HanseNet ignoriert Abuse Mails über Hackerangriffe Mai 29. 2008
HanseNet - ist gar nicht so nett.
Der Hamburger Telekommunikationsanbieter, der seine DSL - Anschlüsse unter der Marke "Alice" vertreibt, zeigt ein sehr unschönes Verhalten wenn es um (meine) Abuse - Mails geht?
Abuse Mails werden einfach ungelesen gelöscht!
Heute erhielt ich eine Mail-Benachrichtigung, dass meine Mail vom 15.4.2008 an die Abuse Mailadresse (abuse@hansenet.com) ungelesen gelöscht worden ist. Dabei ist diese Mailadresse bei den Registrierungsdaten zu der "bösen" IP hinterlegt.
Der Hamburger Telekommunikationsanbieter, der seine DSL - Anschlüsse unter der Marke "Alice" vertreibt, zeigt ein sehr unschönes Verhalten wenn es um (meine) Abuse - Mails geht?
Abuse Mails werden einfach ungelesen gelöscht!
Heute erhielt ich eine Mail-Benachrichtigung, dass meine Mail vom 15.4.2008 an die Abuse Mailadresse (abuse@hansenet.com) ungelesen gelöscht worden ist. Dabei ist diese Mailadresse bei den Registrierungsdaten zu der "bösen" IP hinterlegt.
Vor ca. sechs Wochen wurde von der IP 85.177.207.128 versucht, dieses Blog hier zu kompromittieren. In gerade mal 20 Minuten gab es 132 Hackversuche bei denen versucht wurde dem Blogscript (Serendipity) schadhaften Code unterzuschieben.
Nun ist das Blog hier nicht völlig ungeschützt und diese Attacken konnten keinen Schaden anrichten, aber dennoch gehe ich hin und versuche die Verantwortlichen für die jeweilige IP zu informieren - in der naiven Hoffnung, dass sie etwas dagegen unternehmen. Dazu mache ich eine WhoIs-Abfrage zu der IP. Die Daten sehen in diesem Fall so aus (Stand: 29.5.2008):
Die Abuse-Mailadresse ist also eindeutig dort in den Daten angegeben. Somit ging eine Mail an diese Adresse. Beigefügt war ein Auszug der Serverlogs, aus denen genau die IP, Zeitpunkt und aufgerufene URL hervorging.
Und? HanseNet interessiert sich offensichtlich für solche Abuse Mails überhaupt nicht und hat die Nachricht ungelesen gelöscht.
Aber damit steht HanseNet nicht allein da! Leider. Es gibt noch viele Provider, die sich in keinster Weise dafür zu interessieren scheinen. An Arcor habe ich alleine diesen Monat schon 5 Abuse Mails geschrieben, keine davon wurde irgendwie beantwortet.
Dass es auch anders gehen kann, dafür gibt es glücklicherweise auch ein paar Beispiele: Strato oder T-Online zum Beispiel. Von beiden habe ich schon "individuelle" Antwortmails erhalten.
Mich ärgert diese Arroganz von HanseNet, zuerst die Mail nicht zu bearbeiten und dann auch noch die Löschbestätigungen zu senden. Mit ein wenig Respekt, hätte man z. B. einen Autoresponder eingerichtet, der den Eingang der Mail zumindest mal bestätigt hätte. Wenn Sie dann noch die Benachrichtigungen unterdrücken würden, hätten Sie genauso wenig Arbeit mit den Meldungen, wie bisher. Ich wäre schon zufriedener, da ich ja eine Antwort erhalte.
Na ja, was soll. Die PCs der Kunden sind Bestandteil von bot-Netzen und keinen interessiert es. So werden wir dem ständig wachsenden Aufkommen an Spam, Hackversuchen, etc. kaum Herr.
Bekommt Ihr Antworten auf Eure Abuse Mails?
Nachtrag vom 30.5.2008:
Heute wurde wieder zwei Angriffe auf das Blog protokolliert. Und?
Richtig! Wieder war eine IP von HanseNet beteiligt: 85.178.229.225
(Ich werde wieder eine Abuse Mail schreiben.)
"Zufällig" wurde, 4 Stunden nach dem Versuch über die HanseNet IP, nochmals versucht code zu injizieren. Diesmal über eine israelische IP. Wenn das keine Rechner in einem globalen Bot-Netz ala Sturm oder Kraken sind, weiß ich es nicht.
Nun ist das Blog hier nicht völlig ungeschützt und diese Attacken konnten keinen Schaden anrichten, aber dennoch gehe ich hin und versuche die Verantwortlichen für die jeweilige IP zu informieren - in der naiven Hoffnung, dass sie etwas dagegen unternehmen. Dazu mache ich eine WhoIs-Abfrage zu der IP. Die Daten sehen in diesem Fall so aus (Stand: 29.5.2008):
Gefundener whois-Eintrag von 85.177.207.128:
Using server whois.ripe.net.
Query string: "-V Md4.7 85.177.207.128"
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '85.176.0.0 - 85.182.127.255'
inetnum: 85.176.0.0 - 85.182.127.255
netname: HANSENET-ADSL
descr: ALICE DSL
descr: HanseNet Telekommunikation GmbH
descr: ADSL Pool Customers
country: DE
admin-c: HNT-RIPE
tech-c: HANO-RIPE
status: ASSIGNED PA
mnt-by: HANSENET-MNT
mnt-lower: HANSENET-NOC
mnt-routes: HANSENET-MNT
source: RIPE # Filtered
role: HanseNet IP Coordination
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 193996
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: HANO-RIPE
nic-hdl: HNT-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered
role: HanseNet Network Operators
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33a
address: D-22297 Hamburg
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: TG819-RIPE # Thomas Graumann
tech-c: EULE-RIPE # Marco Eulenfeld
tech-c: SA1375-RIPE # Svend Andersen
tech-c: ASZ-RIPE # Andreas Schwarz
nic-hdl: HANO-RIPE
mnt-by: HANSENET-NOC
source: RIPE # Filtered
% Information related to '85.176.0.0/13AS13184'
route: 85.176.0.0/13
descr: HANSENET
origin: AS13184
mnt-by: HANSENET-MNT
source: RIPE # Filtered
Die Abuse-Mailadresse ist also eindeutig dort in den Daten angegeben. Somit ging eine Mail an diese Adresse. Beigefügt war ein Auszug der Serverlogs, aus denen genau die IP, Zeitpunkt und aufgerufene URL hervorging.
Und? HanseNet interessiert sich offensichtlich für solche Abuse Mails überhaupt nicht und hat die Nachricht ungelesen gelöscht.
Aber damit steht HanseNet nicht allein da! Leider. Es gibt noch viele Provider, die sich in keinster Weise dafür zu interessieren scheinen. An Arcor habe ich alleine diesen Monat schon 5 Abuse Mails geschrieben, keine davon wurde irgendwie beantwortet.
Dass es auch anders gehen kann, dafür gibt es glücklicherweise auch ein paar Beispiele: Strato oder T-Online zum Beispiel. Von beiden habe ich schon "individuelle" Antwortmails erhalten.
Mich ärgert diese Arroganz von HanseNet, zuerst die Mail nicht zu bearbeiten und dann auch noch die Löschbestätigungen zu senden. Mit ein wenig Respekt, hätte man z. B. einen Autoresponder eingerichtet, der den Eingang der Mail zumindest mal bestätigt hätte. Wenn Sie dann noch die Benachrichtigungen unterdrücken würden, hätten Sie genauso wenig Arbeit mit den Meldungen, wie bisher. Ich wäre schon zufriedener, da ich ja eine Antwort erhalte.
Na ja, was soll. Die PCs der Kunden sind Bestandteil von bot-Netzen und keinen interessiert es. So werden wir dem ständig wachsenden Aufkommen an Spam, Hackversuchen, etc. kaum Herr.
Bekommt Ihr Antworten auf Eure Abuse Mails?
Nachtrag vom 30.5.2008:
Heute wurde wieder zwei Angriffe auf das Blog protokolliert. Und?
Richtig! Wieder war eine IP von HanseNet beteiligt: 85.178.229.225
(Ich werde wieder eine Abuse Mail schreiben.)
"Zufällig" wurde, 4 Stunden nach dem Versuch über die HanseNet IP, nochmals versucht code zu injizieren. Diesmal über eine israelische IP. Wenn das keine Rechner in einem globalen Bot-Netz ala Sturm oder Kraken sind, weiß ich es nicht.
Tags für diesen Artikel: spam, spamschutz
Als PDF ansehen: Dieser Artikel | Dieser Monat | Vollständiges Blog
Trackbacks
Trackback für spezifische URI dieses Eintrags
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Hallo, HanseNet ignoriert nicht nur Abuse Mails. Von diesem 'Verein' überhaupt irgend eine sachdienliche Stellungnahme zu einem gemeldeten Problem zu erwarten ist Zeitvergeudung; soweit meine Erfahrung.
Es mag sein, dass auch andere Provider solche strikte Ignoranz pflegen, für mich war es allerdings ein Grund, mich sehr kurzfristig von HanseNet zu trennen.
Dir würde ich empfehlen, zumindest vorübergehend, IP-Sperren einzusetzen. Ein zweischneidiges Schwert und kein Allheilmittel, ich weiss, aber je nachdem, wie massiv die Angriffe sind, lässt sich damit schon Ruhe in die Bude bringen. Du verwendest ja S9y, wenn die Rechtevergabe ok ist und du sichere Passworte vergeben hast, sollten Angreifer es nicht so leicht haben.
Es mag sein, dass auch andere Provider solche strikte Ignoranz pflegen, für mich war es allerdings ein Grund, mich sehr kurzfristig von HanseNet zu trennen.
Dir würde ich empfehlen, zumindest vorübergehend, IP-Sperren einzusetzen. Ein zweischneidiges Schwert und kein Allheilmittel, ich weiss, aber je nachdem, wie massiv die Angriffe sind, lässt sich damit schon Ruhe in die Bude bringen. Du verwendest ja S9y, wenn die Rechtevergabe ok ist und du sichere Passworte vergeben hast, sollten Angreifer es nicht so leicht haben.
Ich mache mir von Zeit zu Zeit auch die Arbeit, die Provider zu informieren. Die Sache ist ja nicht so wild, weil sich fail2ban um die password scripts kümmert.
Mir machen momentan mehr die http Angriffe sorgen, anscheinend werden Webserver systematisch nach bestimmten Programmversionen gescannt, um dann die dortigen Lücken zu nutzen.
Mittlerweile habe ich begonnen ein Script zu schreiben, um die schlimmsten Gangster zu entdecken, nur mit der automatischen abusemail wirds nicht so einfach, da die whois server nicht einheitlich antworten...
Mir machen momentan mehr die http Angriffe sorgen, anscheinend werden Webserver systematisch nach bestimmten Programmversionen gescannt, um dann die dortigen Lücken zu nutzen.
Mittlerweile habe ich begonnen ein Script zu schreiben, um die schlimmsten Gangster zu entdecken, nur mit der automatischen abusemail wirds nicht so einfach, da die whois server nicht einheitlich antworten...
Automatische Abusemail, und die Adresse aus WhoIs. Großartig! Spam versenden und WhoIs missbrauchen gleichzeitig! Damit hilfst Du niemandem. Glaubst Du, Provider würden auf solche automatischen Mails (am besten ohne valide Antwortadresse oder Return-Path) reagieren?
Aber immerhin hat der Blogger das eigentliche Problem im allerletzten Satz (dem Nachtrag vom 30.05.) erkannt: es sind Botnetze. Im Normalfall sind Rechner gerade mal 3 Tage infiziert, bevor sie entweder vom Netz oder gereinigt wurden. Die Tatsache, dass Provider keine Antwort geben, heißt nicht, dass nichts passiert. Übringens halte ich die Benachrichtigung der ungelesenen Löschung für ein Gerücht.
Aber immerhin hat der Blogger das eigentliche Problem im allerletzten Satz (dem Nachtrag vom 30.05.) erkannt: es sind Botnetze. Im Normalfall sind Rechner gerade mal 3 Tage infiziert, bevor sie entweder vom Netz oder gereinigt wurden. Die Tatsache, dass Provider keine Antwort geben, heißt nicht, dass nichts passiert. Übringens halte ich die Benachrichtigung der ungelesenen Löschung für ein Gerücht.
Ein Gerücht, so so ...
Your message
To: HanseNet Internet Abuse
Subject: [abuse] Exzessive Codeinjection-Versuche (132x) von Ihrer IP:
85.177.207.128
Sent: Tue, 15 Apr 2008 00:22:13 +0200
was deleted without being read on Thu, 29 May 2008 10:36:12 +0200
Your message
To: HanseNet Internet Abuse
Subject: [abuse] Exzessive Codeinjection-Versuche (132x) von Ihrer IP:
85.177.207.128
Sent: Tue, 15 Apr 2008 00:22:13 +0200
was deleted without being read on Thu, 29 May 2008 10:36:12 +0200
Und ... die nächste Mail wurde auch wieder ungesehen gelöscht:
Your message
To: HanseNet Internet Abuse
Subject: [abuse] (bitte nicht wieder nach 6 Wochen ungelesen löschen)
Versuchte Codeinjection von Ihrer IP: 85.178.229.225
Sent: Sat, 31 May 2008 00:26:05 +0200
was deleted without being read on Thu, 26 Jun 2008 00:09:47 +0200
Da immer noch Hackversuche von HanseNet ausgehen, werden wohl als Konsequenz die IP Ranges sperren, so dass "echte" Benutzer nur noch nach Eingabe eines Captcha auf meine Seiten kommen. Eine passende Meldung wird dann auf diesen Thread hinweisen.
Ciao,
Mike
Your message
To: HanseNet Internet Abuse
Subject: [abuse] (bitte nicht wieder nach 6 Wochen ungelesen löschen)
Versuchte Codeinjection von Ihrer IP: 85.178.229.225
Sent: Sat, 31 May 2008 00:26:05 +0200
was deleted without being read on Thu, 26 Jun 2008 00:09:47 +0200
Da immer noch Hackversuche von HanseNet ausgehen, werden wohl als Konsequenz die IP Ranges sperren, so dass "echte" Benutzer nur noch nach Eingabe eines Captcha auf meine Seiten kommen. Eine passende Meldung wird dann auf diesen Thread hinweisen.
Ciao,
Mike
Auch ich als (noch) Hansenet Kunde kann diese Ignoranz leider nur bestätigen. Früher war ich sehr zu frieden aber seit dem Zusammenschluß mit AOL (ich wußte das geht in die Hose...) gehts bergab. Auch Kunden werden bei ihren Problemen gerne ignoriert, es werden grundsätzlich nur Standard Mails versandt und die eigentlichen Fragestellungen bzw Probleme überhaupt nicht richtig gelesen, alte Server (zB die hanse.net mail server - jetzt ist ja alles alice-dsl.net) werden scheinbar nicht mehr geflegt und und und
Schade, another one bites the dust...
Marco
Schade, another one bites the dust...
Marco
Ich kann das Verhalten von Hansenet bestätigen (incl. der Löschung von Abusemails ohne sie zu lesen)
Telefonisch nachgehakt, weil es um Kundenpräsenzen ging war die Aussage:
Ohne Strafanzeige machen wir schon mal gar nichts, wegen Datenschutz.
Ja nee... ist klar... Datenschutz für Botnetze wiegt natürlich schwer...
dabei kann man die Sicherheit des eigenen Netzes und die der Kundenseiten durchaus vernachlässigen.
Und hier erkennt man dann auch, warum diese Mails nicht als gelesen bestätigt werden: Damit würde man zugeben, von dem Problem Kenntnis genommen zu haben und sich durch Unterlassen zum Mitstörer machen ?
Telefonisch nachgehakt, weil es um Kundenpräsenzen ging war die Aussage:
Ohne Strafanzeige machen wir schon mal gar nichts, wegen Datenschutz.
Ja nee... ist klar... Datenschutz für Botnetze wiegt natürlich schwer...
dabei kann man die Sicherheit des eigenen Netzes und die der Kundenseiten durchaus vernachlässigen.
Und hier erkennt man dann auch, warum diese Mails nicht als gelesen bestätigt werden: Damit würde man zugeben, von dem Problem Kenntnis genommen zu haben und sich durch Unterlassen zum Mitstörer machen ?
Ich kann der Fachdikussion kaum folgen, frage aber mal nach, ob jemand Erfahrung mit Folgen von SCHUFA-Einträge hat und deren Folgen. Mein etragsstarkes Mietobjekt wurde zwangsverwaltet und am Tag vor der Versteigerung notverkauft an Kunden der Bank.
Wäre für mich mal ein wirkliches Thema aus dem Leben. Die Prinzipien, die dahinter wirken, scheinen ähnlich zu sein, wie bei Eurem Thema. *Kunden werden nicht wahrgenommen*.
Wäre für mich mal ein wirkliches Thema aus dem Leben. Die Prinzipien, die dahinter wirken, scheinen ähnlich zu sein, wie bei Eurem Thema. *Kunden werden nicht wahrgenommen*.
Guten Abend
mein Rechner will dauernt die verbindung mit der adresse: 92.228.28.7 aufnehmen, aber mein Router sperrt die
aber warum will er die verbindung haben?
mein Rechner will dauernt die verbindung mit der adresse: 92.228.28.7 aufnehmen, aber mein Router sperrt die
aber warum will er die verbindung haben?
Keine Ahnung! Der IP Range 92.228.0.0 - 92.231.255.255 gehört HANSENET-ADSL / ALICE DSL
Vielleicht solltest Du Deinen Rechner mal mit HijackThis überprüfen? Ob Du dir irgend einen Trojaner, etc. eingefangen hast?
Ciao,
Mike
Der IP Range 92.228.0.0 - 92.231.255.255 gehört HANSENET-ADSL / ALICE DSLVielleicht solltest Du Deinen Rechner mal mit HijackThis überprüfen? Ob Du dir irgend einen Trojaner, etc. eingefangen hast?
Ciao,
Mike
Ich kan mich nur anschliessen und sagen, dass es nur Sinn macht die Filterregeln entsprechen anzupassen.
Von "Automatische Abusemail, und die Adresse aus WhoIs" halte ich nichts, dann wuerde ich schon als Spammer geblockt werden
.
LG
Wurstdog
Von "Automatische Abusemail, und die Adresse aus WhoIs" halte ich nichts, dann wuerde ich schon als Spammer geblockt werden
.LG
Wurstdog
hallo,
gestern abend wurde auch einer meiner Server von einem ALICE-Kunden angegriffen. Eine Stunde lang wurde versucht in unsere Datenbank einzubrechen. Ich habs rechtzeitig bemerkt und konnte die IP sperren.
Mal sehen ob und wie Hansenet auf meine Abuse-Meldung reagiert.
Jürgen
gestern abend wurde auch einer meiner Server von einem ALICE-Kunden angegriffen. Eine Stunde lang wurde versucht in unsere Datenbank einzubrechen. Ich habs rechtzeitig bemerkt und konnte die IP sperren.
Mal sehen ob und wie Hansenet auf meine Abuse-Meldung reagiert.
Jürgen
Kennt jemand einen anderen Kommunikationsweg zu HanseNet, z.B. eine funktionierende, normale Telefonnummer wo man auch jemanden erreicht? Aktuell habe ich auch ein Problem, es wurden Phishing-Mails mit einer HanseNet IP versendet!
http ://www .internetwerk.de
http ://www .internetwerk.de
Als PDF ansehen: Dieser Artikel | Dieser Monat | Vollständiges Blog
