Beiträge von Fedor

    Wie ich heute bemerkt habe ist mein VServer deaktiviert worden.
    Da ich den Server erst knapp über eine Woche besitze verwundert mich das schon ein wenig.

    Da ich im Moment gerade ein wenig überfordert bin würde ich mich über Hilfe freuen.

    Mein Problem ist das ich noch Datein auf dem Server habe die ich bräuchte aber keine U-Erklärung unterschreiben kann weil ich es nicht versichern kann das es nicht nocheinmal vorkommt. Aber anders wird der Server ja nicht in das Rettungssystem gebootet.

    Folgende Email habe ich bekommen.

    Guten Tag XXXXXX XXXXX,

    Ihr Server vXXXXX - Root-Server L v2 hat einen Angriff auf einen oder mehrere andere Server im Internet ausgeführt. Dabei wurden erhebliche Netzwerkressourcen beansprucht und Teile unseres Netzwerks stark beeinträchtigt.
    Ihr Server wurde deshalb deaktiviert.

    Für Ihre notwendigen Wartungs- und Analysearbeiten können wir Ihr System auf Wunsch im Rettungssystem für Sie starten. Ihr Server wird dabei mit einem minimalen Linux gestartet. Hinweise zur Bedienung des Rettungssystem finden Sie hier: Rettungssystem – netcup Wiki

    Um Ihren Server wieder aktivieren zu können, benötigen wir von Ihnen eine schriftliche, persönlich durch Sie unterschriebene Stellungnahme per Brief oder Fax. Geben Sie darin bitte an, wie es zu dem Vorfall kam und wie Sie solche Vorfälle in Zukunft verhindern. Zudem benötigen wir eine Unterlassungserklärung, in der Sie uns zusichern, dass ein solcher Vorfall nicht erneut vorkommt und dass alle schadhaften Dateien entfernt wurden. Verwenden Sie zur Erstellung bitte folgendes Formular:

    Eine Stellungnahme per E-Mail reicht zur Aktivierung Ihres Servers nicht aus.

    Wenn Sie uns nicht zusichern können, dass alle schadhaften Daten und veränderten Dateien entfernt wurden, besteht die Möglichkeit, dass wir das System für Sie neu installieren. Beachten Sie dabei, dass alle vorhandenen Daten unwiderruflich gelöscht werden. Bitte wählen Sie, falls gewünscht, diesen Punkt auf dem Formular aus.


    Hello Abuse-Team,

    your Server/Customer with the IP: ** has attacked one of our servers/partners.
    The attackers used the method/service: *ssh* on: *Fri, 31 Jan 2014 21:45:05 +0800*.
    The time listed is from the server-time of the Blocklist-user who submitted the report.
    The attack was reported to the on: *Fri, 31 Jan 2014 23:01:59 +0100*

    The IP has been automatically blocked for a period of time. For an IP to be blocked, it
    to have made several failed logins (ssh, imap....), tried to log in for an \"invalid user\",
    or have
    triggered several 5xx-Error-Codes (eg. Blacklist on email...), all during a short period
    of time.
    The Server-Owner configures the number of failed attempts, and the time period they have
    to occur in, in order to trigger a ban and report. Blocklist has no control over these

    Please check the machine behind the IP XXXXXX (
    and fix the problem.
    This is the 2 Attack (reported: 2) from this IP; see:
    show history/attacks for IP: XXXXXX () IP - Hit: 0; Page:

    If you need the logs in another format (rather than an attachment), please let us know.
    You can see the Logfiles online again:
    Show Logs again from the Report.

    You can parse this abuse report mail with X-ARF-Tools from
    e.g. validatexarf-php.tar.gz.
    You can find more information about X-Arf V0.2 at

    This message will be sent again in one day if more attacks are reported to Blocklist.
    In the attachment of this message you can find the original logs from the attacked system.

    To pause this message for one week, you can use our \"Stop Reports\" feature on
    to submit
    the IP you want to stop recieving emails about, and the email you want to stop receiving
    them on.
    If more attacks from your network are recognized after the seven day grace period, the
    reports will start
    being sent again.

    To pause these reports for one week: -- Stop Reports for a IP and E-Mail-Address for 7 Days to fix the Problem.[..]

    We found this abuse email address in the Whois-Data from the IP under the SearchString
    \"abuse-c (Ripe AbuseFinder)\"
    Reply to this message to let us know if you want us to send future reports to a different
    email. (e.g. to abuse-quiet or a special address)

    ------------------------------ Abuse-Team
    This message was sent automatically. For questions please use our Contact-Form
    (autogenerated@ is not monitored!):
    Contactform, ask us or sent us your Server-Data to sent Report over us.
    Logfiles: Show Logs again from the Report.