Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
dmant
Beiträge: 190
Registriert: 09.10.2017 10:28:29

Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 14:12:39

Hi Leute,

ich habe gerade ein großes Problem und OVH kann oder WILL nicht helfen.

Ich habe mehrere Server bei OVH, allerdings in Frankreich, naja, english ist kein Problem, jedoch interessiert es diese nicht. Ich soll eine "Abuse" Mail machen und warten.

Ich habe bei OVH insgesamt 241 Server. Bin also kein "kleiner" Kunde. Drei meiner Server werden nun seit 4 Tagen komplett lahm gelegt, komplett. Unregelmäßig komme ich Mails meines Sicherheitssystems das die IP gebannt wurde, naja, trotzdem kein Zugriff, dann kommt die nächste IP. Die Server werden dauerhaft Down gehalten.

Jetzt kommt das interessante an der Sache, nachdem es sich erst um Ausländische (Korea) IP Adressen handelte, sind es nun INTERNE IP Adressen von OVH. Teilweise sogar im gleichen RIPE wie mein Server.

OVH Kontaktiert. 7 der Ip Adressen gehören zu OVH Deutschland, die anderen zur Mutter OVH in Frankreich. Die RZs sind trotzdem die gleichen. Support kontaktiert, alle IPS genannt. Was erhalte ich? "Wir werden die Betreibe der Server kontaktieren". Wegen den Servern in FR muss ich dort anrufen. Gesagt, getan. Von denen habe ich nur die Info bekommen ich soll eine Abuse Mail machen warten.

Super. Das Ausfall kostet, und nicht gerade wenig. Meinen Anwalt habe ich bereits Kontaktiert, dieser wird jetzt ein Auskunfsersuchen erstellen um dann Zivilrechtlich gegen die Serverbesitzer vorzugehen.

Warum um gottes Willen gehen die nicht hin, die IPs und Logs haben sie von mir bekommen und ziehen den Stecker? Der Betreiber wird sich dann schon melden wenn sein Server Offline ist aber ich bin erstmal wieder Online.

Warum macht OVH nichts?

Wie dem auch sei plane ich nun die Server aussem Verkehr zu ziehen, was OVH eben nicht schafft muss ich nun selber in den Hand nehmen. Allerdings habe ich bisher nur Erfahrungen im "Lahm legen". Jetzt will ich nicht meine Server alle sagen wir zu 20% auslausten um die 17 Server erstmal still zu legen sondern Dauerhaft.

Das dauerhafte attakieren oder sagen wir überlasten geht ja nur solange wie meine Server diesen eben mit Anfragen überfluten. Stoppe ich das werden meine Server wieder attakiert. Also wie kriege ich die Server erstmal tot!?

Ja genau. Ich will mich nur "zur Wehr" setzen, nennen wir es "Servernotwehr".

Danke euch

Benutzeravatar
niemand
Beiträge: 11612
Registriert: 18.07.2004 16:43:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von niemand » 11.06.2018 14:55:25

Zuerst: Selbstjustiz wäre auch in dem Fall strafbar. Dann: lies die AGB. Und: schreib 'ne Abuse-Mail.
Hardware: dunkelgrauer Laptop mit buntem Display (zum Aufklappen!) und eingebauter Tastatur; beiger Klotz mit allerhand Kabeln und auch mit Farbdisplay und Tastatur (je zum auf’n Tisch Stellen)
Am 7. Tag aber sprach der HERR: „QWNoIFNjaGVpw58sIGtlaW5lbiBCb2NrIG1laHIgYXVmIGRlbiBNaXN0ISBJY2ggbGFzcyBkYXMgamV0enQgZWluZmFjaCBzbyDigKYK“

dmant
Beiträge: 190
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 14:59:04

Wenn du mich "haust" und ich haue unmittelbar zurück war das Reflex / Notwehr. Sie muss nur verhältnis mäßig sein. Also warum nicht nicht auch im IT Bereich.

Sorry aber die machen 0 gegen diese Angriffe aus deren EIGENEN Netz. Und das für Europas größten Hoster!?

Sorry, kein Verständnis.

Zudem. Wie kann OVH das DULDEN bzw einfach mal WEG SEHEN!? Das wäre ja schon fahrlässig.

Hunderte Abuse Mails. Nix. Interessiert die nicht. Nochmal Kontakt mit OVH. Was kriege ich zu hören? Ich soll anhand der IP über nen Anwalt oder STA oder Polizei ein Auskunftsersuchen machen und dann zivilrechtliche Schritten gegen den Vertragspartner einleiten. Für den Betrieb ist der Kunde nicht wir verantwortlich und zur Haftung zu ziehen.

Geht es denen noch zu gut? Die gucken einmal nach, die IPs haben sie ja schon und dann ziehen die den Stecker. Wo ist das Problem!? Wäre ich jetzt Amazon oder ein anderer "Guru" würden die mit Sicherheit nicht so handeln.

Ich könnte das ja bei einem VPS verstehen der 3 Euro kostet aber ich zahle monatlich einen 4 stelligen Betrag. Sorry. Unverantwortlich von denen.

Benutzeravatar
bluestar
Beiträge: 626
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von bluestar » 11.06.2018 15:26:38

dmant hat geschrieben: ↑ zum Beitrag ↑
11.06.2018 14:59:04
Sorry, kein Verständnis.
Hab ich für deinen Beitrag auch nicht ...
Du hast doch für dich den Hoster selbst ausgewählt...

Benutzeravatar
niemand
Beiträge: 11612
Registriert: 18.07.2004 16:43:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von niemand » 11.06.2018 15:31:10

Den will ich sehen, der aus einem Reflex heraus, i.e. ohne vorherige Planung und so, einen DDoS-Angriff startet :mrgreen:

Dass das hier nicht der Fall sein kann, zeigt schon dieser Thread. OVH vermietet Kisten und stellt deren Anbindung sicher, mehr nicht. Sie können nicht einfach so, nur weil irgendjemand irgendwas behauptet, die Kisten der Leute abklemmen. Deswegen schrieb ich, dass du mal die AGB lesen solltest.

Wenn du's richtig machen willst, erstattest du Anzeige. Wenn du richtige Probleme bekommen willst, fährst du dein DDoS und versuchst dem Richter dann zu erklären, dass du aus 'nem Reflex heraus gehandelt hättest.
Hardware: dunkelgrauer Laptop mit buntem Display (zum Aufklappen!) und eingebauter Tastatur; beiger Klotz mit allerhand Kabeln und auch mit Farbdisplay und Tastatur (je zum auf’n Tisch Stellen)
Am 7. Tag aber sprach der HERR: „QWNoIFNjaGVpw58sIGtlaW5lbiBCb2NrIG1laHIgYXVmIGRlbiBNaXN0ISBJY2ggbGFzcyBkYXMgamV0enQgZWluZmFjaCBzbyDigKYK“

dmant
Beiträge: 190
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 15:42:38

Also ich habe mich wohl nicht deutlich genug ausgedrückt.

Die IPs sind von OVH. Die haben die IPs ja auch alle per Hand gecheckt. Und JEDE IP ist von einem SERVER von OVH in DEREN Rechenzentrum.

Und OVH sagt, wie du schon sagst. MIR EGAL. ICH STELLE NUR DIE KISTEN. Macht da einer Mist. Hol dir nen Auskunftsersuchen und verklag ihn Privat. MIR(ovh) ist das egal.

Also deren Angaben nach kann ich nun mit meinen hunderten Servern mal Intern bisschen spaß haben. OVH ist das völlig egal. Wenn du Kunden sich nicht drum kümmern haben sie Pech.

Ich sage ja nicht einfach "ey nimm mal die IP vom Netz". Ab und an schafft es der Server mir mal eine log zu schicken. Wenn ich die denn dann mal kriege. Es sind zich tausende Angriffe. Die log Dateien alles habe ich denen zur Verfügung gestellt. Alles.

OVH ist es egal. Ist KUNDENSACHE. Der STÖRENFRIED kann also einfach weiter machen. Anwalt habe ich bereits morgen nen Termin. Jede min Ausfall wird geltend gemacht.

Die sehen das ja auch intern wie meine Server attackiert werden aber die verweisen auf Abuse, AGB, und Zivilrecht.....

Das kann es doch nicht sein.

dmant
Beiträge: 190
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 15:47:52

Also auf Deutsch:

Solange die Hardware läuft geh mir nicht auf die Nerven.


Je größer die Unternehmen um so, Naja, so nen kleiner Hoster der mit 200/300kisten ums Überleben kämpft würde hier definitiv GANZ ANDERS handeln.

eggy
Beiträge: 1471
Registriert: 10.05.2008 11:23:50

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von eggy » 11.06.2018 16:19:53

dmant hat geschrieben: ↑ zum Beitrag ↑
11.06.2018 14:12:39
Ich will mich nur "zur Wehr" setzen, nennen wir es "Servernotwehr".
Schonmal dran gedacht, dass auf dem Server (V-Server?) evtl nicht nur der Verursacher agiert, sondern auch andere Leute Ihr Zeug haben könnten?
Leute, die absolut nichts mit dem Mist zu tun haben? Und dass es evtl ganze Netzsegmente lahmlegt und das auch andere Unschuldige tangiert?

Benutzeravatar
niemand
Beiträge: 11612
Registriert: 18.07.2004 16:43:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von niemand » 11.06.2018 17:12:09

dmant, gib mal einige deiner IPs. Ich schreib dann OHV, dass ich mich davon belästigt fühle. Gegebenenfalls generiere ich auch noch paar passende Logs. Würd’s dir dann gefallen, wenn OVH dann deine Kisten quasi auf Zuruf vom Netz nimmt? Oder erwartest du eher, dass jemand, der ’n Problem mit den Kisten hat, für die du alleine verantwortlich bist, sich lieber bei dir melden sollte? Ich, für meinen Teil, bin für Letzteres. Insofern begrüße ich OVHs Haltung ausdrücklich.
Hardware: dunkelgrauer Laptop mit buntem Display (zum Aufklappen!) und eingebauter Tastatur; beiger Klotz mit allerhand Kabeln und auch mit Farbdisplay und Tastatur (je zum auf’n Tisch Stellen)
Am 7. Tag aber sprach der HERR: „QWNoIFNjaGVpw58sIGtlaW5lbiBCb2NrIG1laHIgYXVmIGRlbiBNaXN0ISBJY2ggbGFzcyBkYXMgamV0enQgZWluZmFjaCBzbyDigKYK“

dmant
Beiträge: 190
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 17:24:41

Nein. Die haben ja Zugriff. Physikalisch. Aufs Netzwerk usw. Und wenn die Angaben stimmen die man denen mit Log Dateien übersendet und die sich das "live" ansehen und das ja dann auch sehen, dann vll. nochmal sagen wir das ganze nach kurzer Zeit etwas länger beobachten usw. Also z.b. wenn da Auffälligkeiten sind sagen "ok, wir beobachten das jetzt 5 Std. Wenn das wirklich dauerhaft und sichtbar nen ddos ist greifen wir ein (z.b. ziehen den Stecker) nicht sofort nur weil einer was sagt.

Aber es geht ja jetzt schon 4 Tage. Verstehst du!? Es ist ja nicht so das ich erwartet habe "sofort" den Stecker zu ziehen. Freitag gemeldet. Heute IMMERNOCH so. Also da müssten die doch mal hellhörig werden und was unternehmen.

Nicht sofort und nur weil jemand was sagt. Ich z.b. wäre dankbar wenn ovh eine meiner Kisten abstellen würde wenn diese kompromittiert würde. Dies würde ja auch ggf meinen Schaden gering halten.

Das die nicht sofort "übertreiben" ist ja auch richtig und ich sage ja nicht das Verhalten von ovh ist negativ. Die Reaktion war schon richtig. Aber nach 4 Tagen kann ich schon eine Reaktion erwarten.
It's important to note that most of our services are rented "unmanaged" to our customers. This means that we only have physical access to the server and cannot access its content (no root, administrator, or user access). We are technically unable to modify or delete content, or making an abusive behavior stop by intervening directly on the server, as it is not managed by us.
Ist schon richtig und das erwarte ich auch aber nach 4 Tagen sollte ggf schon ne "Notbremse" gezogen werden und der Besitzer eben dazu gezwungen werden sich zu melden das er sich kümmert.

Dieser kann ja vll auch froh sein weil vll noch garnicht bemerkt das dass System ausser Kontrolle geraten ist.

Benutzeravatar
niemand
Beiträge: 11612
Registriert: 18.07.2004 16:43:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von niemand » 11.06.2018 17:42:40

dmant hat geschrieben: ↑ zum Beitrag ↑
11.06.2018 17:24:41
Die haben ja Zugriff. Physikalisch. Aufs Netzwerk usw. Und wenn die Angaben stimmen die man denen mit Log Dateien übersendet und die sich das "live" ansehen und das ja dann auch sehen, dann vll. nochmal sagen wir das ganze nach kurzer Zeit etwas länger beobachten usw. Also z.b. wenn da Auffälligkeiten sind sagen "ok, wir beobachten das jetzt 5 Std. Wenn das wirklich dauerhaft und sichtbar nen ddos ist greifen wir ein (z.b. ziehen den Stecker) nicht sofort nur weil einer was sagt.
Dem gegenüber stehen rechtliche Vorgaben. Das Einzige, was ich erwarten würde: dass sie auf die explizite Abuse-Mail hin dem jeweiligen Betreiber eine Nachricht zukommen lassen. Hast du nun schon ’ne Abuse-Mail geschrieben, wie von OVH angefragt? Was ich auf keinen Fall erwarten würde: dass sie die jeweiligen Kisten vom Netz nehmen, oder gar persönliche Daten des Betreibers ohne rechtliche Grundlage rausgeben.

OT: um welche Art DDoS handelt es sich eigentlich? Ich mein’, wenn’s deine 200+ Kisten gleichermaßen in die Knie bringt, wird’s ja schon eher was Gezieltes sein, und je nach Art des Angriffs lassen sich ja auch Gegenmaßnahmen ergreifen.
Hardware: dunkelgrauer Laptop mit buntem Display (zum Aufklappen!) und eingebauter Tastatur; beiger Klotz mit allerhand Kabeln und auch mit Farbdisplay und Tastatur (je zum auf’n Tisch Stellen)
Am 7. Tag aber sprach der HERR: „QWNoIFNjaGVpw58sIGtlaW5lbiBCb2NrIG1laHIgYXVmIGRlbiBNaXN0ISBJY2ggbGFzcyBkYXMgamV0enQgZWluZmFjaCBzbyDigKYK“

dmant
Beiträge: 190
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 18:52:31

Also der Angriff richtet sich gezielt gegen mich. Die ganzen Server gehören mir theoretisch. Praktisch verwalte ich diese nur. Es sind also überwiegend Kundenserver die von mir Abrechnungstechnisch und Administrativ verwaltet werden. Falls der Kunde nur mal kurz mehr braucht gibt's dann einen der bei mir idle'd für kurze Zeit zur Verfügung gestellt ohne Setup Kosten etc und Tag genau abgerechnet und noch administriert.

Interessant ist das sich der Angriff gezielt gegen meine Systeme richtet. Die Kundensysteme sind nicht betroffen. Man legt mich lahm. Mein Verwaltungs und Abrechnungssystem, Zugänge, Datenbanken mit Kunden und Zugangsdaten. Mein gesamtes Management System. Tot.

Also sollte jetzt was passieren kann ich die Haftpflicht anrufen.

Mittlerweile hat man mir angeboten

das der Support die Server umzieht und man mich in einen ganz anderen IP RIPE unterbringt

oder

Ich neue Server in einem anderen Block kriege und man mir meine jetzigen HDDs per USB anhängt das ich selber spiegeln kann.

Ich habe selbstverständlich zweiteres gewählt. Jetzt heisst es warten.

Aber das ist auch nicht die Lösung der Dinge...

Benutzeravatar
niemand
Beiträge: 11612
Registriert: 18.07.2004 16:43:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von niemand » 11.06.2018 22:18:36

Mich würde dennoch interessieren, welcher Art der Angriff ist. Technisch gesehen.
Hardware: dunkelgrauer Laptop mit buntem Display (zum Aufklappen!) und eingebauter Tastatur; beiger Klotz mit allerhand Kabeln und auch mit Farbdisplay und Tastatur (je zum auf’n Tisch Stellen)
Am 7. Tag aber sprach der HERR: „QWNoIFNjaGVpw58sIGtlaW5lbiBCb2NrIG1laHIgYXVmIGRlbiBNaXN0ISBJY2ggbGFzcyBkYXMgamV0enQgZWluZmFjaCBzbyDigKYK“

Benutzeravatar
schorsch_76
Beiträge: 1771
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von schorsch_76 » 12.06.2018 07:35:32

Es gibt immer noch die Option Strafanzeige zu stellen wegen dem Angriff auf IT Systeme. Siehe auch hier [1] und ein Beispiel hier [2]

Spätestens wenn der Staatsanwalt oder die Polizei bei deinem Provider vorbeischaut, wird man aufgerüttelt werden. ;)

Auch gibt es die Option Cloudfare und Co [3] um diesem DOS Angriff zu entkommen.

[1] https://www.heise.de/ix/artikel/Zur-Strafe-1892408.html
[2] https://www.pfalz-express.de/bamf-stell ... afanzeige/
[3] https://krebsonsecurity.com/tag/cloudflare/

Benutzeravatar
bluestar
Beiträge: 626
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von bluestar » 12.06.2018 08:45:34

Möchtest du uns denn mal daran teilhaben lassen, wie deine Maßnahmen als Hoster aussehen um dich/deine Systeme/deine Kundensysteme generell gegen DDoS Attacken zu schützen?

Bei uns haben z.B. alle Server mind. zwei Netzwerkkarten und sind über die zweite Karte mit einem privaten Netzsegment verbunden, über das die unternehmensinterne Kommunikation (Abrechung, Monitoring, Administration, etc.) läuft, so können unsere Admins auch im Falle von Angriffen - auf das System zugreifen und Maßnahmen gegen Angreifer ergreifen. All unsere eigenen System (Abrechung, Monitoring) und die Kunden-Instanzen(Web, Datenbank, Mail) sind als Container angelegt und können so innerhalb von kürzester Zeit von Server A auf Server B umgezogen werden.

Antworten