Hintergrund Abuse-Meldungen zum 'Betrieb sog. "Mining-Dienste"'

Hallo Community,

wir betreiben schon seit längerer Zeit eine Reihe Server im Cluster-Betrieb (auf CoreOS-Basis) bei Netcup, und sind alles in allem mehr als zufrieden!

Jetzt haben wir aber seit ein paar Wochen ein wiederkehrendes "Problem" mit einer unserer Maschinen (ein Buildserver, auf dem Atlassian Bamboo mit einer Reihe lokaler Agenten läuft. Die CPU-Auslastung ist hier im Schnitt schon nicht ganz niedrig, aber das ist bewusst). Konkret gibt es für diese alle 7-14 Tage eine Abuse-Meldung die wie folgt lautet:

Zitat

Guten Tag XXX,

bei einer Routineprüfung des Netzwerktraffics ist aufgefallen, dass Ihr Server vXXXXXXXXXXXX - RS 4000 SSD G7SEa3 mehrere Verbindungen zu sog. Coin Mining Diensten aufgebaut hat.

Dies ist laut unseren AGB, welche Sie bei Bestellung bestätigt und akzeptiert haben nicht erlaubt.

5. Pflichten des Kunden

5. Der Kunde verpflichtet sich, bei der Nutzung der von netcup zur Verfügung gestellten Dienste die maßgeblichen gesetzlichen Vorschriften einzuhalten und Maßnahmen zu unterlassen, die zu einer Störung des Betriebs der Server von netcup führen könnten. Untersagt sind insbesondere folgende Handlungen:

- Betrieb von sog. "Mining-Diensten" für Kryptowährungen wie z.B. "Bitcoin", "Ethereum", "OneCoin" oder "Monero".

Wie Sie wissen, versteht sich netcup als umweltbewusstes Webhostingunternehmen. So setzen wir z.B. ausschließlich auf Ökostrom beim Betrieb unserer Server. Dieser Umweltgedanke lässt sich unserer Meinung nach nicht mit Mining auf Servern vereinbaren, weshalb wir uns dazu entschlossen haben, wie viele unserer Mitbewerber auch, Mining in der Zukunft nicht mehr zu erlauben. Cryptowährungen dienen mittlerweile zum größten Teil einzig Spekulanten als Spekulationsmittel und dem Handel im Darknet. Die eigentliche Idee, eine stabile, nicht von Staaten kontrollierte, Währung zu schaffen, ist bei den derzeitigen Kursschwankungen nicht mehr gegeben. Trotzdem erfordert Mining eine hohe Energiemenge und wir wollen unsere Infrastruktur dafür nicht länger hergeben.

Alles anzeigen

Jetzt haben wir diese Abuse-Meldungen, insbesondere die Erste, sehr ernst genommen, da sie im Zweifel bedeutet das unser System kompromittiert ist.

Sprich: Wir haben geguckt, ob entsprechende Ports / Verbindungen offen sind. Zusätzlich haben wir für alle unsere Maschinen ein Cluster-weites Monitoring, welches sehr genau nachhält wieviel CPU-Zeit wo genau verwendet wird. Coin-Mining wäre hier also sehr auffällig. Wir konnten keinerlei Anzeichen dafür finden, dass hier etwas nicht wie erwartet läuft.

Da in der Abuse-Meldung von Routineprüfung des Netzwerktraffics gesprochen wird, ist unsere aktuelle Vermutung, dass der Aufbau bestimmter Verbindungen auf bestimmten Ports bereits ausreicht um hier der Trigger für die Abuse-Meldung zu sein. Wir haben daraufhin mal unsere Services (die alle in Docker laufen) daraufhin geprüft, ob wir evtl. zufällig irgendwo den gleichen Port verwenden der an anderer Stelle ein Standardport für einen der Mining-Dienste ist. Auch hier sind wir aber nicht fündig geworden.

Habt ihr Erfahrungen mit solchen Abuse-Meldungen? Der Netcup-Support kann / will hier nicht weiterhelfen. Wahrscheinlich irgendwo auch sinnvoll, um nicht Dritten Ideen zu geben, wie die Detection evtl. umgangen werden kann.

Unser Problem ist aktuell, dass wir das Problem gerne lösen würden, aber keine Hinweise darauf haben wonach wir überhaupt suchen. Alle anderen Maschinen (insgesamt 18) laufen mit exakt gleichem Host OS, und sehr ähnlichen Konfigurationen. Auf diesen besteht das Problem nicht. Im Zweifel stellt es sich für uns leider aktuell so dar, als wenn unsere einzige Option ein Wechsel des Dienstleisters ist. Das wäre für uns sehr schade, und auch mit erheblichem Aufwand verbunden.

Aber das aktuell unser Buildserver alle ~10 Tage für einen halben Tag (undeterministisch) offline geht, bis jemand unsere Abuse-Antwort verarbeitet hat (bisher gab es 3 solche Fälle, in jedem wurde auf unseren Abuse-Response hin der Server sofort wieder freigeschaltet), ist leider für uns nicht akzeptabel.

Vielleicht fällt ja jemandem etwas dazu ein!?

Viele Grüße

julrich

Ich will ja im Zweifel auch gar nicht ausschliessen, dass wir ein Problem haben. Ich sehe nur die Wahrscheinlichkeit als sehr gering an (wir haben da über die letzten 3-4 Wochen nicht ganz wenig Zeit reingesteckt... aber vielleicht sind wir auch an der entscheidenden Stelle blind), und fühle mich aktuell nicht in der Lage das vermeintliche Problem weiter / genauer einzugrenzen.

Danke für Euer Feedback schon mal!

Wir werden mal versuchen, hier einen entsprechenden Kontakt zu bekommen.

Am Support sind wir bisher jedes mal vollständig abgeprallt.

Grundsätzlich könnte man das System schon "einfach" komplett neu provisionieren. Da es aber bisher keinerlei Anzeichen für eine tatsächliche Kompromittierung gibt, ist die Vermutung, dass es dann wieder exakt gleich aussehen wird. Mit den gleichen, vermeintlich false positive, Detections. Die Zeit würden wir aktuell sehr ungern auch noch zusätzlich investieren.

Schadensersatz werden wir nicht fordern wollen. Uns geht es eher darum zu wissen mit welcher Sicherheit wir Systeme (vor allem auch zukünftig) bei Netcup betreiben können. Die Alternative ist sonst doch ein Wechsel zu einem der etablierten Cloud-Hoster für unsere Zwecke (z.B. GCP). Das kostet natürlich einiges mehr, im Zweifel ist das aber wohl den Trade-Off wert.

Hallo Herr Preuß,

vielen Dank! Und wie gesagt, mit etwas konkreteren Hinweisen gehen wir der Sache natürlich auch gerne weiter nach!

Nichts ist uns lieber als einen potentiell kompromittierten Server zu deaktivieren!