Ankündigung eines DDoS Angriffs
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 340747
Url: https://administrator.de/forum/ankuendigung-eines-ddos-angriffs-340747.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
23 Kommentare
Neuester Kommentar
Frag nicht, drucke Mail und Quellcode (Header) der Mail aus und gehe zur Kripo! Ferdich
Kommt drauf an, wer sie bekommt udn was für eine Webseite man betreibt.
Online-Shops oder Kundenportale bekommen öfter solche ernstgemeinten "Spammails". Und zum Beweis, daß die es ernst meinen, wird auch gerne mal ein "Warnschuss" angegeben. Derjenige, der das bekommen hat, sollte ganz schnell mal seine Systeme prüfen und sich auch mit seinem Provider in Verbindung setzen, um ggf. Vorsorgemaßnahmen zu treffen. Strafanzeige bei der Polizei wäre auch angebracht, auch wenn die vermutlich erstmal gar nichts machen kann.
Auf jeden Fall sollte man jemanden hinzuziehen, der Erfahrung mit der Abwehr solcher Erpresungen hat.
Kann natürlich sein, daß sich das als heiße Luft herausstellt und der Erpresser nur geblufft hat. Aber man sollte sich im Klaren sein, was passiert, wenn es nciht nur ein Bluff ist. die die Webseite "!ausgeschossen" wird und die Kunden-/Geschäftsdaten öffentlich werden.
lks
Edit: Typos
Dedicated Server oder Webhosting?
Wenn ihr da eigene root-server habt, kann das schon mal eng werden. Wenn ihr auf den shared-Servern von Strato hostet, könnten die üblichen Abwehrmaßnahmen von Strato greifen oder der "große Strato-Server" wird abgeschossen mit viel Kollateralschaden.
lks
PS: habe ihr auf euren Servern denn überhaupt die Daten gehabt, von denen die reden?
Ok, die machen einen DDoS-Angriff und der verschlüsselt dann deinen Rechner? Nich schlecht! Also weil ich den HTTP-Server (z.B.) einfach solang mit Müll zuschiesse das da nix anderes mehr durchkommt is der kleine Indianer beleidigt und verschlüsselt dann oder wie? Macht der dann wenigstens ne Cloudverschlüsselung via Rauchzeichen?!?
Ich würde ggf. mal den Provider informieren - aber machen kannst du da jetzt eh nicht zuviel. Wenn sowas gut gemacht wird und ein BOT-Netz dahinter steht was gross genug ist dann kommen halt einfach extrem viele Anfragen bei dir an. Du könntest lediglich per Firewall/Routerregel dafür sorgen das du noch genug Bandbreite als Reserve hast um via SSH oder sonstwas auf den Server zuzugreifen.
Alternativ kannst du (je nach Service den du anbietest) auch deine Firewall auf Regionen beschränken (wenn die das erlaubt) und alles blockt was z.B. nicht aus Europa kommt.
Ich gehe mal davon aus das du deinen Server ansonsten vernünftig gesichert hast und z.B. remote login auf die DB nicht möglich ist und der wirklich nur die gewollten Dienste nach aussen anbietet...
Ich würde ggf. mal den Provider informieren - aber machen kannst du da jetzt eh nicht zuviel. Wenn sowas gut gemacht wird und ein BOT-Netz dahinter steht was gross genug ist dann kommen halt einfach extrem viele Anfragen bei dir an. Du könntest lediglich per Firewall/Routerregel dafür sorgen das du noch genug Bandbreite als Reserve hast um via SSH oder sonstwas auf den Server zuzugreifen.
Alternativ kannst du (je nach Service den du anbietest) auch deine Firewall auf Regionen beschränken (wenn die das erlaubt) und alles blockt was z.B. nicht aus Europa kommt.
Ich gehe mal davon aus das du deinen Server ansonsten vernünftig gesichert hast und z.B. remote login auf die DB nicht möglich ist und der wirklich nur die gewollten Dienste nach aussen anbietet...
Aus meiner Erfahrung (aus der Sicht eines Technikers bei einem RZ-Provider) sind die meisten solcher Mails ernst zu nehmen.
Ob diese dazu gehört oder nicht ist aber sehr fraglich.
Zunächst einmal ist es eigentlich sehr unüblich, dass kein "Warn-DDoS" geschickt wurde. Normalerweise bekommst du kurz nach der E-Mail oder kurz davor ein paar Minuten lang als Vorgeschmack einen DDoS ab. In der E-Mail sollte das dann erwähnt werden - weil man will dir ja zeigen, dass da tatsächlich was passieren kann.
Da das hier nicht der Fall ist, ist fraglich ob die Erpresser das überhaupt versucht haben oder ob sie es probiert haben und du nur nichts davon gemerkt hast weil die Attacke zu klein war.
Auch, und nicht zuletzt weil da plötzlich von Ransomware geredet wird, macht das die Sache nicht professioneller. Zudem ist der Name "Team Xball" scheinbar nicht bekannt und es gibt (zumindest konnte ich keine finden) keine Twitter-Profile zu denen.
Es wird in der Mail eine volumetrische Attacke mit bis zu 250 Gbps angekündigt. Was "bis zu" bedeutet ist ja hinlänglich von der Telekom bekannt
Falls das wirklich kommt, hilft dir auch eine Firewall nicht weiter - deine Systeme werden dann einfach mit diesen 250 Gbit/s in Form von UDP- oder GRE-Paketen beworfen - eine Firewall müsste dann mit deutlich mehr Bandbreite angebunden sein um den legitimen Traffic weiterhin durchzulassen.
Selbst wenn es deutlich weniger Bandbreite wird: Selbst mit 1 Gbps DDoS-Bandbreite könntest du einen Server mit 1 Gbps Netzwerkanbindung problemlos vom Netz nehmen.
Von daher solltest du mit deinem Serverhoster/Provider sprechen und ihm diese Mail weiterleiten. Im Zweifel kann er dann nämlich für den Fall der Fälle vorbereitende Maßnahmen ergreifen.
Momentan ist aber meine Meinung: Ich würde diese E-Mail NICHT allzu ernst nehmen.
Warum?
Ob diese dazu gehört oder nicht ist aber sehr fraglich.
Zunächst einmal ist es eigentlich sehr unüblich, dass kein "Warn-DDoS" geschickt wurde. Normalerweise bekommst du kurz nach der E-Mail oder kurz davor ein paar Minuten lang als Vorgeschmack einen DDoS ab. In der E-Mail sollte das dann erwähnt werden - weil man will dir ja zeigen, dass da tatsächlich was passieren kann.
Da das hier nicht der Fall ist, ist fraglich ob die Erpresser das überhaupt versucht haben oder ob sie es probiert haben und du nur nichts davon gemerkt hast weil die Attacke zu klein war.
Auch, und nicht zuletzt weil da plötzlich von Ransomware geredet wird, macht das die Sache nicht professioneller. Zudem ist der Name "Team Xball" scheinbar nicht bekannt und es gibt (zumindest konnte ich keine finden) keine Twitter-Profile zu denen.
Es wird in der Mail eine volumetrische Attacke mit bis zu 250 Gbps angekündigt. Was "bis zu" bedeutet ist ja hinlänglich von der Telekom bekannt
Falls das wirklich kommt, hilft dir auch eine Firewall nicht weiter - deine Systeme werden dann einfach mit diesen 250 Gbit/s in Form von UDP- oder GRE-Paketen beworfen - eine Firewall müsste dann mit deutlich mehr Bandbreite angebunden sein um den legitimen Traffic weiterhin durchzulassen.
Selbst wenn es deutlich weniger Bandbreite wird: Selbst mit 1 Gbps DDoS-Bandbreite könntest du einen Server mit 1 Gbps Netzwerkanbindung problemlos vom Netz nehmen.
Von daher solltest du mit deinem Serverhoster/Provider sprechen und ihm diese Mail weiterleiten. Im Zweifel kann er dann nämlich für den Fall der Fälle vorbereitende Maßnahmen ergreifen.
Momentan ist aber meine Meinung: Ich würde diese E-Mail NICHT allzu ernst nehmen.
Warum?
- In der E-Mail wird von gestohlenen Datenbanken gesprochen, ohne dass dir ein Beweis geliefert wird (und "tax forms" ist für eine Firma in Deutschland eher unüblich)
- In der Mail droht man DDoS-Attacken an - was auch immer das mit geklauten Datenbanken zu tun hätte.
- In der Mail will man dich mit Ransomware verschlüsseln. Was auch immer das mit den Punkten 1 und 2 zu tun hat.
- Nach ein paar Sätzen in gutem Englisch kommt plötzlich mit "Do you have time to pay." ein Bruch.
- Der letzte Absatz ("What if I don't pay?") ist 1:1 von früherren Erpressungswellen anderer Gruppen übernommen.
- Wenn man nicht bezahlt kommt offenbar trotzdem keine Ransomware - zumindest findet die nie wieder Erwähnung.
- Insgesamt scheint die Mail nur aus zusammenkopierten Textfragmenten zu bestehen.
- 250 Gbps Bandbreite ist eine sportliche Ansage. Dafür muss man erstmal viel Geld investieren. Mit 1 BTC kommt man da kaum hin.
- Der Name "Team XBall" ist im Internet in diesem Zusammenhang unbekannt, es existieren auch keine Twitterprofile dazu (zumindest fand ich keine). Normalerweise wollen sich solche Leute gerne profilieren indem sie öffentlich Opfer bloßstellen.
Hallo,
1. Strafanzeige bei der Kirpo
2. Mit Systemhaus kontakt aufnehmen um das System entsprechend abzusichern
3. Backups anlegen
4. Gegebenfalls alle Systeme Offline nehmen die nicht online sein müssen
5. Ein Failbak System einrichten um im notfall drauf umschalten zu können
Das währen so meine Ideen für so einem Fall
Gruß an die IT-Welt,
J Herbrich
1. Strafanzeige bei der Kirpo
2. Mit Systemhaus kontakt aufnehmen um das System entsprechend abzusichern
3. Backups anlegen
4. Gegebenfalls alle Systeme Offline nehmen die nicht online sein müssen
5. Ein Failbak System einrichten um im notfall drauf umschalten zu können
Das währen so meine Ideen für so einem Fall
Gruß an die IT-Welt,
J Herbrich
Moin,
ehrlich gesagt -> ich würde es da einfach ignorieren. Klar kann man eine Strafanzeige stellen. Dies bindet dann wieder einige Beamte (einer der die Anzeige aufnimmt, ggf. Leute die es bearbeiten und dann einstellen) - und das für nix.
Das is halt simpler Spam, ähnlich wie "Wir haben ihr Amazon|Paypal|Bank-Konto gesperrt" -> Nervig aber wenn die Beamten das jetzt auch verfolgen sollen dann brauchen wir uns nich zu wundern wenn wirkliche Dinge nicht aufgeklärt werden...
Aber das is halt nur meine Meinung...
ehrlich gesagt -> ich würde es da einfach ignorieren. Klar kann man eine Strafanzeige stellen. Dies bindet dann wieder einige Beamte (einer der die Anzeige aufnimmt, ggf. Leute die es bearbeiten und dann einstellen) - und das für nix.
Das is halt simpler Spam, ähnlich wie "Wir haben ihr Amazon|Paypal|Bank-Konto gesperrt" -> Nervig aber wenn die Beamten das jetzt auch verfolgen sollen dann brauchen wir uns nich zu wundern wenn wirkliche Dinge nicht aufgeklärt werden...
Aber das is halt nur meine Meinung...
Vor allem dingen Frage ich mich wie ein DDoS Angriff mit einen Crypto Looker zusammenhängen kann? DDoS ist kein Hacken, DDoS ist einfach nur die Leitung zu zubombadieren bis nichts mehr durch geht und Hacken (Cracken ist das richtige Wort) ist sich unter umgehung von Sicherheitsvorkehrungen wie aushebeln von Autentifizierungen und Autorisierungen) Zugang zu einem Computersystem zu verschaffen.
Die Mail klingt als ob ein Script Kiddy der Verfasser ist oder einfach nur hole birnen die versuchen schnelles geld zu machen.
Gruß an die IT-Welt,
J Herbrich
Die Mail klingt als ob ein Script Kiddy der Verfasser ist oder einfach nur hole birnen die versuchen schnelles geld zu machen.
Gruß an die IT-Welt,
J Herbrich
Zitat von @maretz:
ehrlich gesagt -> ich würde es da einfach ignorieren. Klar kann man eine Strafanzeige stellen. Dies bindet dann wieder einige Beamte (einer der die Anzeige aufnimmt, ggf. Leute die es bearbeiten und dann einstellen) - und das für nix.
ehrlich gesagt -> ich würde es da einfach ignorieren. Klar kann man eine Strafanzeige stellen. Dies bindet dann wieder einige Beamte (einer der die Anzeige aufnimmt, ggf. Leute die es bearbeiten und dann einstellen) - und das für nix.
Da wird mit der Angst der leute ordentlich geld kassiert. Selbst wenn nur 0,1 Promille zahlen, entseht da schon ordentlicher Schaden. man sollte daher die Polizei insoweit informieren, daß die schauen, ob sie der leute habhaft werden können.
lks
Dasselbe wirst du aber auch bei den besagten Amazon, Bank, Paypal,... Mails haben. Und im Endeffekt sorgst du mit dem Melden dann für einen "humanen DDoS"-Angriff. Du beschäftigst die entsprechenden Behörden mit soviel Verwaltungskram das die bei eigentlich relevanten Sachen nix mehr tun können! Wir könnten jetzt sagen "dann müssen die mehr Personal einstellen" - aber ich denke da weiss jeder wie es aussieht ;)
Hi,
Da übersiehst du aber Wesentliches. Nötigung bzw. Erpressung und auch die Ankündigung sind Straftaten, und dazu sind die Behörden da, diese zu verfolgen. Lesenswert ist dazu auch der § 126 StGB. Außerdem verschönern Anzeigen und Einstellungen von Ermittlungen auch die ach so beliebten Statistiken und führen vielleicht dazu, dass sowohl Politiker als auch Wähler entsprechend reagieren und sich endlich mal was tut.
Gruß
Und im Endeffekt sorgst du mit dem Melden dann für einen "humanen DDoS"-Angriff. Du
beschäftigst die entsprechenden Behörden mit soviel Verwaltungskram das die bei eigentlich
relevanten Sachen nix mehr tun können!
beschäftigst die entsprechenden Behörden mit soviel Verwaltungskram das die bei eigentlich
relevanten Sachen nix mehr tun können!
Da übersiehst du aber Wesentliches. Nötigung bzw. Erpressung und auch die Ankündigung sind Straftaten, und dazu sind die Behörden da, diese zu verfolgen. Lesenswert ist dazu auch der § 126 StGB. Außerdem verschönern Anzeigen und Einstellungen von Ermittlungen auch die ach so beliebten Statistiken und führen vielleicht dazu, dass sowohl Politiker als auch Wähler entsprechend reagieren und sich endlich mal was tut.
Gruß
Ok - und was übersehe ich da? Schön, ich baller jetzt mal (gedanklich) jede Spam-Mail die ich so bekomme rüber - von wegen "Ihr Konto wurde gesperrt" usw. (was ja auch versuchter Betrug wäre). Dann könnte ich allein schon min. 1-2 Beamte in Vollzeit beschäftigen. Nehmen wir an das hier noch 20-30 Leute sind die dasselbe Problem haben dann haben wir das erste Revier ausgelastet. Dumm nur wenn du danach da stehst und ein ernsthaftes Anliegen hast weil jemand eben deinen Server geknackt hat und dir jetzt nen paar 100.000 Euro fehlen.
Und du glaubst nicht wirklich das die Statistiken da helfen, oder? Versuch doch mal einen Polizisten für kleinere Dinge (Ladendiebstahl, Verkehrsunfall) zu bekommen.... Wenn du nicht grad ne Stunde Zeit hast wird das nix. Und die Statistiken sind seid Jahren schlecht, die Geschäfte holen sich private Sicherheitsfirmen - und du glaubst da hilft die Statistik? Viel Erfolg
Und du glaubst nicht wirklich das die Statistiken da helfen, oder? Versuch doch mal einen Polizisten für kleinere Dinge (Ladendiebstahl, Verkehrsunfall) zu bekommen.... Wenn du nicht grad ne Stunde Zeit hast wird das nix. Und die Statistiken sind seid Jahren schlecht, die Geschäfte holen sich private Sicherheitsfirmen - und du glaubst da hilft die Statistik? Viel Erfolg
Zitat von @maretz:
Ok - und was übersehe ich da? Schön, ich baller jetzt mal (gedanklich) jede Spam-Mail die ich so bekomme rüber - von wegen "Ihr Konto wurde gesperrt" usw. (was ja auch versuchter Betrug wäre). Dann könnte ich allein schon min. 1-2 Beamte in Vollzeit beschäftigen. Nehmen wir an das hier noch 20-30 Leute sind die dasselbe Problem haben dann haben wir das erste Revier ausgelastet. Dumm nur wenn du danach da stehst und ein ernsthaftes Anliegen hast weil jemand eben deinen Server geknackt hat und dir jetzt nen paar 100.000 Euro fehlen.
Ok - und was übersehe ich da? Schön, ich baller jetzt mal (gedanklich) jede Spam-Mail die ich so bekomme rüber - von wegen "Ihr Konto wurde gesperrt" usw. (was ja auch versuchter Betrug wäre). Dann könnte ich allein schon min. 1-2 Beamte in Vollzeit beschäftigen. Nehmen wir an das hier noch 20-30 Leute sind die dasselbe Problem haben dann haben wir das erste Revier ausgelastet. Dumm nur wenn du danach da stehst und ein ernsthaftes Anliegen hast weil jemand eben deinen Server geknackt hat und dir jetzt nen paar 100.000 Euro fehlen.
Es ist einwesentlicher Unterschied zwischenden "Konto gesperrt" und den "Bitte bezahlen sie auf dieses konto"-Spams. bei den letzteren hat man immer hin eine Spur, wo das geld hingeht. bei den anderen sind erst noch viele zwischenschritte notwendig und das Geld landet auch nur auf Zwischenkonten von ahnungslosen "Vermittlern".
Abgesehen davon sollten die Sachbearbeiter soviel Sachverstand haben, zwischen Wichtig und unwichtig unterscheiden zu können.
lks
Hallo,
hier wird das auch diskutiert.
https://www.reddit.com/r/sysadmin/comments/6h10oa/ddos_thread_received_m ...
Die Ansichten gehen dort auch in die FAKE Richtung
gruss
ulti
hier wird das auch diskutiert.
https://www.reddit.com/r/sysadmin/comments/6h10oa/ddos_thread_received_m ...
Die Ansichten gehen dort auch in die FAKE Richtung
gruss
ulti
Moin runasservice,
können wir denn diesen Beitrag so langsam schliessen?
ich meine, die Frage war doch, ob das tendenziell Spam/Fakemail ist oder von seriösen SchutzgelderpresserInnen kommt.
Es werden noch ganz viele tolle Tipps kommen, wie ich unser Forum kenne, so mit "Setz dir einen Zweit- und einen Ersatz-Zweitserver auf" und "Leg deine Ersparnisse lieber in Bitcoins an - Zinsen bekommst du eh nicht" und "Ich kenne eine Partei, die will auf jeden Fall mehr Polizisten einstellen"...
Aber ich denke, ein grundlegendes Stimmungsbild hast du doch jetzt, oder?
Dann schliesse bitte den Beitrag.
Grüße
Biber
können wir denn diesen Beitrag so langsam schliessen?
ich meine, die Frage war doch, ob das tendenziell Spam/Fakemail ist oder von seriösen SchutzgelderpresserInnen kommt.
Es werden noch ganz viele tolle Tipps kommen, wie ich unser Forum kenne, so mit "Setz dir einen Zweit- und einen Ersatz-Zweitserver auf" und "Leg deine Ersparnisse lieber in Bitcoins an - Zinsen bekommst du eh nicht" und "Ich kenne eine Partei, die will auf jeden Fall mehr Polizisten einstellen"...
Aber ich denke, ein grundlegendes Stimmungsbild hast du doch jetzt, oder?
Dann schliesse bitte den Beitrag.
Grüße
Biber