Abusenachricht Vorgehensweiße

  • Hallo,


    Ich habe heute 13:13 eine Abusemeldung wegen angeblichen Spamversand bekommen woraufhin mein Server heruntergefahren und der Account deaktiviert wurde.

    Nachdem ich nach anfänglicher Fehlersuche in meinem lokalen Netzwerk mit erschrecken feststellen musste, dass der Server nicht online ist habe ich um 14:02

    mit der Bitte den Server zur Behebung wieder online zu schalten geantwortet. Leider ist das bisher noch nicht geschehen und auch eine Antwort habe ich noch nicht erhalten.

    Nun stellen sich mir eine Reihe von Fragen:

    Wie lange dauert es bis die Abuseabteilung antwortet ?
    Warum wurde ich nicht per E-Mail informiert ?


    Zusätzlich habe ich ein paar technische Fragen:
    Der Server war auf dem aktuellen Stand (Updates von Ende Januar) und hatte einen meines Wissens nach korrekt konfigurierten Mailserver.

    Wie konnte es also passieren, dass Spam versendet wurde (mit Logs wäre das leicht zu klären, aber da komme ich ja nicht ran) ?

    Wie muss ich weiter vorgehen ?

    Mein aktueller Plan ist wie folgt:
    * Server wieder freischalten lassen

    * Mailserver stoppen um mehr Spam zu vermeiden

    * Daten und Logs sichern

    * Server komplett neu aufsetzen


    Was mache ich wenn der Server nicht wieder Freigeschaltet wird ?
    Ich habe zwar regelmäßige Backups, allerdings will ich natürlich aus meinem

    Fehler lernen und herausfinden wie es zu dem Fehler kommen konnte.


    Vergesse ich etwas ?


    Mit freundlichen Grüßen,

    Thalhammer

  • Wie konnte es dazu kommen ?

    Ohne Blick in die Logdateien können wir auch nur raten…


    Es kann aber auch gut sein, dass z.B. ein PHP-Script missbraucht wurde und direkt über SMTP versendet wird, ohne Deinem Mailserver dazwischen. Ohne Deine Konfiguration und Sicherheitsmaßnahmen zu kennen, weiß man das nicht.


    Insofern würde ich den Server vorerst nicht mehr einschalten, solange Du das nicht im Rettungsmodus kontrolliert hast. Ansonsten läufst Du Gefahr, dass es gleich wieder los geht.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • H6G

    Das nicht, jedoch gibt es keine E-Mail Konten die andere Leute nutzen

    Und offensichtliche sachen wie etwa Relay sind selbstverständlich aus.


    Ich habe jetzt mal den Mailserver gestoppt und schreibe mit tcpdump alles mit was von oder zu einem smtp port geht.

    Bisher ist nichts auffälliges dabei.


    Auch eine Analyse des Logdateien von apache und postfix ist bisher ergebnislos. Nur das übliche Hintergrundrauschen.

    Ich bleib an der Sache dran, aber bis jetzt bin recht ratlos, woran es gelegen haben könnte.

  • Das nicht, jedoch gibt es keine E-Mail Konten die andere Leute nutzen

    Wie ist denn dein Mailserver konfiguriert?

    Nimmt er von PHP Mails an und verbreitet diese?

    Hier sollte auch eine Spamfilterung vorgenommen werden.


    In der Abusemitteilung ist immer auch eine E-Mail mitsamt Headern abgedruckt. Hier kannst du herausfinden, welcher Prozess oder User über den Postfix Mails versendet hat. Evtl. magst du die Mitteilung hier auch posten.

  • [Zum Schutz persönlicher Daten von der Foren-Moderation entfernt]


    Siehe Abuse Nachricht.

    Allerdings finde ich darin nichts was mir helfen sollte herauszufinden was auf meinem System die Nachricht gesendet hat.
    Klärt mich bitte auf, ich komme mir grade recht doof vor.

  • Die Abusemitteilung betrifft in erster Linie das Webhosting ([Zum Schutz persönlicher Daten von der Foren-Moderation entfernt]) und nicht deinen Server.

    Hast du so ein Webhosting bei Netcup?


    Dann hast du irgendwo ein WordPress, welches über PHPMailer über das Webhosting E-Mails verschickt.

    Dieses WordPress kann auf deinem Server oder auf dem Webhosting laufen.

    Dieses WordPress wurde gekapert und sollte ersetzt werden. Mindestens gesperrt.

    Dabei wird auf [Zum Schutz persönlicher Daten von der Foren-Moderation entfernt] verwiesen, sofern das weiter hilft.


    Hast du sonst auf dem WordPress ein Kontaktformular, welches irgendwelche Header annimmt und die Eingaben nicht richtig bereinigt?

  • Ich habe aber weder ein Webhosting bei Netcup, noch ein Wordpress und [Zum Schutz persönlicher Daten von der Foren-Moderation entfernt] hab ich noch nie gehört....
    Das einzige was ich habe ist ein VServer.
    Ich bin davon ausgegangen [Zum Schutz persönlicher Daten von der Foren-Moderation entfernt] sei irgendein internes Managementsystem von Netcup,

    eben weil die domain nichts mit mir zu tun hat.

    Die Domain löst auch nicht auf eine meiner IPs auf.

    [Zum Schutz persönlicher Daten von der Foren-Moderation entfernt] => 188.68.47.84

    thalhammer.it (mein server) => 185.194.142.4

  • Ich habe aber weder ein Webhosting bei Netcup, noch ein Wordpress und [Zum Schutz persönlicher Daten von der Foren-Moderation entfernt] hab ich noch nie gehört....
    […] Die Domain [Zum Schutz persönlicher Daten von der Foren-Moderation entfernt] löst auch nicht auf eine meiner IPs auf.

    Sofern die Abuse-Nachricht weder eine gebuchte Domäne noch eine zugewiesene IP-Adresse enthält, würde ich umgehend den Support kontaktieren, um nachzufragen, ob hier ggf. eine Verwechslung vorliegt. Wenn nicht, sollte der Support direkt aufzeigen können, welche vertraglich gemietete/*dokumentierte* Ressource hier involviert war, welche unter die Verantwortung des Kunden fällt.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Edited once, last by [netcup] Lars S. ().

  • Ich habe aber weder ein Webhosting bei Netcup, noch ein Wordpress und [Zum Schutz persönlicher Daten von der Foren-Moderation entfernt] hab ich noch nie gehört....
    Das einzige was ich habe ist ein VServer.
    Ich bin davon ausgegangen [Zum Schutz persönlicher Daten von der Foren-Moderation entfernt] sei irgendein internes Managementsystem von Netcup,

    eben weil die domain nichts mit mir zu tun hat.

    Die Domain löst auch nicht auf eine meiner IPs auf.

    [Zum Schutz persönlicher Daten von der Foren-Moderation entfernt]=> 188.68.47.84

    thalhammer.it (mein server) => 185.194.142.4

    Dann bitte in einer Nachricht an den Support oder in der Stellungnahme um eine Plausibilitätsüberprüfung des Falls bitten, da du starke Zweifel an der Richtigkeit hast.


    Ich gehe jetzt mal von dem Szenario aus, dass Netcup irrtümlicherweise diese Meldung mit deinem Konto assoziiert hat.


    [netcup] Felix P. wie wollt ihr zukünftig solche Verwechselungen verhindern und wie geht ihr mit der Beseitigung der Schäden um?

    Bei den Betroffenen werden nämlich die Server gesperrt und sie müssen Zeit investieren um überhaupt aufzuklären, was da passiert.

  • H6G  m_ueberall Ich habe jetzt über das CCP eine Anfrage an den Support gestellt sich den Fall noch mal anzuschauen.

    Stellungnahme geht leider nicht mehr da für Netcup der Fall bereits als Abgeschlossen gilt.

    Glaube aber nicht das da heute noch was passiert weil laut Website der Support nur bis 18:00 da ist.


    Sollte es sich wirklich um eine Verwechslung handeln ist das in meinem Fall nicht weiter schlimm,

    da es ein Privatserver ist und 1-2h Downtime zwar ärgerlich aber keinen Finanziellen Schaden mit sich bringt.

    Wäre aber nett gewesen per E-Mail über die Sperrung informiert zu werden, dann hätte ich mir nämlich 45 Minuten Fehlersuche gespart.


    Ich habe jetzt zur Sicherheit alle Passwörter von E-Mail Konten geändert und protokolliere alle ausgehenden SMTP Verbindungen mit (sind nicht viele bei mir).

  • da es ein Privatserver ist und 1-2h Downtime zwar ärgerlich aber keinen Finanziellen Schaden mit sich bringt.

    Verständlich, aber es geht darum, dass so eine Verwechslung ja in Zukunft auch mal einen Business Kunden treffen könnte. Und dann. Ähm. Ja... da wäre das dann schon sehr sehr doof.



    Ich möchte an dieser Stelle aber mal dein Handeln loben und wie offen, einsichtig und pflichtbewusst du in meinen Augen mit dieser Situation umgegangen bist und auch weiterhin noch umgehst.

    Wir haben hier schon weitaus schlechtere Beispiele gesehen, dein handeln in dieser Situation finde ich persönlich vorbildlich und lobenswert. :)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • whoami0501 Ja klar das wollte ich damit auch nicht sagen, sondern nur dass es mir egal ist und Netcup jetzt nicht fürchten muss. dass ich sie auf x tausend Euro Schaden verklage wenn sie zugeben, dass es eine Verwechslung war.


    Danke für das Lob, allerdings hat das auch einen recht egoistischen Hintergrund:
    Ich rege mich selbst regelmäßig über Spam auf und wenn dann mein eigener Server Spam verschicken würde wäre das jetzt nicht unbedingt positiv.

  • Sollte es sich wirklich um eine Verwechslung handeln ist das in meinem Fall nicht weiter schlimm,

    da es ein Privatserver ist und 1-2h Downtime zwar ärgerlich aber keinen Finanziellen Schaden mit sich bringt.

    Naja, das ist nicht zum ersten Mal passiert - und ich weiß nicht ob es für das Image so gut ist, wenn ab und zu Server willkürlich gesperrt werden.

    Ich als Kunde muss solchen Mechanismen und Prozessen vertrauen können.

  • H6G : Meine Server wurden noch nie gesperrt, mein Benutzer hier im Forum fälschlicherweise schon. Fehler kommen vor.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Ich denke, jeder sollte sich mal vor Augen führen, wie viele Abusemeldungen netcup versendet bei der Kundenzahl. Da sind die Beschwerden zu dem Thema hier im Forum wirklich selten. Und letztlich: Ausfälle können immer passieren. Ob das nun ein Hardwaredefekt oder ein menschlicher Fehler war. Das muss man auch so sagen, finde ich.