Da wir ja hier öfters mal über das rote H gesprochen haben:
Habe heute um kurz nach 8 Uhr eine Abuse-Mitteilung von denen erhalten. In der Mail wurden 2 IPv4-Adressen genannt. Die eine IP gehört (seit gestern) tatsächlich mir. Die andere kenne ich nicht.
Die E-Mail bestand praktisch aus einer Standard-Nachricht a la "Gucken sie mal nach, hier ist die originale E-Mail des BSI: ...."
Den BSI hab ich direkt angerufen, die kannten nicht mal die "Abuse-ID". H selber konnte mir per Telefon auch nicht weiterhelfen, die wollten dass ich denen ebenfalls per E-Mail nochmal alles erkläre.
TL;DR: Ich habe anscheinend eine Abuse-Meldung erhalten die eigentlich an den vorherigen IP-Owner hätte gehen sollen, und seitdem hab ich zitterige Hände, da ich nicht weiß ob mein Server jetzt gesperrt wird oder nicht lol.
EDIT: Es geht "nur" um Port-Scans. Die hab ich aber nie veranlasst. Hier ist die Original-Message von H:
Zitat
Sehr geehrte(r) Herr [mfnalex],
wir haben einen Sicherheitshinweis vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für (die IP-Adresse) eines Servers erhalten, den Sie bei uns betreiben. Diese Meldung leiten wir automatisch an Sie weiter, zu Ihrer Information.
Die Originalmeldung ist unten angefügt. Zusätzliche Informationen finden Sie in den How-To Anleitungen, auf die in dem Bericht verwiesen wird. Bitte beachten Sie, dass wir keine weiteren Informationen zur Verfügung haben.
Diese Meldung bedeutet nicht, dass Ihr Server in Abuse Aktivitäten verwickelt war. Sie weisen Sie lediglich auf ein potenzielles Problem auf Ihrem Server hin, das ausgenutzt werden könnte und in der Regel recht einfach zu beheben ist.
Sie brauchen weder uns noch dem BSI eine Antwort zu schicken.
Bei weiteren Fragen wenden Sie sich bitte unter Beibehaltung der Ticketnummer der Originalmeldung [CB-Report#...] in der Betreffzeile an certbund@bsi.bund.de. Antworten Sie nicht an reports@reports.cert-bund.de, da diese Adresse nur zum Versand der Reports dient und Nachrichten an diese Adresse nicht gelesen werden.
Mit freundlichen Grüßen
Alles anzeigen
Lustig ist auch, dass in der E-Mail lediglich von "(die IP-Adresse)" die Rede ist. Haben anscheinend vergessen den Placeholder zu ersetzen