Beiträge von [netcup] Lars S.

Hallo zusammen,

auch heute kam es zu einer erneuten Phishing-Welle mit ähnlichen Nachrichten, wie bereits am Freitag. Es ist uns wichtig zu unterstreichen, dass es kein Datenleck bei netcup gegeben hat.

Unseren Analysen zufolge prüfen Versender der Phishing-E-Mails zuvor, ob die Domain auf eine IP-Adresse von netcup zeigt. Dies macht Ihren Angriff deutlich effizienter, da diese damit nur netcup-Kunden kontaktieren. Diese Information ist natürlich öffentlich verfügbar: Computer, die auf eine Domain zugreifen, müssen im Domain Name System (DNS) prüfen können, wo der dahinter stehende Server im Internet liegt. Genauso gehen die Versender der Nachrichten vor: Sie prüfen für eine Domain, ob diese auf netcup verweist. Ist dies der Fall, wird die Phishing-E-Mail versendet.

Bleibt noch die Frage offen, woher die Spammer an die Domains und die E-Mail-Adressen gelangen:

Domains sind in diversen Quellen öffentlich einsehbar: Zum Beispiel über Suchmaschinen, über rDNS-/PTR-Einträge von IP-Adressen und für jede Domain, für die ein SSL-Zertifikat beantragt wurde, was heutzutage einem Großteil der Domains entsprechen dürfte, in sogenannten Certificate Transparency Logs. Auch mit Malware verseuchte Systeme, die bereits eine Nachricht an eine betroffene E-Mail-Adresse in der Vergangenheit geschrieben haben, können eine Quelle für entsprechende Domains bzw. Adressen sein.

Bezüglich der verwendeten E-Mail-Adresse scheinen bei der aktuellen Phishing-Welle die E-Mails schlicht an info@[DOMAIN] versendet worden zu sein. Diese Adresse existiert natürlich oft, alternativ haben viele Nutzer eine Weiterleitung oder Catch-All-Adresse eingerichtet. In der Vergangenheit wurden Domains aber auch gezielt nach Kontakt-E-Mail-Adressen abgesucht.

Wir haben auch diverse Berichte von Kunden erhalten, die mit ihrer Domain nicht Kunde bei netcup sind, sondern diese lediglich via DNS auf ein Produkt von netcup verweisen lassen.

Ferner beinhalten die E-Mails keine persönliche Anrede.

All dies unterstreicht, dass es zu keinem Datenleck bei netcup gekommen ist.

Gerne verweise ich erneut auf unseren Wiki-Artikel zu dem Thema: https://www.netcup-wiki.de/wiki/Schutz_vor_Phishing

Vielen Dank für euer Verständnis für diese Situation. Wir können den Versand solcher E-Mails leider nicht verhindern und sofort unterbinden, sondern sind selbst Opfer dieser Betrüger und bei der Prävention bzw. Lösung z.B. auf die Zusammenarbeit mit den versendenden Providern angewiesen. Wir raten daher stets zu hoher Wachsamkeit, um sich vor solchen Betrugsversuchen zu schützen.

Ihr könnt uns Nachrichten dieser Art melden, allerdings bitte stets mit Headern (idealerweise als .eml-Datei im Anhang). Die reine Weiterleitung einer E-Mail hilft uns nicht, da diese den wahren Versender nicht offenbart. Die Meldung kann dann mit diesen Informationen an abuse@netcup.de erfolgen.

Hallo zusammen,

danke für eure zahlreichen Meldungen.

Wir sind hier nicht untätig und melden unter anderem die sendenden IP-Adressen sowie die IP-Adresse der gehosteten Seite bei den entsprechenden Providern, damit das schnellstmöglich unterbunden wird.

Unseren Beobachtungen zufolge werden die E-Mails einfach an info@[DOMAIN] gesendet, diese E-Mail-Adresse existiert natürlich häufig, sei es nun eine Catch-All-Adresse, oder auch tatsächlich existent. Gleichzeitig prüfen die Angreifer offenbar zuvor, ob die IP-Adresse, auf die die Domain verweist, tatsächlich bei netcup gehostet wird. In der Vergangenheit wurden die E-Mail-Adressen auch von der Domain gescraped, falls dort veröffentlicht.

Die Daten für die Domains können aus verschiedensten Quellen stammen, z.B. Certificate Transparency Logs, wie hier schon korrekt angemerkt, oder natürlich Suchmaschinen, rDNS-Einträgen, mit Malware verseuchten Systemen, die bereits eine E-Mail an diese in der Vergangenheit geschrieben haben, usw.

Wir beobachten Vorgänge dieser Art zunehmend und ich denke es ist daher wichtig, die Legitimität solcher E-Mails grundsätzlich in Frage zu stellen. Bei größeren Phishing-Wellen, wie in diesem Fall, versuchen wir unsere Kunden bestmöglich darauf hinzuweisen, z.B. mit einem Banner auf netcup.de und einer aktuellen Meldung auf netcup-status.de. Das ist auch nun bereits wieder erfolgt. Jedoch ist auch außerhalb größerer Wellen immer damit zu rechnen, dass bösartige Betrüger versuchen, netcup-Kunden durch Phishing zu betrügen.

Wir haben daher auch einen umfangreichen Artikel in unserem Wiki veröffentlicht, der die Erkennung von Phishing-E-Mails erleichtern soll. Es treffen auch einige Merkmale auf die aktuelle E-Mail zu:

Schutz vor Phishing – netcup Wiki

Bleibt also vorsichtig und wachsam und habt ein schönes Wochenende

Hallo Crashandy,

ionCube hat den Fehler, bei dem der ionCube Loader Cache-Dateien von Symfony Doctrine als verschlüsselt erkennt und dann deshalb den PHP-Prozess zum Abstürzen bringt, bisher leider nicht behoben. Aktuell werden wir daher den ionCube Loader für PHP 8.1 weiterhin nicht bereitstellen.

Falls es für dich eine Alternative sein könnte: Auf unseren managed Servern können wir dies individuell konfigurieren, ohne andere Nutzer zu beeinflussen, da es sich um kein shared Hosting handelt. Vielleicht sind diese ja für dich interessant, hier findest du weitere Informationen:

Hi Bud,

ich habe das Ticket geschlossen, es wird also nicht bearbeitet.

Wenn du auf die Empfangsbestätigung antwortest, landet das auch als Nachricht in dem geöffneten Ticket, das war hier auch der Fall. In jedem Fall hab ich es nun geschlossen, wir bearbeiten es also wunschgemäß nicht.

Hallo Bud,

wir können Domains auf expliziten Kundenwunsch hin früher löschen, insofern die Registry das anbietet. Wende dich dafür bitte von der im Kundenkonto hinterlegten E-Mail-Adresse / über das Kontaktformular im CCP an unseren Support und gebe an, dass du ausdrücklich wünscht, dass die Domain sofort gelöscht wird, nicht erst zum regulären Kündigungstermin.

Zitat von KB19

Moderatoren Das wäre doch was für die Liste im Wiki?

https://www.netcup-wiki.de/wiki/API_Clients

Danke für den Hinweis, ich habe es mit aufgenommen:

API Clients – netcup Wiki

Dear MefixiSnek,

We have provided an explanation here and will close this thread:

https://forum.netcup.de/informationen/ausf%C3%A4lle-von-netcup-diensten/16820-all-servers-suspended-without-warning/?postID=200142#post200142

Dear Customers,

we have provided an explanation here and will close this thread:

https://forum.netcup.de/informationen/ausf%C3%A4lle-von-netcup-diensten/16820-all-servers-suspended-without-warning/?postID=200142#post200142

Zitat von aRaphael

Mittlerweile. Heute morgen, zwischen 8 und 9 gab es davon eine ganze Menge.

Ist aber nix neues. Die begehrten Server sind relativ schnell ausverkauft.

Zitat von christianr

Eben und da liegt das Trauerspiel begraben. 3 Leute buchen 150 Server und das wars dann, anstatt nach so vielen Jahren endlich mal etwas durchdachter vorgegangen wird. Wenn man sich die früheren Twitter Kommentare so ansieht, sehen das sehr viele andere Leute genau so.

Wenigstens ist die Aktion nicht nachts um 12 Uhr gestartet - das waren ja die besten Aktionen - Mitternacht gehts los, 10 Minuten später alles ausverkauft

Hallo zusammen,

falls es uns möglich ist, bieten wir im Laufe der Osterwoche bei besonders nachgefragten Aktionen Wiederauffüllungen an. Es gibt also eine Chance, dass auch Ostereier, welche bereits vergriffen sind, erneut auftauchen werden.

Ich wünsche euch weiter viel Spaß bei der Eiersuche und ein frohes Osterfest.

Hallo zusammen,

danke für euer Feedback bezüglich der fehlenden Standort-Angabe / -Auswahl bei zusätzlichen IP-Adressen und Cloud vLANs.

Das war ein unbeabsichtigter Fehler, eine Auswahl des Standorts sollte bei diesen Produkten eigentlich möglich sein. Wir haben das nun behoben und der Standort kann bei den genannten Produkten auf der Produktseite gewählt werden.

Solltet ihr das Produkt bereits bestellt haben und dieses ist mit für euch unpassendem Standort eingerichtet worden, wendet euch bitte per E-Mail an mail@netcup.de an unseren Support, damit wir gemeinsam eine Lösung finden können. Vielen Dank.

Bitte entschuldigt die entstandenen Unannehmlichkeiten. Danke für euer Verständnis.

Hallo zusammen,

hier eine kleine Erinnerung:

Unsere Ostereiersuche auf netcup.de hat begonnen!

Bitte denkt daran, dass die Suche nur auf Desktop-Geräten (also nicht auf Handys und den meisten Tablets) möglich ist.

Ich wünsche viel Spaß und Erfolg beim Finden eures Wunschangebots.

Hallo Sherlock Holmes,

wenn du in deinem Webspace alle Dateien / Verzeichnisse gelöscht hast, kannst du bei der Standard-Domain (im Format hosting123456.af123.netcup.net) unter "Webhosting-Zugang" einfach nochmal mit "OK" speichern. Dann sollten die standardmäßigen Inhalte wiederhergestellt werden.

Zitat von [netcup] Lars S.

Hallo zusammen,

zu dem Thema ist eine Fehlermeldung mit hoher Priorität beim zuständigen Entwicklerteam offen. Ich gebe euer Feedback auch nochmals dorthin weiter. Der Fehler wird bereits aktiv untersucht.

Ein kurzes Update zu dem berichteten Fehler, bei dem rDNS-Einträge "verloren" gehen: Wir haben ein erweitertes Logging in den entsprechenden Funktionen eingebaut, die damit im Zusammenhang stehen. Solltet ihr diesen Fehler also nochmal beobachten, meldet euch bitte bei uns unter mail@netcup.de. Nehmt am besten kurz auf diesen Beitrag Bezug, dann wissen wir sofort, worum es geht. Danke

Hi,

I can provide some current information about the removal of VAT in the following. Obviously, this might change for legal reasons at any time and for this reason I recommend you to contact our support team, if you want to make sure that this is still current and that it applies to you.

Within the European Union:

• Private customers have to pay the VAT of their home country.
• Business customers can have their VAT removed, if they provide their VAT-ID (USt.-ID) during the ordering process (it is possible to enter this during the order as a new customer on our website). In case this number is not provided, it can be added later on by contacting our support team at mail@netcup.de.

Customers outside of the European Union:

• Private customers may have their VAT removed by contacting our support team at mail@netcup.de.
• Business customers can have their VAT removed, but need to provide a copy of their business license to our support team at mail@netcup.de.

Please note that there may be exceptions to the above mentioned rules. We will individually check each request for VAT removal to comply with the current applicable laws and the above does not guarantee VAT removal.

Hallo s.moenikes,

gerne prüfen wir für dich in den Protokollen des Mailservers, warum die E-Mails nicht zugestellt werden können und nehmen auch Kontakt mit den Anbietern für dich auf. Bitte wende dich dazu an unseren Support unter mail@netcup.de und wir werden dich gerne diesbezüglich unterstützen.

Zitat von aRaphael

[netcup] Lars S. oder [netcup] Claudia H. (oder sonst irgendjemand von euch):

Könntet ihr evtl. hier im Forum Bescheid geben, sobald dieser Bug behoben ist?

Irgendwie möchte ich keinen weiteren Server mehr per Inhaberwechsel übertragen, solange noch die Gefahr besteht, dass wieder ein vlan mitgerissen wird.

Das wäre nett.

Alles anzeigen

Hallo aRaphael,

der beschriebene VLAN-Bug im Zusammenhang mit Inhaberwechseln wurde nun behoben. Wir werden desweiteren schnellstmöglich alle potenziell betroffenen Inhaberwechsel überprüfen und etwaige weitere falsche Zuweisungen korrigieren.

Danke für eure Geduld und euer Verständnis.

Hallo zusammen,

danke für euer Feedback.

Ich habe einen entsprechenden Feature-Request bei unseren Entwicklern eröffnet. Eine zeitliche Abschätzung kann ich jedoch nicht treffen.

Hi Pichu,

Thank you for your post, I think we just spoke on the phone. I am glad that we were able to solve the issue.

There is currently a bug in our Server Control Panel (SCP):

If the language of the panel itself is set to English, no default locale is selected when installing an image, although this is actually required (in the German language setting, a Locale is selected by default).

Bildschirmfoto vom 2023-03-18 19-21-30.png

You have to select either de_DE or en_US here, both will work, I have just tested this. The error occurs if you select nothing at all at this step. Alternatively, you may also use the DVD drive provided in the SCP for manually installing an operating system of your choice.

I will make sure that the issue is known to our developers and they will fix it as soon as possible.

I am happy we found a solution for this issue together and I wish you lots of success and fun with your new server

Hallo stoffel_hessen, mab, Geheftet09,

der Fehler wurde behoben.

Ausgehende E-Mails werden nun wieder zuverlässig mit DKIM signiert.

Danke für euer Verständnis und eure Geduld.

Zitat von TBT

Schon ein klein wenig (zu) spät, so 1,5 Jahre...

Servicenachricht: https://linuxnews.de/2023/02/19/debian-12-freeze-stufe-2/ Debian 12 "Bookworm" kommt im Verlauf von 2023. Dann wäre eine zügige Umstellung wünschenswert.

Hi TBT,

die Kritik kann ich gut verstehen und sie ist sicherlich auch korrekt. Der Vollständigkeit halber sei aber erwähnt, dass wir Debian 11 als Image bereits unmittelbar nach Veröffentlichung bereitgestellt haben, lediglich die Umstellung auf Debian 11 als Standardimage ist erst heute erfolgt.

Wir werden das zukünftig sicherlich früher machen (allerdings vermutlich nicht unmittelbar nach Release, da vielerlei Software, wie etwa Plesk, in der Regel einige Zeit benötigt, bis diese mit der neuen Veröffentlichung kompatibel ist).