. Februar 2014

Was hast du denn auf der Maschine laufen, dass in so kurzer Zeit ein Hack durchgeführt werden konnte?

Haste überhaupt irgendwelche Vorkehrungen getroffen und deine Dienste abgesichert?