Abuse

    Mal eine Frage in die Gemeinde: Im Sommer 21 wurde das webhosting eines Kunden komplett deaktiviert, Grund war eine Mail des Registrars an netcup, eine der 8 Domains (eine .info) wäre befallen mit dem Kaseya-Virus. Das ist eine Attacke auf eine spezielle Windows-Software, die weder bei mir, noch beim Kunden installiert ist - und die keine Webseiten befällt.

    Seltsam und ärgerlich, kann man nix machen, alles untersucht, keine veränderten Dateien gefunden, alle Seiten nach Freigabe nochmal komplett neu installiert, seitdem Ruhe.


    Jetzt neuer Abuse-Hinweis nach einer Mail an netcup: "Sie hosten derzeit eine Website, die mit einem laufenden Malware-Angriff verbunden ist. Die Malware wird entweder über eine E-Mail mit einem schädlichen Anhang verbreitet, welcher beim Ausführen mit den folgenden Links zu kommunizieren scheint; oder sie wird direkt über die folgenden schädlichen Links verbreitet..." hier die http: Adresse der https://...info.

    Mal voraus gesetzt, die Webseite war und ist clean, was könnte der Grund für sowas sein? Und was kann man tun?

    hab ich natürlich schon. Länger diskutiert, nettes Gespräch, kein Fehlverhalten, alles ok, keine Ahnung.
    Irgendwie ist diese .info Domain verbrannt. Bin mir sicher, nicht durch die Webseite, die ist seit August gut geschützt und überwacht.

    1. Der Webspace von Netcup bietet SSH Zugang an, dadurch wäre es durchaus möglich entsprechende Programme zum laufen zu bringen. (Kenne hier aber die genauen Einschränkungen von Netcup nicht im Detail)

    1.1. Der Kaseya Angriff war im Juli 2021... zeitlich passt es also.


    2. Das Ruhe ist dürfte daran liegen, dass dieser Angriff zeitlich auf ein paar Tage begrenzt war. Per FTP alle Webseiten löschen und wieder neu hochladen, würde bei Punkt 1 nicht helfen.


    3. So genau habe ich mich mit dem Kaseya Angriff nicht beschäftigt aber es würde mich wundern, wenn dieses Script mit externen URL's kommuniziert hat. Hier muss also etwas anderes vorliegen.


    4. Ausgehend davon, dass die Webseite tatsächlich vollumfänglich clean ist, könnte es z.b. sein, dass ein Computer infiziert ist, der offiziell eine E-Mail Adresse von dieser .info Domain nutzt, es kann auch gut sein, dass der Content in der E-Mail falsch ist und von anderen infizierten Computern versendet wird, vielleicht ist auch der smtp Zugang der Domain nicht geschützt und die Mails gehen tatsächlich von den "Webspace" / Domain raus. Wie sehen den die Logfiles bezüglich der Aufrufe der URL aus? Gehen viele drauf, oder eher Einzelfälle? Oder gar niemand?