7
14. September 2011
Kategoriebild allgemein.png
10.000 Tage sollten reichen

Ein ManagedServer-Kunde hatte wiederholt Probleme mit Überlastungen , die stets einer bestimmten IP-Adresse zugeordnet werden konnten. Natürlich haben wir dem Wunsch entsprochen und den Verursacher mehrfach für 24 Stunden gesperrt. Da dieser sich davon wenig beeindruckt gezeigt und immer nach Aufhebung der Sperren für weitere Lastprobleme gesorgt hat, ist es unserem Kunden und seinem festen “PremiumVIP Individual” Ansprechpartner zu bunt geworden. Entnervt wurde die Technik darum gebeten, die störenden Zugriffe mindestens so lange zu sperren, “bis Weihnachten und Ostern auf einen Freitag den 13. fallen”.

Da das schwierig werden dürfte, hat die Technik stattdessen eine – natürlich rein für diesen einen Kundenserver wirksame – Sperrung mit Enddatum “28.01.2039” vorgenommen. Das sind exakt 10.000 Tage und wir werden selbstverständlich am 29.01.2039 berichten, ob nach der Aufhebung noch Zugriffe von der IP-Adresse kommen. Was nicht nur angesichts der Umstellung von IPv4 auf IPv6 ein kleines Wunder wäre ;-).

10
8. November 2010
Kategoriebild allgemein.png
Gebt mir meine Server zurück!

Reaktion eines “Kunden”, den wir als Betrüger identifiziert und abgeklemmt haben (sinngemäß):

Gebt mir meine Server zurück wie ich es verlangt habe oder: DDOS

Was für ein freundlicher Zeitgenosse.

7
19. Oktober 2010
Kategoriebild allgemein.png
Schutzgelderpressung online: Die DDOS-Pest

Bereits im Juni dieses Jahres berichtete Spiegel Online (“SPON”) über eine “Abzock-Masche”, die einer Online-Schutzgelderpressung gleich kommt: Damit die eigene Webseite (z.B. ein Onlineshop) nicht durch DDOS-Attacken lahm gelegt wird, ist ein bestimmter Geldbetrag über den Umweg eines Drittanbieters zu bezahlen. Die Feststellung für den geschilderten Fall war damals:

Die Eingangs zitierte Drohmail aber ist von anderer Natur. “Natürlich”, sagt Heitmeyer, “ist nichts passiert.” Denn offenbar geht es hier eher um das klassische Geschäftsfeld Spam: Man verschickt irgend etwas massenhaft und hofft, dass zumindest einige darauf reagieren. Da Spam-E-Mailversand so gut wie kostenlos ist, lohnt sich die Sache schon, wenn man nur einige Male Erfolg hat.

Wir und betroffene Kunden, die solche E-Mails erhalten haben, können leider aus eigener Erfahrung gegenteiliges berichten. So auch in einem aktuellen Fall, bei dem der Kunde eine dem “SPON”-Artikel entsprechende E-Mail erhalten hat und dessen Webseite daraufhin tatsächlich durch massenhafte Seitenaufrufe überlastet wurde. Erst der Umzug auf einen dedizierten Server (“Überlastungsschutz”) konnte das Problem eindämmen. Da die überlastenden Aufrufe – zumindest auf die Schnelle – auch nicht von “normalen” Besuchern zu unterscheiden waren,  kam eine Filterung des unerwünschten Datenverkehrs leider nicht in Betracht.

Die erste Nachricht der Täter lautete wie folgt:

Betreff: Downtime ihres Shops!

Sehr geehrter Shop-Admin,

am 18.10.2010 werden wir Ihren Shop für mehrere Stunden unerreichbar für Sie und Ihre Kunden machen.

Dies hat folgenden Grund: Wir werden Ihren Online Shop mit einfachen DDoS attackieren, so dass weder Sie, noch Ihre Kunden Zugriff auf Ihre Webseite, geschweige denn auf den Server haben. Dies wird nur ein kleiner Testlauf damit Sie sehen, wie ernst es uns ist!

Wir bieten Ihnen hiermit die Option an, weder die Testattacke noch den folgenden DDoS zu bekommen indem Sie bis morgen 500 Euro in Form eines Ukash Vouchers (an jeder Tankstelle zu erhalten) uns via eMail, an die angegebene E-Mail Adresse (ddos@********.cc) senden. Informationen über Ukash finden Sie auch auf http://www.u****.com oder an Ihrer Tankstelle.

Sollte bis morgen 11:45 Uhr kein U**** Code eingegangen sein, so werden wir den DDoS-Angriff starten, anfangs nur für einen relativ kurzen Zeitraum. Falls Sie nicht zahlen wird Ihr Service aber für längere Zeit offline bleiben was ihren Umsatz wohl stark sinken lassen wird.

Mit freundlichen Grüßen

ddos@********.cc

Der angegebene Zahlungsanbieter ist übrigens mit dem bei “SPON” genannten identisch; auch im gestern hier veröffentlichten Fall kam der gleiche Dienstleister zum Einsatz. Dies wirft die Frage auf, ob das laut Whois- und Kontaktangaben in Großbritannien beheimatete Unternehmen, dessen Gutscheine z.B. anonym an deutschen Tankstellen erhältlich sind, genügend gegen den Missbrauch seiner Dienste unternimmt.

Nach der Attacke wurde unser Kunde jedenfalls erneut kontaktiert:

Sehr geehrter Shop-Admin,

Da von ihnen kein Ukash-Code an meine E-Mail einging haben wir wie bereits angekündigt am 18.10.2010 ihren Shop einer mehrstündigen DDOS-Attacke ausgesetzt.

Sollte am 19.10 bis 11:45 Uhr kein Ukash-Code in Höhe von 500€ eingegangen sein wird ihr Shop erneut von uns für mehrere Stunden angegriffen und somit ihren Kunden nicht zur Verfügung stehen. Dieser Zeitraum erhöht sich mit jeden weiteren Tag ohne Zahlungseingang bis ihr Shop 24 Std am Tag nicht für Kunden erreichbar ist. Die daraus resultierenden finanziellen Folgen sollten sie selbst am besten einschätzen können.

Informationen über Ukash finden Sie auch auf http://www.u****.com oder an Ihrer Tankstelle.

Mit freundlichen Grüßen

ddos@********.cc

Es ist zu befürchten, dass die Angriffe fortgesetzt werden. Natürlich stehen wir mit unserem Kunden in Kontakt und können auch anderen eventuell zukünftig betroffenen Webseitenbetreibern nur dringend raten, sich mit ihrem Hostprovider in Verbindung zu setzen. Zu viel erwarten sollte man davon jedoch nicht, da je nach Art und Intensität des Angriffs keine grenzenlose Gegenwehr möglich ist. Wie dies im schlimmsten Fall aussehen kann, hatten wir hier beschrieben. Die gestrige Situation war damit zum Glück ebenso wenig vergleichbar, wie die vielen anderen regelmäßigen Angriffe gegen unsere Kunden, bei denen wir alles tun, um Schäden und Beeinträchtigungen einzudämmen bzw. zu verhindern.

Was also kann man tun?

Letztendlich: Viel zu wenig. Zwar kann man je nach Art und Umfang der Attacke durchaus nach z.B. Auffälligkeiten suchen und über Firewall- und Filtersysteme entsprechende Filterregeln individuell erstellen. Dies ist jedoch stets ein manueller Vorgang, der mit viel Zeit und Arbeit verbunden ist. Zudem greift er nur, wenn eben Abweichungen oder Unterschiede von “echten” Webseitenbesuchern zu erkennen sind. Aber genau das ist nicht immer der Fall. Auch (im preislich im sechsstelligen Eurobereich liegende) “Appliances” spezialisierter Hersteller sind leider kein Allheilmittel und können nur beschränkten Schutz bieten.

Wer nun darüber nachdenkt, ob nicht die Zahlung des “Schutzgeldes” das kleinere Übel wäre, sollte die damit verbundenen Folgen genau überdenken. Immerhin garantiert niemand, dass sich die Kriminellen nach der einmaligen Erfüllung ihrer Forderung zufrieden geben. Im Gegenteil könnte eine erste Zahlung die Gier der Erpresser überhaupt erst befeuern. Was mit 100, 250 oder 500 Euro beginnt, wird dann auf einmal zum Fass ohne Boden, an dessen Ende (wenn man irgendwann nicht mehr zahlen mag oder kann) dann eben doch ein Angriff stehen wird.

Im Übrigen kann natürlich eine Strafanzeige gegen unbekannt erstattet werden. Schaden sollte es jedenfalls wenig und vielleicht ergibt sich ja entweder im Einzelfall oder bei Gesamtschau aller gleichartigen Anzeigen ein Ermittlungsansatz.

9
9. September 2010
Kategoriebild interna.png
DDOS-Attacke

Ein Kunde vertreibt u.a. “Bots” für das bekannte Spiels “World of Warcraft”. Ob die Nutzungsbedingungen des Onlinespieleanbieters dies überhaupt erlauben, ist uns nicht bekannt. Zumindest scheint er sich jedoch bei anderen Spielern oder Anbietern solcher Softwareprogramme unbeliebt gemacht zu haben,  da der Kunde (und damit auch: wir und andere Kunden von uns) nun zum wiederholten Male Opfer einer massiven DDOS-Attacke geworden sind. Solche “Distributed Denial Of Service”-Angriffe, denen mehrere tausende oder zehntausende angreifende und weltweit verteilte Rechnersysteme zu Grunde liegen können, zählen zu den unschönsten Erscheinungen im Internet, mit denen man sich als Hoster und Netzanbieter herumschlagen muss. Um den Angriff in den Griff zu bekommen, müssen diese vielen (zehn-)tausend angreifenden, häufig “gekaperten” Computersysteme erst einmal ermittelt und herausgefiltert werden.

Der heutige, mit einem Angriffsvolumen von mehreren Gbit/s verbundene Fall hat daher leider für einen kurzen Zeitraum nicht nur unseren Kunden in Mitleidenschaft gezogen, sondern darüber hinaus Auswirkungen auf einige andere Internetpräsenzen gehabt.

Die Situation ist sowohl für den Kunden als auch für uns sehr unschön. Denn durch die wiederholten Angriffe entsteht bei uns ein ganz erhebliches Datenvolumen, auf dessen Kosten wir sitzen bleiben. Dies gilt auch für den gesamten entstehenden Arbeits- und Zeitaufwand bei uns.  Noch schlimmer sind jedoch die möglichen Beeinträchtigungen anderer Nutzer, die sich trotz eines aktiven Netzmanagements und erheblicher “Reserve-Ressourcen” nicht vollständig ausschließen lasen.

Nach langem hin und her haben wir nun mit dem Kunden schweren Herzens besprochen, die Zusammenarbeit fristgerecht zu beenden. Dem gingen bereits frühere und intensive Gespräche im Rahmen der Kundenbetreuung voraus. Die Situation ist aber so, wie sie derzeit ist, unter Berücksichtigung aller Aspekte nicht mehr tragbar.

Die Chance, den Tätern habhaft zu werden, ist übrigens enorm gering.

Übrigens: Auch um die Folgen solcher Attacken möglichst gering zu halten, nehmen wir eine laufende und proaktive Netzwerkaufrüstung vor. Ein weiterer Schritt ist – unabhängig von dem aktuellen Angriff – bereits fest eingeplant und steht vor seiner zeitnahen Umsetzung.