Nächster Kunde: Abusehinweis und Sperre des Webhostings wg. URL-Shortener?

    Zitat von TBT

    sonst gäbe es ja die beiden Threads auch gar nicht.

    Naja, die Threads gibt es, weil irgendwer oder irgendein Script eine E-Mail an abuse@netcup.de geschickt hat, mit dem Inhalt:

    xyz.example.net ist Böse.


    Kann per se erstmal jeder machen. Daher sollte es keine Policy sein, die Accounts erstmal zu sperren, sondern evtl. 24h auf eine Stellungnahme zu warten.

    Ist die unbefriedigend oder nach 24h nicht vorhanden, kann immernoch gesperrt werden.



    Zitat von TBT

    Dienste, die im Internet für die anonyme Nutzung erreichbar sind, dienen aber auch nicht der IT Sicherheit und laden zum Missbrauch ein

    Es kann gute Gründe für eine anonyme Nutzung geben. Klar, kann jeder über das Freifunk Netz Bombendrohungen verschicken - das sollte aber kein Argument sein, keine anonymen Dienste mehr anzubieten.


    Zitat von TBT

    Das ist alles und imho nicht zu viel verlangt.

    Fair.

    Also ich bin auch am überlegen meine YOURLS Instanz öffentlich zu schalten.

    Aber ich mache dies erst, wenn ich sie komplett abgesichert habe. Ich meine die beiden Threads machen mich schon nachdenklich.


    Meine Idee ist, eigene Links ganz normal direkt weiterzuleiten.

    Alle öffentlich erstellten Links nur mit vorheriger Seite der Weiterleitung in der diese direkt abgebrochen werden und gemeldet werden kann auf verschiedenen wegen.

    Außerdem eine Ländersperre die wahrscheinlich nicht sehr viel bringt aber trotzdem schon ein paar Länder einschränkt also nur in der Erstellung der Links. Dann noch das ganze über Cloudflare laufen lassen und jenachdem wie schnell und wie viele Links erstellt werden, das ganze weiter einzugrenzen.

    Ohne dass ich irgendwie damit angefangen habe, mache ich mir vorher schon viele Gedanken, wie man das angehen kann. In meiner Ausbildung wurde mir das auch in der Art beigebracht. Sicherheit bei einem Server oder Hosting ist oberstes Gebot. Vorher nimmt man einen Dienst garnicht Online.

    Außerdem schließe ich dann eh noch eine Versicherung extra für den Bereich ab, auch wenn ich das nur privat Betreibe.

    Zusätzlich kann man das ganze Treiben beobachten und zum Beispiel, wenn man dann auf solche Probleme stößt einfach NetCup im Vorhinein über solche Dinge informieren.


    Also kurz gesagt:

    Cloudflare (evtl.)

    Netz- bzw. Ländersperren

    Generelle Zugriffsrichtlinien

    ReCAPTCHA

    Viren/Spam - Scanner

    DNS & IP Sperrlisten

    Vorgeschaltete Seite mit Abbruchmöglichkeiten und Abuse Formular alternativ Daten (E-Mail), welche evtl. noch nach X Meldungen den Link automatisch für eine Zeit bis zur Review deaktiviert.


    Holster informieren über das Vorhaben bzw. die Möglichkeit sich an X oder Y über irgendeinen Weg zu melden.


    Und dann halt wichtig umgehend zu reagieren.


    Das war Mal eben innerhalb von 15 Minuten nachdenken mein spontaner Weg eine YOURLS Instanz abzusichern.


    Wenn man ein bisschen Ahnung von dem ganzen hat dann sollte das auch nicht die größten Probleme mit sich bringen.


    Vor etlichen Jahren war meine erste Erfahrung mit einem Root-Server, das wirklich nach 10 Minuten nach der Neuinstallation und erstmal bisschen rein finden einfach Mal nach Installation von fail2ban über 300 IPs aus China geblockt wurden. Seitdem weiß ich, dass man da echt vorsichtig sein muss.


    Außerdem hatte ich auch Mal den Fall, dass ich irgendwie bei der Config von einem NTP Server einen Fehler gemacht habe und dieser im NetCup Rechenzentrum ein DDos von mehreren GBit/s ausgelöst hat :thumbdown:

    Da waren die aber eher sehr nett und Kulant und haben nur den Dienst gesperrt und mich darauf per Abuse Bereich und E-Mail hingewiesen. Hab den kurz geschrieben und mich entschuldigt, Server war direkt wieder Online nachdem ich geschrieben habe und Dienst vom Netz genommen und fertig.


    Thema war dann für beide Seiten geklärt.


    Also es kommt auch immer drauf an wie man aufeinander ein geht und was für einen Eindruck man hinterlässt.


    Hätte ich da anders reagiert wäre ich wahrscheinlich länger offline gewesen.


    Also immer Mal drüber nachdenken, was man wie macht oder sagt und inwieweit man sich vorher Gedanken um Sicherheit macht.


    Mit freundlichem Gruß ;)

    Achja und einen zusätzlichen Login mit E-Mail Verifikation dann kannste noch gezielt alle aussperren. Natürlich AGBs, Datenschutzerklärung, Impressum usw.


    Da gibt's einiges was man machen kann um sich und andere zu schützen.


    Bin Mal gespannt was hier noch so geschrieben wird.


    MfG ;):P

    Das klingt zwar schön, aber jemand kann trotzdem noch einen Link zu einer Phishing-Seite erstellen und sofort an Netcup als Abuse melden. Dein Server wird sofort gesperrt trotz all deinen Maßnahmen:


    Cloudflare (evtl.) (kein Nutzen, wenn IP bekannt, z.B. beim Mailserver)

    Netz- bzw. Ländersperren (kein Nutzen, wenn Melder aus DE)

    Generelle Zugriffsrichtlinien (Registrierung vorher? Bei gezielten Angriffen kein Problem, also auch kein Nutzen)

    ReCAPTCHA (kein Nutzen, da echte Person)

    Viren/Spam - Scanner (kein Nutzen, da man sicherlich irgendeinen Phishing-Link finden wird, der nicht erkannt wird)

    DNS & IP Sperrlisten (kein Nutzen, wie bei Viren/Spam)

    Vorgeschaltete Seite mit Abbruchmöglichkeiten und Abuse Formular alternativ Daten (E-Mail), welche evtl. noch nach X Meldungen den Link automatisch für eine Zeit bis zur Review deaktiviert. (kein Nutzen, da der Angreifer/Melder lediglich deinen Server sperren möchte und dir den Link überhaupt nicht melden möchte)


    Fazit: Trotz all deinen Maßnahmen, würde netcup deinen Server vermutlich trotzdem sperren (sehe keinen Unterschied zu diesem und dem vorherigen Fall). Denn es ist unmöglich, eine Seite mit Funktionen zum Erstellen von Nutzerinhalten (Shortener, Forum, etc.) so zu betreiben, dass nichts Verbotenes hochgeladen werden könnte. Die meisten hier im Forum halten von Privatsphäre sowieso gar nichts und finden, dass anonyme Dienste oder Dienste, die jeder Nutzen könnte, generell verboten gehören, weil es ja der IT-Sicherheit schade. Es sei denn man hat das Recht dazu, weil man schon groß geworden ist (Bitly, Heise, etc.).


    Bevor das jemand falsch versteht: Deine Maßnahmen sind sehr gut dafür geeignet, missbräuchliche Nutzung auszuschließen, aber ein Konkurrent oder sonstiger Angreifer würde trotzdem immer einen leichten Weg finden, deinen Server von netcup durch das Erstellen von Nutzerinhalten (wie z.B. die Weiterleitung zu einem Phishing-Link) sperren zu lassen, wenn du nicht 24/7 alle paar Minuten alle neuen Nutzerinhalte kontrollierst.

    Zitat von ltheinrich

    Fazit: Trotz all deinen Maßnahmen, würde netcup deinen Server vermutlich trotzdem sperren (sehe keinen Unterschied zu diesem und dem vorherigen Fall). Denn es ist unmöglich, eine Seite mit Funktionen zum Erstellen von Nutzerinhalten (Shortener, Forum, etc.) so zu betreiben, dass nichts Verbotenes hochgeladen werden könnte.

    Mit einer Benutzerverwaltung beim URL Shortener hat man eine Handhabe und kann zielgenau Missbrauch abstellen.

    Zitat von ltheinrich

    Die meisten hier im Forum halten von Privatsphäre sowieso gar nichts und finden, dass anonyme Dienste oder Dienste, die jeder Nutzen könnte, generell verboten gehören, weil es ja der IT-Sicherheit schade. Es sei denn man hat das Recht dazu, weil man schon groß geworden ist (Bitly, Heise, etc.).

    Wenn Du mich damit meinst, dann ist das nicht meine (Haupt)Aussage. Es geht darum, dass Anbieter anonymer Dienste (also z.B. Du) als Diensteanbieter auftreten und daher für Missbrauch zur Verantwortung gezogen werden können, diese Verantwortung jedoch nicht weiter geben können, da ja die Nutzer:innen anonym sind. Eine Absicherung z.B. mit Benutzerverwaltung - und eben nicht der anonyme Betrieb - dient also zum Eigenschutz des Dienstanbieters - also Dir.


    Alle "Großen", im Prinzip nahezu jeder Dienst, haben Benutzerverwaltungen. Bitly hat eine - auch wenn man über eine Maske einen anonymen Link shorten kann (bei der man immer noch diverse Sachen abnicken muss). Auch im Heiseforum muss man einen Benutzeraccount anlegen, der gesperrt werden kann. Bei einer anonymen Yourls Instanz gibt es weder Voraussetzungen, die abgenickt werden, noch eine große Bude dahinter, die sich um die Absicherung kümmern kann, noch sonst eine unumgängliche Sicherungsmaßnahme. Das wäre mir zu jeder Zeit deutlich zu unsicher.


    Zudem sind die "Großen" mit ausreichenden juristischen Ressourcen ausgestattet, sicherlich will kein Privatuser hierfür präventiv juristischen Beistand einstellen.


    Nebenbei wird die IT Sicherheit des Internets durch die schon beschriebenen Umgehungsmaßnahmen für Sperren über Shortener insgesamt herabgesetzt.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    2 Mal editiert, zuletzt von TBT ()

    Abgesehen davon, dass auch eine Benutzerverwaltung einen Nutzer nicht unbedingt identifizierbar macht (10minutemail, usw.), würde das nichts am Problem ändern.

    Auch diverse Sachen zum Abnicken kann man selbst hinzufügen (netcup würde davon wahrscheinlich nichts mitbekommen und bestimmt keine AGBs, usw. des betroffenen Servers/Seite vor dem Sperren durchlesen, weil Nutzer dem zustimmen mussten).

    Mit ALLEN Maßnahmen, die du dir ausdenken kannst, würde das Problem weiter bestehen. Die einzige Möglichkeit, nicht von netcup gesperrt zu werden, wäre die manuelle Prüfung jedes Inhalts vor Veröffentlichung bzw. eine anschließende Prüfung zu jeder Zeit innerhalb weniger Minuten. Du kannst mir nicht erzählen, dass die "Großen" alles auf diese Weise überprüfen.

    Es ist außerdem nicht netcups Aufgabe, die Kunden vor möglichen (in diesem Fall, wenn nach Kenntnis wie nach einer Weiterleitung der Abuse-Meldung durch netcup sofort reagiert wird, nicht einmal existierenden) juristischen Konsequenzen zu schützen. Zumindest ist das hier offensichtlich von den betroffenen Kunden weder gewünscht, noch vertraglich vereinbart.


    Zitat von TBT

    Nebenbei wird die IT Sicherheit des Internets durch die schon beschriebenen Umgehungsmaßnahmen für Sperren über Shortener insgesamt herabgesetzt.

    Die IT-Sicherheit wird durch vieles herabgesetzt. Am besten man schaltet das Internet komplett ab, dann wird die IT-Sicherheit auch gar nicht herabgesetzt.

    Zitat von ltheinrich

    Es ist außerdem nicht netcups Aufgabe, die Kunden vor möglichen (in diesem Fall, wenn nach Kenntnis wie nach einer Weiterleitung der Abuse-Meldung durch netcup sofort reagiert wird, nicht einmal existierenden) juristischen Konsequenzen zu schützen. Zumindest ist das hier offensichtlich von den betroffenen Kunden weder gewünscht, noch vertraglich vereinbart

    Wir drehen uns im Kreis. Siehe Hosterhaftung.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Klar kann man alles irgendwie umgehen, aber wer will denn unbedingt meine Server down haben.

    Also grundsätzlich alles nachvollziehbar aber da wird dann auch einiges schlimmer geredet als es glaube ich ist.

    Ist halt schon schwierig zu beurteilen.

    Aber ich glaube halt auch nicht, dass NetCup direkt alles ohne weiteres dicht macht. Mein Fall mit dem DDoS ist halt auch einige Jahre her aber da haben dir auch entspannt und Kulant reagiert.


    Glaube nicht, dass es wirklich so schwierig ist. Sonst könnten wirklich so einige Dienste nicht laufen.


    Einfach alles komplett und nach bestem Wissen absichern und dann halt nachjustieren wie was gebraucht wird.

    Also ich werde es wahrscheinlich dennoch testen und schauen wie es läuft.

    Vorher werde ich dann aber alles durchtesten und NetCup um ein Statement bitten. Dann hab ich ja alles getan was in meiner Macht steht. Außerdem glaube ich auch nicht, das der Dienst mitmal so groß wird, dass es nicht mehr überschaubar ist.

    Das wird dann auch einige Zeit brauchen.


    Mal schauen wie sich das entwickelt.

    Erstmal sind bei mir eh andere Sachen an der Reihe. Aktuell benutze ich meine installierten Services eh für mich selbst. Außer halt Webseiten usw die keine "Gefahr" darstellen so einfach derartige missbraucht zu werden.


    Ich gehe das eher vorsichtig an.


    Hab mein Login beim root auch extrem limitiert. Sodass nur 1 Benutzer anmelden und anfragen kann. Bei 1 Mal falsch direkt komplett aussperren usw.


    Da gibt's schon einiges Sicherheitstechnisches was man umsetzen kann.


    Bis jetzt Jahrelang keine Probleme gehabt.


    MfG

    Zitat von X-Nightmare-X

    aber wer will denn unbedingt meine Server down haben

    Solche Leute gibt es genug. Leute, die Spaß am Sperren von Servern haben, Konkurrenz, etc.

    Wieso gibt es sonst DDoS-Angriffe? Nur wenn netcup das Sperren übernimmt, braucht man kein technisches Verständnis, um mal schnell einen Server lahmzulagen.


    Zitat von X-Nightmare-X

    Aber ich glaube halt auch nicht, dass NetCup direkt alles ohne weiteres dicht macht.

    Laut den beiden Berichten hier im Forum war das jedoch der Fall.

    Im FAQ steht übrigens: "Kommt es außerhalb der Arbeitszeiten zu einer Sperrung, probieren wir Sie vorab nach Möglichkeit einmal anzurufen. Wir bitten um Verständnis, dass wir dieses jedoch nicht garantieren können und wir nur einen einzigen Anrufversuch durchführen."

    Ein schlauer Angreifer meldet den selbsterstellten Phishing-Link dann am Freitag Abend an netcup, damit dein Server bis Montag vormittags gesperrt bleibt, wenn du nicht bereit bist, 40€/15min für den Notfallsupport zu bezahlen.


    Zitat von X-Nightmare-X

    Dann hab ich ja alles getan was in meiner Macht steht.

    Nur leider bringt auch das nichts. Das Problem ist hier, dass netcup schneinbar ohne Vorwarnung den Server sperrt, wenn ein Phishing-Link gemeldet wird.

    Person X mag dich/deinen Dienst nicht, erstellt einen Phishing-Link bei dir, meldet den sofort an netcup und dein Server ist gesperrt. Egal, ob du alles getan hast, was in deiner Macht steht. Einige hatten hier ja auch vermutet, dass netcup wegen der günstigen Preise Abuse-Meldungen nicht ordentlich wie andere Anbieter bearbeiten kann.


    Zitat von X-Nightmare-X

    Hab mein Login beim root auch extrem limitiert. Sodass nur 1 Benutzer anmelden und anfragen kann. Bei 1 Mal falsch direkt komplett aussperren usw.


    Da gibt's schon einiges Sicherheitstechnisches was man umsetzen kann.


    Bis jetzt Jahrelang keine Probleme gehabt.

    Das hat ja hiermit auch gar nichts zu tun. Server vor Zugriff durch Dritte (z.B. SSH) absichern sollte selbstverständlich sein, aber darum geht es hier nicht.

    Ich denke, wenn man Schutzmaßnahmen wie z.B. eine Nutzerregistrierung einführt, dann wird man für die klassischen Phisher unattraktiv. Das ist einfach viel zu viel Aufwand. Mail Adresse registrieren, Bestätigungsmail, evtl. noch Captchas ... nee, das schreckt ab. Ich glaube, mit solchen Maßnahmen ist man raus aus dem Missbrauch.

    Zitat von frank_m

    Ich glaube, mit solchen Maßnahmen ist man raus aus dem Missbrauch

    Raus nicht unbedingt. Es gibt die kuriosesten Spinner.
    Aber die hier erwähnten Schutzmaßnahmen senken das Risiko von 100% auf wenige %.
    Und erhöhen die Flexibilität zu reagieren. Was dann vielleicht schneller geht als eine Sperre von Netcup.

    Was hier immer noch keiner zu verstehen scheint: Auch wenn das Risiko für Missbrauch durch normale Spammer/Phisher/etc. deutlich reduziert wird, bleibt das Risiko einer Sperrung durch netcup auf Grund eines gezielten Angriffs genau gleich (Melder erstellt selbst Phishing-Links und meldet diese sofort an netcup). Wenn netcup weiterhin wie in diesen beiden Fällen ohne Vorwarnung Server sperrt, kann man KEINE Maßnahmen ergreifen, die das Risiko einer Sperrung senken.

    Das Problem wäre ja gelöst, wenn netcup z.B. 24h oder auch nur einige Stunden für eine Stellung warten würden, bevor der Server gesperrt wird. Damit meine ich natürlich nicht schwere Fälle wie z.B. vom Server ausgehende (D)DoS-Angriffe (die sollten natürlich sofort gesperrt werden).

    Zitat von ltheinrich

    Was hier immer noch keiner zu verstehen scheint: Auch wenn das Risiko für Missbrauch durch normale Spammer/Phisher/etc. deutlich reduziert wird, bleibt das Risiko einer Sperrung durch netcup auf Grund eines gezielten Angriffs genau gleich (Melder erstellt selbst Phishing-Links und meldet diese sofort an netcup). Wenn netcup weiterhin wie in diesen beiden Fällen ohne Vorwarnung Server sperrt, kann man KEINE Maßnahmen ergreifen, die das Risiko einer Sperrung senken.

    Das Problem wäre ja gelöst, wenn netcup z.B. 24h oder auch nur einige Stunden für eine Stellung warten würden, bevor der Server gesperrt wird. Damit meine ich natürlich nicht schwere Fälle wie z.B. vom Server ausgehende (D)DoS-Angriffe (die sollten natürlich sofort gesperrt werden).

    100% dies. DDoS, Kinderpornographie, Spam, Botnetze - sofort reagieren. Alles andere muss doch 24 Stunden warten können. Ansonsten einfach mal alle IPs melden mit Fake-Phishing oder Warez-URLs und die halbe Kundschaft ist gesperrt :)

    Zitat von ltheinrich

    Wenn netcup weiterhin wie in diesen beiden Fällen ohne Vorwarnung

    Was fällt alles unter ohne Vorwarnung? Eine Mail im Spam des Kunden? Ein Anruf der angeblich den Kunden nicht erreicht hat oder nie wirklich durchgekommen ist (warum auch immer)?
    Persönlich fänd ich die Methode per SMS am besten, Mail sollte heutzutage aber auch reichen. Kann man meist ja auch per Handy abrufen.

    Klar kann man nie 100% sicher vor einer Sperre sein, das schrieb hier auch niemand. Sichert mann seinen dienst und wird fälschlich angezeigt, kann das allerdings auch Konsequenzen für den Beschuldiger haben. Mag zwar Anonym sein, die IP Logs von Absendern hat Netcup bestimmt.
    Das Risiko für Falsche Abuse Beschuldigungen sinkt also auch, meiner Meinung nach.

    100% wird nie gehen. Weniger Risiko als "volles Risiko" denke ich schon.

    Wirklich klären kann es eh nur ein Statement von Netcup. Egal was wir hier rumdiskutieren.

    Zitat von prunelle

    Persönlich fänd ich die Methode per SMS am besten, Mail sollte heutzutage aber auch reichen. Kann man meist ja auch per Handy abrufen.

    Mails können leicht im Spam landen, eine SMS nicht. Finde eine SMS die effektivste Art einen Kunden schnell zu erreichen.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Gefällt mir 1
    Zitat von prunelle

    Was fällt alles unter ohne Vorwarnung? Eine Mail im Spam des Kunden

    Ich habs dir schon im letzten Thread mehrmals erklärt, diese Mail kommt in dem Moment, in dem das Hosting gesperrt wird (oder einige Momente danach). Keiner gibt dir xy an Zeit. Der Anruf hat bei zwei Kunden unabhängig von einander nicht stattgefunden, ein Problem auf Kundenseite ist damit quasi unmöglich. Es wurde definitiv nie versucht anzurufen und ich finde es auch nicht cool hier immer wieder den selben falschen kram zu richtig zu stellen... Wie soll ich es denn noch formulieren damit das ankommt? :(

    Zitat von Bud

    Mails können leicht im Spam landen, eine SMS nicht. Finde eine SMS die effektivste Art einen Kunden schnell zu erreichen.

    Ich zähle gar nicht mehr, wie viele SMS nachweislich in /dev/null verschwunden oder mit einer enormen Verzögerung angekommen sind. Wenn ich mich auf etwas nicht verlassen würde, sind das SMS. E-Mail leider genauso, da kann unendlich viel schief gehen.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat von KB19

    Ich zähle gar nicht mehr, wie viele SMS nachweislich in /dev/null verschwunden oder mit einer enormen Verzögerung angekommen sind. Wenn ich mich auf etwas nicht verlassen würde, sind das SMS. E-Mail leider genauso, da kann unendlich viel schief gehen.

    Hm. Telegram push? Setzt voraus dad man Telegram hat...

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE