Sehr geehrte Damen und Herren,was lernen wir aus dieser mail?
Bitte an den zuständigen Administrator weiterleiten!
Wie Sie diesem Mail entnehmen können wird Ihr System/Netz benutzt um Angriffe zu starten und/oder Spammails bzw. Viren zu verschicken!
Hierbei handelt es sich um ein gravierendes Sicherheitsloch für Sie bzw. Ihr Netzwerk.
Bitte beachten Sie, dass diese Aktionen auch rechtliche Folgen haben können!
Um dies zu vermeiden, überprüfen Sie bitte ihre Rechner auf Viren/FastFlux-Kits/Rootkits/Konfigurationsfehler und andere Sicherheitsprobleme!
Sollten Sie mehrere unserer Anfragen über längere Zeit ignorieren, sehen wir uns gezwungen Sie bis auf weiteres zu sperren.
Bitte nehmen Sie auch zur Kenntnis, dass Ihre Daten auf diesem Gerät und im angeschlossenen Netzwerk ebenso durch möglichen Diebstahl gefährdet sind, da dieses Programm welches sich offensichtlich gerade zu verbreiten versucht, diese auch lesen und an den Verursacher versendet werden kann (z.B. Name, Mailadressen und Postadressen von Kundendatensätzen welche dann weiter verkauft werden)
Mit freundlichen Grüßen
Ihr xxx Abuse Team.
---------------------------------------------
Von: xxx [mailto:xxx]
Gesendet: Freitag, 12. Dezember 2008 09:02
An: abuse@xxx
Betreff: AW: Hackerangriff der IP x.x.x.x
Wichtigkeit: Hoch
Sehr geehrte Damen und Herren!
Es handelt sich um die IP x.x.x.x!
Anbei finden sie einen Auszug aus dem Logfile!
Der komplette liegt bei uns und dem LKA auf!
Danke für Ihre Bemühungen
---------------------------------------------
Von: abuse@xxx [mailto:abuse@xxx]
Gesendet: Freitag, 12. Dezember 2008 08:58
An: xxx
Betreff: AW: Hackerangriff der IP x.x.x.x
Sehr geehrte Frau xxx!
Im Betreff nennen Sie die IP x.x.x.x
Diese liegt natürich im Verwaltungsbereich von xxx/xxx
Im Mailtext wird dann allerdings die IP y.y.y.y genannt.
Diese liegt dann nichtmehr in unserem Verwaltungsbereich.
Ich bitte nun um Bekanntgabe welche IP der tatsächliche Verursacher ist, wenn möglich bitte mit einem Auszug der Logfiles.
Mit freundlichen Grüßen
Ihr xxx Abuse Team.
---------------------------------------------
From: xxx [mailto:xxx]
Sent: Donnerstag, 11. Dezember 2008 16:19
To: abuse@xxx
Subject: AW: Hackerangriff der IP x.x.x.x
Importance: High
Sehr geehrte Damen und Herren!
Diese IP ist eine IP im Verwaltungsbereich von xxx, und das LKA hat mit Herrn xxx besprochen, diese Mail zu schreiben!
Daher bitten wir nochmals um Ihre Recherche bzw. Bestätigung der Sperre!
Besten Dank
---------------------------------------------
Von: abuse@xxx [mailto:abuse@xxx]
Gesendet: Donnerstag, 11. Dezember 2008 15:07
An: xxx
Betreff: AW: Hackerangriff der IP x.x.x.x
Sehr geehrte Frau xxx!
Die IP y.y.y.y gehört nicht in unseren Verwaltungsbereich.
Bitte wenden Sie sich diesbezüglich an den zuständigen Provider.
Mit freundlichen Grüßen
Ihr xxx Abuse Team.
---------------------------------------------
Von: xxx [mailto:xxx]
Gesendet: Freitag, 05. Dezember 2008 14:54
An: abuse@xxx
Cc: xxx; xxx@xxx; xxx@xxx
Betreff: Hackerangriff der IP x.x.x.x
Wichtigkeit: Hoch
Sehr geehrter Herr xxx!
Nach telefonischer Rücksprache des Landeskriminalamt Hr. xxx sollen wir Ihnen folgende Verhaltensdarstellung näherbringen:
Die xxx GmbH. betreibt ein Internetportal, die Webseite lautet www.xxx.at (IP z.z.z.z), auf der die vom Land Wien geförderten Wohnungen ersichtlich sind. Mann kann sich dort nicht nur Auskünfte über freie Wohnungen einholen, sondern auch direkt online anmelden.
Seit einiger Zeit erfolgen massive Hackerangriffe auf unsere Webseite. Diese wurden durch umfassende Sicherheitsvorkehrungen unserer betreuenden Softwarefirma xxx GmbH. abgewehrt, jedoch manifestierte sich nun eine IP-Adresse und zwar y.y.y.y, durch die weiter versucht wird in unser EDV-System einzugreifen.
Die schwere Störung unserer Seite hat zur Folge, dass andere Kunden unseres Unternehmens extrem stark beeinträchtigt sind, da durch den Hackerangriff unsere Seite fast zum Stillstand kommt.
Die angesprochene IP wird von Ihrem Unternehmen verwaltet, daher fordern wir Sie auf, diese IP umgehend zu sperren.
Zur Dokumentation senden wir einen Auszug des Logfiles mit - der gesamte Logfile ist bei uns und dem LKA vorhanden.
Für eventuelle Rückfragen, bzw. die positive Erledigung unserer Aufforderung erbitte ich Ihren Rückruf unter Tel.: xxx und eine schriftliche Bestätigung!
Mit besten Dank
daß viele leute es einfach nicht überreißen, daß man seinen senf unter der zitierten original nachricht platziert, damit man später nicht von unten nach oben lesen muß, aber das nur am rande...
ich hab' also per mail nachgefragt, was denn konkret passiert ist bzw. ob ich das log haben könnte.
stunden später hab' ich dann einen auszug aus dem log bekommen, der aus zeilen wie den folgenden besteht:
Dec 3 04:15:53 fw-xxx kernel: DROP-FORWARD IN=eth1 OUT=eth0 SRC=x.x.x.x DST=y.y.y.y LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=34373 DF PROTO=TCP SPT=14039 DPT=443 WINDOW=5840 RES=0x00 SYN URGP=0
Dec 3 04:15:59 fw-xxx kernel: DROP-FORWARD IN=eth1 OUT=eth0 SRC=x.x.x.x DST=y.y.y.y LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=18670 DF PROTO=TCP SPT=14016 DPT=443 WINDOW=5840 RES=0x00 SYN URGP=0
ich habe daher folgende antwort geschrieben:
Sehr geehrte Damen und Herren,
wie man dem Log entnehmen kann, sind die Anschuldigungen haltlos:
es handelt sich um Zugriffe auf das Web-Service "www.xxx.at" per HTTPS (port 443) - wie
man das als Hackerangriff werten kann, ist mir schleierhaft.
ich habe bis zum 4.12.2008 alle 30 Minuten jeweils 9 Web-Seiten abgefragt, was einen normalen
Web-Server alles andere als belasten dürfte, zumahl nur Textinhalte geladen wurden und somit kaum
Bandbreite verbraucht wurde.
im Log sind scheinbar deswegen so viel Zugriffe, weil die "EDV Spezialisten" in ihrer Firewall die
eingehenden Zugriffe nicht abgewiesen, sondern schlicht verworfen haben (DROP statt REJECT), wodurch
der Web-Browser mehrfach versucht hat, jede Seite zu erreichen, was sich im Laufe der Zeit
akkumuliert hat. aus dem Log ist im übrigen auch ersichtlich, daß diese akkumulierten Zugriffe
aufgerundet 39 Byte pro Sekunde an Bandbreite verbraucht haben - das entspricht ungefähr 0,0004%
einer Server-Bandbreite von 10Mbit, verschwindet also praktisch im "Hintergrundrauschen" des Internet.
als ich am 4. Dezember bemerkt habe, daß die Zugriffe nicht mehr Funktionieren, habe ich diese beendet.
es tut mir leid, sollte ich dem Wohnservice Unannehmlichkeiten verursacht haben und empfehle für die
Zukunft auf kompetente Partner im Bereich EDV zu setzen, denn eine simple Konsultation des
Web-Server-Logs hätte die Angelegenheit schnell klären können.
mit freundlichen Grüßen
ich
hintergrund war, daß die auf ihrer webseite wohnungen vergeben, die immer sofort vergriffen sind. also hab' ich per cron ein kleines skripterl regelmäßig gestartet, das per wget die liste der wohnungen für ein paar bezirke abholt, in eine file schreibt und wenn sich etwas geändert hat, eine mail schickt.
mit anderen worten, haben die "edv spezialisten" der service betreiber meinen ganz normalen zugriff auf ihren webserver als massiven hackerangriff bezeichnet und die betreiber dann das landeskrininalamt eingeschaltet.
ich kann nur hoffen, daß die sache jetzt erledigt ist...
Keine Kommentare:
Kommentar veröffentlichen