Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 14:12:39

Hi Leute,

ich habe gerade ein großes Problem und OVH kann oder WILL nicht helfen.

Ich habe mehrere Server bei OVH, allerdings in Frankreich, naja, english ist kein Problem, jedoch interessiert es diese nicht. Ich soll eine "Abuse" Mail machen und warten.

Ich habe bei OVH insgesamt 241 Server. Bin also kein "kleiner" Kunde. Drei meiner Server werden nun seit 4 Tagen komplett lahm gelegt, komplett. Unregelmäßig komme ich Mails meines Sicherheitssystems das die IP gebannt wurde, naja, trotzdem kein Zugriff, dann kommt die nächste IP. Die Server werden dauerhaft Down gehalten.

Jetzt kommt das interessante an der Sache, nachdem es sich erst um Ausländische (Korea) IP Adressen handelte, sind es nun INTERNE IP Adressen von OVH. Teilweise sogar im gleichen RIPE wie mein Server.

OVH Kontaktiert. 7 der Ip Adressen gehören zu OVH Deutschland, die anderen zur Mutter OVH in Frankreich. Die RZs sind trotzdem die gleichen. Support kontaktiert, alle IPS genannt. Was erhalte ich? "Wir werden die Betreibe der Server kontaktieren". Wegen den Servern in FR muss ich dort anrufen. Gesagt, getan. Von denen habe ich nur die Info bekommen ich soll eine Abuse Mail machen warten.

Super. Das Ausfall kostet, und nicht gerade wenig. Meinen Anwalt habe ich bereits Kontaktiert, dieser wird jetzt ein Auskunfsersuchen erstellen um dann Zivilrechtlich gegen die Serverbesitzer vorzugehen.

Warum um gottes Willen gehen die nicht hin, die IPs und Logs haben sie von mir bekommen und ziehen den Stecker? Der Betreiber wird sich dann schon melden wenn sein Server Offline ist aber ich bin erstmal wieder Online.

Warum macht OVH nichts?

Wie dem auch sei plane ich nun die Server aussem Verkehr zu ziehen, was OVH eben nicht schafft muss ich nun selber in den Hand nehmen. Allerdings habe ich bisher nur Erfahrungen im "Lahm legen". Jetzt will ich nicht meine Server alle sagen wir zu 20% auslausten um die 17 Server erstmal still zu legen sondern Dauerhaft.

Das dauerhafte attakieren oder sagen wir überlasten geht ja nur solange wie meine Server diesen eben mit Anfragen überfluten. Stoppe ich das werden meine Server wieder attakiert. Also wie kriege ich die Server erstmal tot!?

Ja genau. Ich will mich nur "zur Wehr" setzen, nennen wir es "Servernotwehr".

Danke euch

DeletedUserReAsG

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von DeletedUserReAsG » 11.06.2018 14:55:25

Zuerst: Selbstjustiz wäre auch in dem Fall strafbar. Dann: lies die AGB. Und: schreib 'ne Abuse-Mail.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 14:59:04

Wenn du mich "haust" und ich haue unmittelbar zurück war das Reflex / Notwehr. Sie muss nur verhältnis mäßig sein. Also warum nicht nicht auch im IT Bereich.

Sorry aber die machen 0 gegen diese Angriffe aus deren EIGENEN Netz. Und das für Europas größten Hoster!?

Sorry, kein Verständnis.

Zudem. Wie kann OVH das DULDEN bzw einfach mal WEG SEHEN!? Das wäre ja schon fahrlässig.

Hunderte Abuse Mails. Nix. Interessiert die nicht. Nochmal Kontakt mit OVH. Was kriege ich zu hören? Ich soll anhand der IP über nen Anwalt oder STA oder Polizei ein Auskunftsersuchen machen und dann zivilrechtliche Schritten gegen den Vertragspartner einleiten. Für den Betrieb ist der Kunde nicht wir verantwortlich und zur Haftung zu ziehen.

Geht es denen noch zu gut? Die gucken einmal nach, die IPs haben sie ja schon und dann ziehen die den Stecker. Wo ist das Problem!? Wäre ich jetzt Amazon oder ein anderer "Guru" würden die mit Sicherheit nicht so handeln.

Ich könnte das ja bei einem VPS verstehen der 3 Euro kostet aber ich zahle monatlich einen 4 stelligen Betrag. Sorry. Unverantwortlich von denen.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von bluestar » 11.06.2018 15:26:38

dmant hat geschrieben: ↑ zum Beitrag ↑
11.06.2018 14:59:04
Sorry, kein Verständnis.
Hab ich für deinen Beitrag auch nicht ...
Du hast doch für dich den Hoster selbst ausgewählt...

DeletedUserReAsG

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von DeletedUserReAsG » 11.06.2018 15:31:10

Den will ich sehen, der aus einem Reflex heraus, i.e. ohne vorherige Planung und so, einen DDoS-Angriff startet :mrgreen:

Dass das hier nicht der Fall sein kann, zeigt schon dieser Thread. OVH vermietet Kisten und stellt deren Anbindung sicher, mehr nicht. Sie können nicht einfach so, nur weil irgendjemand irgendwas behauptet, die Kisten der Leute abklemmen. Deswegen schrieb ich, dass du mal die AGB lesen solltest.

Wenn du's richtig machen willst, erstattest du Anzeige. Wenn du richtige Probleme bekommen willst, fährst du dein DDoS und versuchst dem Richter dann zu erklären, dass du aus 'nem Reflex heraus gehandelt hättest.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 15:42:38

Also ich habe mich wohl nicht deutlich genug ausgedrückt.

Die IPs sind von OVH. Die haben die IPs ja auch alle per Hand gecheckt. Und JEDE IP ist von einem SERVER von OVH in DEREN Rechenzentrum.

Und OVH sagt, wie du schon sagst. MIR EGAL. ICH STELLE NUR DIE KISTEN. Macht da einer Mist. Hol dir nen Auskunftsersuchen und verklag ihn Privat. MIR(ovh) ist das egal.

Also deren Angaben nach kann ich nun mit meinen hunderten Servern mal Intern bisschen spaß haben. OVH ist das völlig egal. Wenn du Kunden sich nicht drum kümmern haben sie Pech.

Ich sage ja nicht einfach "ey nimm mal die IP vom Netz". Ab und an schafft es der Server mir mal eine log zu schicken. Wenn ich die denn dann mal kriege. Es sind zich tausende Angriffe. Die log Dateien alles habe ich denen zur Verfügung gestellt. Alles.

OVH ist es egal. Ist KUNDENSACHE. Der STÖRENFRIED kann also einfach weiter machen. Anwalt habe ich bereits morgen nen Termin. Jede min Ausfall wird geltend gemacht.

Die sehen das ja auch intern wie meine Server attackiert werden aber die verweisen auf Abuse, AGB, und Zivilrecht.....

Das kann es doch nicht sein.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 15:47:52

Also auf Deutsch:

Solange die Hardware läuft geh mir nicht auf die Nerven.


Je größer die Unternehmen um so, Naja, so nen kleiner Hoster der mit 200/300kisten ums Überleben kämpft würde hier definitiv GANZ ANDERS handeln.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von eggy » 11.06.2018 16:19:53

dmant hat geschrieben: ↑ zum Beitrag ↑
11.06.2018 14:12:39
Ich will mich nur "zur Wehr" setzen, nennen wir es "Servernotwehr".
Schonmal dran gedacht, dass auf dem Server (V-Server?) evtl nicht nur der Verursacher agiert, sondern auch andere Leute Ihr Zeug haben könnten?
Leute, die absolut nichts mit dem Mist zu tun haben? Und dass es evtl ganze Netzsegmente lahmlegt und das auch andere Unschuldige tangiert?

DeletedUserReAsG

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von DeletedUserReAsG » 11.06.2018 17:12:09

dmant, gib mal einige deiner IPs. Ich schreib dann OHV, dass ich mich davon belästigt fühle. Gegebenenfalls generiere ich auch noch paar passende Logs. Würd’s dir dann gefallen, wenn OVH dann deine Kisten quasi auf Zuruf vom Netz nimmt? Oder erwartest du eher, dass jemand, der ’n Problem mit den Kisten hat, für die du alleine verantwortlich bist, sich lieber bei dir melden sollte? Ich, für meinen Teil, bin für Letzteres. Insofern begrüße ich OVHs Haltung ausdrücklich.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 17:24:41

Nein. Die haben ja Zugriff. Physikalisch. Aufs Netzwerk usw. Und wenn die Angaben stimmen die man denen mit Log Dateien übersendet und die sich das "live" ansehen und das ja dann auch sehen, dann vll. nochmal sagen wir das ganze nach kurzer Zeit etwas länger beobachten usw. Also z.b. wenn da Auffälligkeiten sind sagen "ok, wir beobachten das jetzt 5 Std. Wenn das wirklich dauerhaft und sichtbar nen ddos ist greifen wir ein (z.b. ziehen den Stecker) nicht sofort nur weil einer was sagt.

Aber es geht ja jetzt schon 4 Tage. Verstehst du!? Es ist ja nicht so das ich erwartet habe "sofort" den Stecker zu ziehen. Freitag gemeldet. Heute IMMERNOCH so. Also da müssten die doch mal hellhörig werden und was unternehmen.

Nicht sofort und nur weil jemand was sagt. Ich z.b. wäre dankbar wenn ovh eine meiner Kisten abstellen würde wenn diese kompromittiert würde. Dies würde ja auch ggf meinen Schaden gering halten.

Das die nicht sofort "übertreiben" ist ja auch richtig und ich sage ja nicht das Verhalten von ovh ist negativ. Die Reaktion war schon richtig. Aber nach 4 Tagen kann ich schon eine Reaktion erwarten.
It's important to note that most of our services are rented "unmanaged" to our customers. This means that we only have physical access to the server and cannot access its content (no root, administrator, or user access). We are technically unable to modify or delete content, or making an abusive behavior stop by intervening directly on the server, as it is not managed by us.
Ist schon richtig und das erwarte ich auch aber nach 4 Tagen sollte ggf schon ne "Notbremse" gezogen werden und der Besitzer eben dazu gezwungen werden sich zu melden das er sich kümmert.

Dieser kann ja vll auch froh sein weil vll noch garnicht bemerkt das dass System ausser Kontrolle geraten ist.

DeletedUserReAsG

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von DeletedUserReAsG » 11.06.2018 17:42:40

dmant hat geschrieben: ↑ zum Beitrag ↑
11.06.2018 17:24:41
Die haben ja Zugriff. Physikalisch. Aufs Netzwerk usw. Und wenn die Angaben stimmen die man denen mit Log Dateien übersendet und die sich das "live" ansehen und das ja dann auch sehen, dann vll. nochmal sagen wir das ganze nach kurzer Zeit etwas länger beobachten usw. Also z.b. wenn da Auffälligkeiten sind sagen "ok, wir beobachten das jetzt 5 Std. Wenn das wirklich dauerhaft und sichtbar nen ddos ist greifen wir ein (z.b. ziehen den Stecker) nicht sofort nur weil einer was sagt.
Dem gegenüber stehen rechtliche Vorgaben. Das Einzige, was ich erwarten würde: dass sie auf die explizite Abuse-Mail hin dem jeweiligen Betreiber eine Nachricht zukommen lassen. Hast du nun schon ’ne Abuse-Mail geschrieben, wie von OVH angefragt? Was ich auf keinen Fall erwarten würde: dass sie die jeweiligen Kisten vom Netz nehmen, oder gar persönliche Daten des Betreibers ohne rechtliche Grundlage rausgeben.

OT: um welche Art DDoS handelt es sich eigentlich? Ich mein’, wenn’s deine 200+ Kisten gleichermaßen in die Knie bringt, wird’s ja schon eher was Gezieltes sein, und je nach Art des Angriffs lassen sich ja auch Gegenmaßnahmen ergreifen.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 11.06.2018 18:52:31

Also der Angriff richtet sich gezielt gegen mich. Die ganzen Server gehören mir theoretisch. Praktisch verwalte ich diese nur. Es sind also überwiegend Kundenserver die von mir Abrechnungstechnisch und Administrativ verwaltet werden. Falls der Kunde nur mal kurz mehr braucht gibt's dann einen der bei mir idle'd für kurze Zeit zur Verfügung gestellt ohne Setup Kosten etc und Tag genau abgerechnet und noch administriert.

Interessant ist das sich der Angriff gezielt gegen meine Systeme richtet. Die Kundensysteme sind nicht betroffen. Man legt mich lahm. Mein Verwaltungs und Abrechnungssystem, Zugänge, Datenbanken mit Kunden und Zugangsdaten. Mein gesamtes Management System. Tot.

Also sollte jetzt was passieren kann ich die Haftpflicht anrufen.

Mittlerweile hat man mir angeboten

das der Support die Server umzieht und man mich in einen ganz anderen IP RIPE unterbringt

oder

Ich neue Server in einem anderen Block kriege und man mir meine jetzigen HDDs per USB anhängt das ich selber spiegeln kann.

Ich habe selbstverständlich zweiteres gewählt. Jetzt heisst es warten.

Aber das ist auch nicht die Lösung der Dinge...

DeletedUserReAsG

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von DeletedUserReAsG » 11.06.2018 22:18:36

Mich würde dennoch interessieren, welcher Art der Angriff ist. Technisch gesehen.

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von schorsch_76 » 12.06.2018 07:35:32

Es gibt immer noch die Option Strafanzeige zu stellen wegen dem Angriff auf IT Systeme. Siehe auch hier [1] und ein Beispiel hier [2]

Spätestens wenn der Staatsanwalt oder die Polizei bei deinem Provider vorbeischaut, wird man aufgerüttelt werden. ;)

Auch gibt es die Option Cloudfare und Co [3] um diesem DOS Angriff zu entkommen.

[1] https://www.heise.de/ix/artikel/Zur-Strafe-1892408.html
[2] https://www.pfalz-express.de/bamf-stell ... afanzeige/
[3] https://krebsonsecurity.com/tag/cloudflare/

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von bluestar » 12.06.2018 08:45:34

Möchtest du uns denn mal daran teilhaben lassen, wie deine Maßnahmen als Hoster aussehen um dich/deine Systeme/deine Kundensysteme generell gegen DDoS Attacken zu schützen?

Bei uns haben z.B. alle Server mind. zwei Netzwerkkarten und sind über die zweite Karte mit einem privaten Netzsegment verbunden, über das die unternehmensinterne Kommunikation (Abrechung, Monitoring, Administration, etc.) läuft, so können unsere Admins auch im Falle von Angriffen - auf das System zugreifen und Maßnahmen gegen Angreifer ergreifen. All unsere eigenen System (Abrechung, Monitoring) und die Kunden-Instanzen(Web, Datenbank, Mail) sind als Container angelegt und können so innerhalb von kürzester Zeit von Server A auf Server B umgezogen werden.

dmant
Beiträge: 251
Registriert: 09.10.2017 10:28:29

Re: Server lahmgelegt, Hoster (OVH) machts nichts. Was machen? DDoS Angriff starten?

Beitrag von dmant » 12.06.2018 09:36:44

War gerade beim Anwalt. Mit sowas hat man NUR Theater.

Klar hat er mir abgeraten einen Gegenangriff laufen zu lassen. Jetzt geht's aber schon los. Meine Verträge, sondervereinbarungen und weiteres würde alles mit OVH (France) gemacht.

Somit müssen wir alles, da Gerichtsstand Frankreich ist schon einmal dort Klagen. Das OVH erst nach 4 Tagen auf hunderte Abuse Mails reagiert hat prüfen wir nun erstmal in wie weit da was zu machen ist.

Auskunftsersuchen wir ebenfalls erfolgen um zivilrechtlich gegen den Mieter des Servers vorzugehen. Sollte das jemand sein der Naja, sich vll gerade nen Server Leisten kann siehts echt doof für mich aus. Da mein Gerichtsstand D ist und der Kunde aber auch iwo in der EU oder nicht EU kann ich zwar klagen nur kommt er nicht kommt er nicht.

Schadensersatzforderungen landesübergreifend sind immer so eine Sache. Natürlich haftet der Betreiber des Servers. Ob er nun kompromittiert wurde oder nicht, spielt dabei keine Rolle. Er als Inhaber muss haften. Sofern was zu holen ist.

Sobald die dd's abgeschlossen ist werde ich Logs posten.

Ich fahre jetzt erstmal zum Büro. Dann schreib ich ein bisschen was über meine Maßnahmen erzählen.

Antworten