Vorsicht vor estoxy.com

[sirius01]

Hallo @all,

wer einen Server betreibt sollte die IP,s vom
Provider estoxy.com im Auge behalten.
Das es von einigen IP,s hin und wieder illegale Scans gibt ist kein
Geheimnis. Nur am 16.08. habe ich estoxy.com über eine
solche IP informiert. Auf der Webseite habe ich eine Ticketnummer bekommen
und den Hinweis, das ich eine Bestätigung per Mail bekomme.
Die Mail ist nicht angekommen(auch nicht im Spamordner) und
die besagte IP macht lustig weiter. Die haben es wohl nicht nötig .

gruß sirius01

[DeletedUserReAsG]

Was muss man sich unter „illegale Scans“ vorstellen? Und warum sollte man sich vor einem Anbieter vorsehen, wenn vermeintlich illegale Scans von deren Kunden ausgehen? Und was soll der Anbieter bei vermeintlich illegalen Scans machen, die wahrscheinlich am Ausgangspunkt nicht mal illegal sind?

Oder ist das am Ende nur ’n Werbepost für den Anbieter?

[sirius01]

Sagen wir mal so...........

Code: Alles auswählen

77.247.108.xxx - - [17/Aug/2019:22:57:21 +0200] "GET /admin/assets/js/views/login.js HTTP/1.1" 404 524
77.247.108.xxx - - [17/Aug/2019:22:57:21 +0200] "GET /asterisk//admin/assets/js/views/login.js HTTP/1.1" 404 533
77.247.108.xxx - - [17/Aug/2019:22:57:22 +0200] "GET /html//admin/assets/js/views/login.js HTTP/1.1" 404 529
77.247.108.xxx - - [17/Aug/2019:22:57:22 +0200] "GET /pbx/admin/assets/js/views/login.js HTTP/1.1" 404 528

Das ist bestimmt keine Werbung.

Und ein Anbieter der nichts zu Unterbindung solcher Aktivitäten tut, den
kann man nun mal nicht trauen. Daher das Vorsicht .

gruß sirius01

[DeletedUserReAsG]

Das sind vollkommen legitime Zugriffsversuche. Kein Provider auf dieser Welt wird etwas dagegen unternehmen.

Wäre ja schlimm, wenn ich auf ’ne nicht existente Datei auf irgendjemandes Server zuzugreifen versuche, und mein Provider würde mich dafür sperren.

[bluestar]

Geheimnis. Nur am 16.08. habe ich estoxy.com über eine
solche IP informiert.

Naja der 16. ist ein Freitag, warte doch einfach mal 3-4 Werktage ab....

Für den Anbieter hast du erst einmal nur eine Behauptung aufgestellt, die muss geprüft, dann an den Kunden bzgl. Stellungnahme (idealerweise mit Frist) weitergeleitet werden und dann wird, falls nötig reagiert.

[Milbret]

Spar dir die Zeit.
Sowas trifft bei mir auch täglich ein, ich ignoriere diese Versuche einfach.
Solange du einen Webserver am laufen hast, werden immer Bots versuchen auf solche gesperrten Bereiche Zugriff verschaffen wollen.
Entweder du sperrst diese selbst aus, entsprechende Filter Regeln umsetzen und aktivieren, oder du musst damit leben.
Kein Provider oder Hoster wird sich die mphe machen solchen Vorgängen nachzugehen.

Wenn es keine expliziten Fällen gibt, also Servereinbruch o.ä. wären solche Aufzuruf Aktionen auch rechtlich sehr gewagt für einen Provider oder Hoster.

T-Virus

[Korodny]

"Illegal" ist vielleicht etwas heftiger Tobak - und auch gleich Warnungen vor einem Anbieter auszusprechen, weil der nicht am Wochenende eine Beschwerde wegen eines Bots ausführlich bearbeitet, ist etwas arg dramatisch. Du erreichst erfahrungsgemäß mehr, wenn du deinem Gegenüber nicht zur Begrüßung ins Gesicht schlägst.

Irgendwo auf deren Servern wird ein Bot-Skript ausgeführt, das beliebige Webseiten auf Schwachstellen abklopft und versucht einen Hintereingang zu finden. Solche Bot-Angriffe kennt jeder, der weit verbreitete Standard-Software (Wordpress, Joomla, phpBB etc.) einsetzt. Entweder duldet estoxy.com solche Mieter bei sich, dann hast du eben Pech gehabt. "Warnen" brauchst du vor einem solchen Anbieter aber nicht wirklich, wer aus Deutschland einen estnischen Server mietet wird schon wissen, warum er das tut und deine Warnung ignorieren. Und "Angriffe" dieser Art gibt es täglich von Dutzenden verschiedenen Servern.

Die wahrscheinlichere Variante - zumindest würde ich bei einem Server in Deutschland erst mal von diesem Szenario ausgehen - ist aber, dass einer ihrer Kunden gehackt wurde und deren Webspace/vServer jetzt zum Ausführen des Bot-Skripts missbraucht wird. In dem Fall ist estoxy ebenfalls ein Opfer, genau wie deren gehackter Kunde.

[hec_tech]

Wenn wir in der Firma diese ganzen "Angriffe" analysieren und melden würden könnten wir dafür ein eigenes Team dafür einstellen.

Wie soll ein Anbieter sowas überhaupt unterbinden? Die vm bzw den Server herunterfahren mehr ist nicht drinnen.

Warum das überhaupt illegal sein soll verstehe ich nicht so recht. Einen Einbruchsversuch kann ich da nicht feststellen. Ich darf mir auch jedes Schloss anschauen dafür kann mich auch niemand wegen versuchten Einbruchs verurteilen.

CERT macht regelmäßig Scans auf CVEs. Eventuell ist das hier sowas ähnliches. Es kann auch ein beauftragter Security Audit sein und irgendwer hat sich mit der IP vertippt und geirrt soll alles vorkommen.