runasservice
Goto Top

Ankündigung eines DDoS Angriffs

Hallo,

kurze Anfrage in die Runde. Sind solche "Spam-Mails" ernst zu nehmen?

ddos

Vielen Dank...

Content-Key: 340747

Url: https://administrator.de/contentid/340747

Printed on: July 24, 2024 at 06:07 o'clock

Member: falscher-sperrstatus
falscher-sperrstatus Jun 15, 2017 at 12:17:59 (UTC)
Goto Top
Ja/Nein...wollen wir würfeln?

Aber, du scheinst dir ordentlich Feinde gemacht zu haben. Wie bist du denn abgesichert?

VG
Mitglied: 114685
114685 Jun 15, 2017 at 12:20:57 (UTC)
Goto Top
Frag nicht, drucke Mail und Quellcode (Header) der Mail aus und gehe zur Kripo! Ferdich
Member: Lochkartenstanzer
Solution Lochkartenstanzer Jun 15, 2017 updated at 12:34:33 (UTC)
Goto Top
Zitat von @runasservice:

kurze Anfrage in die Runde. Sind solche "Spam-Mails" ernst zu nehmen?

Kommt drauf an, wer sie bekommt udn was für eine Webseite man betreibt.

Online-Shops oder Kundenportale bekommen öfter solche ernstgemeinten "Spammails". Und zum Beweis, daß die es ernst meinen, wird auch gerne mal ein "Warnschuss" angegeben. Derjenige, der das bekommen hat, sollte ganz schnell mal seine Systeme prüfen und sich auch mit seinem Provider in Verbindung setzen, um ggf. Vorsorgemaßnahmen zu treffen. Strafanzeige bei der Polizei wäre auch angebracht, auch wenn die vermutlich erstmal gar nichts machen kann.

Auf jeden Fall sollte man jemanden hinzuziehen, der Erfahrung mit der Abwehr solcher Erpresungen hat.

Kann natürlich sein, daß sich das als heiße Luft herausstellt und der Erpresser nur geblufft hat. Aber man sollte sich im Klaren sein, was passiert, wenn es nciht nur ein Bluff ist. die die Webseite "!ausgeschossen" wird und die Kunden-/Geschäftsdaten öffentlich werden.

lks

Edit: Typos
Member: runasservice
runasservice Jun 15, 2017 at 12:31:36 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Ja/Nein...wollen wir würfeln?
Aber, du scheinst dir ordentlich Feinde gemacht zu haben. Wie bist du denn abgesichert?

Könnte ja sein, das das einen "normale" Spam-Mail ist die einige von euch auch bekommen haben? Bin mir eben nicht sicher, wie diese Mail einzustufen ist.

Unsere Server stehen bei Strato....

MfG
Member: falscher-sperrstatus
falscher-sperrstatus Jun 15, 2017 at 12:34:27 (UTC)
Goto Top
Nunja, normal scheint das nicht zu sein.
Member: Lochkartenstanzer
Lochkartenstanzer Jun 15, 2017 updated at 12:39:28 (UTC)
Goto Top
Zitat von @runasservice:

Unsere Server stehen bei Strato....

Dedicated Server oder Webhosting?

Wenn ihr da eigene root-server habt, kann das schon mal eng werden. Wenn ihr auf den shared-Servern von Strato hostet, könnten die üblichen Abwehrmaßnahmen von Strato greifen oder der "große Strato-Server" wird abgeschossen mit viel Kollateralschaden.

lks

PS: habe ihr auf euren Servern denn überhaupt die Daten gehabt, von denen die reden?
Member: maretz
maretz Jun 15, 2017 at 13:09:52 (UTC)
Goto Top
Ok, die machen einen DDoS-Angriff und der verschlüsselt dann deinen Rechner? Nich schlecht! Also weil ich den HTTP-Server (z.B.) einfach solang mit Müll zuschiesse das da nix anderes mehr durchkommt is der kleine Indianer beleidigt und verschlüsselt dann oder wie? Macht der dann wenigstens ne Cloudverschlüsselung via Rauchzeichen?!?

Ich würde ggf. mal den Provider informieren - aber machen kannst du da jetzt eh nicht zuviel. Wenn sowas gut gemacht wird und ein BOT-Netz dahinter steht was gross genug ist dann kommen halt einfach extrem viele Anfragen bei dir an. Du könntest lediglich per Firewall/Routerregel dafür sorgen das du noch genug Bandbreite als Reserve hast um via SSH oder sonstwas auf den Server zuzugreifen.

Alternativ kannst du (je nach Service den du anbietest) auch deine Firewall auf Regionen beschränken (wenn die das erlaubt) und alles blockt was z.B. nicht aus Europa kommt.

Ich gehe mal davon aus das du deinen Server ansonsten vernünftig gesichert hast und z.B. remote login auf die DB nicht möglich ist und der wirklich nur die gewollten Dienste nach aussen anbietet...
Member: LordGurke
Solution LordGurke Jun 15, 2017 updated at 14:25:40 (UTC)
Goto Top
Aus meiner Erfahrung (aus der Sicht eines Technikers bei einem RZ-Provider) sind die meisten solcher Mails ernst zu nehmen.
Ob diese dazu gehört oder nicht ist aber sehr fraglich.

Zunächst einmal ist es eigentlich sehr unüblich, dass kein "Warn-DDoS" geschickt wurde. Normalerweise bekommst du kurz nach der E-Mail oder kurz davor ein paar Minuten lang als Vorgeschmack einen DDoS ab. In der E-Mail sollte das dann erwähnt werden - weil man will dir ja zeigen, dass da tatsächlich was passieren kann.
Da das hier nicht der Fall ist, ist fraglich ob die Erpresser das überhaupt versucht haben oder ob sie es probiert haben und du nur nichts davon gemerkt hast weil die Attacke zu klein war.
Auch, und nicht zuletzt weil da plötzlich von Ransomware geredet wird, macht das die Sache nicht professioneller. Zudem ist der Name "Team Xball" scheinbar nicht bekannt und es gibt (zumindest konnte ich keine finden) keine Twitter-Profile zu denen.

Es wird in der Mail eine volumetrische Attacke mit bis zu 250 Gbps angekündigt. Was "bis zu" bedeutet ist ja hinlänglich von der Telekom bekannt face-wink
Falls das wirklich kommt, hilft dir auch eine Firewall nicht weiter - deine Systeme werden dann einfach mit diesen 250 Gbit/s in Form von UDP- oder GRE-Paketen beworfen - eine Firewall müsste dann mit deutlich mehr Bandbreite angebunden sein um den legitimen Traffic weiterhin durchzulassen.
Selbst wenn es deutlich weniger Bandbreite wird: Selbst mit 1 Gbps DDoS-Bandbreite könntest du einen Server mit 1 Gbps Netzwerkanbindung problemlos vom Netz nehmen.
Von daher solltest du mit deinem Serverhoster/Provider sprechen und ihm diese Mail weiterleiten. Im Zweifel kann er dann nämlich für den Fall der Fälle vorbereitende Maßnahmen ergreifen.

Momentan ist aber meine Meinung: Ich würde diese E-Mail NICHT allzu ernst nehmen.
Warum?
  • In der E-Mail wird von gestohlenen Datenbanken gesprochen, ohne dass dir ein Beweis geliefert wird (und "tax forms" ist für eine Firma in Deutschland eher unüblich)
  • In der Mail droht man DDoS-Attacken an - was auch immer das mit geklauten Datenbanken zu tun hätte.
  • In der Mail will man dich mit Ransomware verschlüsseln. Was auch immer das mit den Punkten 1 und 2 zu tun hat.
  • Nach ein paar Sätzen in gutem Englisch kommt plötzlich mit "Do you have time to pay." ein Bruch.
  • Der letzte Absatz ("What if I don't pay?") ist 1:1 von früherren Erpressungswellen anderer Gruppen übernommen.
  • Wenn man nicht bezahlt kommt offenbar trotzdem keine Ransomware - zumindest findet die nie wieder Erwähnung.
  • Insgesamt scheint die Mail nur aus zusammenkopierten Textfragmenten zu bestehen.
  • 250 Gbps Bandbreite ist eine sportliche Ansage. Dafür muss man erstmal viel Geld investieren. Mit 1 BTC kommt man da kaum hin.
  • Der Name "Team XBall" ist im Internet in diesem Zusammenhang unbekannt, es existieren auch keine Twitterprofile dazu (zumindest fand ich keine). Normalerweise wollen sich solche Leute gerne profilieren indem sie öffentlich Opfer bloßstellen.
Member: colinardo
Solution colinardo Jun 15, 2017 updated at 14:59:25 (UTC)
Goto Top
Servus,
ist ein Fake, habe den Text hier mal mit einer Suche auf unseren Spam los gelassen und bin fündig geworden, passiert ist an dem genannten Datum gar nüscht, nur normales Grundrauschen.

Grüße Uwe
Member: keine-ahnung
keine-ahnung Jun 15, 2017 at 16:20:27 (UTC)
Goto Top
Moin,
Diese Lumpen sollen sich ja nicht trauen, mein Praxis-LAN mit 250Gb/s zu attackieren, sonst lernen die mich aber richtig kennen!

LG, Thomas

p.s.: muss ich mich eigentlich entschuldigen, wenn ich den Burschen nur 10Mb/s bieten kann face-smile ?
Member: KowaKowalski
KowaKowalski Jun 15, 2017 at 22:04:43 (UTC)
Goto Top
Hi Service,

diese Mail hab ich heut auch bekommen. (selber Wortlaut - eigener Bitcoin-Key)
Kleine Vereinsseite, ebenfalls bei Strato (Backups im 6h Takt).


Also ich lass es mal auf mich zukommen. face-wink

grüße
kowa
Member: Herbrich19
Herbrich19 Jun 15, 2017 at 22:10:16 (UTC)
Goto Top
Hallo,

1. Strafanzeige bei der Kirpo
2. Mit Systemhaus kontakt aufnehmen um das System entsprechend abzusichern
3. Backups anlegen
4. Gegebenfalls alle Systeme Offline nehmen die nicht online sein müssen
5. Ein Failbak System einrichten um im notfall drauf umschalten zu können

Das währen so meine Ideen für so einem Fall

Gruß an die IT-Welt,
J Herbrich
Member: maretz
maretz Jun 16, 2017 at 06:53:42 (UTC)
Goto Top
Moin,

ehrlich gesagt -> ich würde es da einfach ignorieren. Klar kann man eine Strafanzeige stellen. Dies bindet dann wieder einige Beamte (einer der die Anzeige aufnimmt, ggf. Leute die es bearbeiten und dann einstellen) - und das für nix.

Das is halt simpler Spam, ähnlich wie "Wir haben ihr Amazon|Paypal|Bank-Konto gesperrt" -> Nervig aber wenn die Beamten das jetzt auch verfolgen sollen dann brauchen wir uns nich zu wundern wenn wirkliche Dinge nicht aufgeklärt werden...

Aber das is halt nur meine Meinung...
Member: n.o.b.o.d.y
Solution n.o.b.o.d.y Jun 16, 2017 at 10:23:34 (UTC)
Goto Top
Hallo,

kann den Eingang solcher Mails auch bestätigen. In genau der Form, oder auch ähnlich. Nach Beurteilung des DFN-CERTs ist das wohl nur heiße Luft.
Member: Herbrich19
Herbrich19 Jun 16, 2017 at 10:30:20 (UTC)
Goto Top
Vor allem dingen Frage ich mich wie ein DDoS Angriff mit einen Crypto Looker zusammenhängen kann? DDoS ist kein Hacken, DDoS ist einfach nur die Leitung zu zubombadieren bis nichts mehr durch geht und Hacken (Cracken ist das richtige Wort) ist sich unter umgehung von Sicherheitsvorkehrungen wie aushebeln von Autentifizierungen und Autorisierungen) Zugang zu einem Computersystem zu verschaffen.

Die Mail klingt als ob ein Script Kiddy der Verfasser ist oder einfach nur hole birnen die versuchen schnelles geld zu machen.

Gruß an die IT-Welt,
J Herbrich
Member: Lochkartenstanzer
Lochkartenstanzer Jun 16, 2017 at 10:49:03 (UTC)
Goto Top
Zitat von @maretz:

ehrlich gesagt -> ich würde es da einfach ignorieren. Klar kann man eine Strafanzeige stellen. Dies bindet dann wieder einige Beamte (einer der die Anzeige aufnimmt, ggf. Leute die es bearbeiten und dann einstellen) - und das für nix.


Da wird mit der Angst der leute ordentlich geld kassiert. Selbst wenn nur 0,1 Promille zahlen, entseht da schon ordentlicher Schaden. man sollte daher die Polizei insoweit informieren, daß die schauen, ob sie der leute habhaft werden können.

lks
Member: maretz
maretz Jun 16, 2017 at 11:00:23 (UTC)
Goto Top
Dasselbe wirst du aber auch bei den besagten Amazon, Bank, Paypal,... Mails haben. Und im Endeffekt sorgst du mit dem Melden dann für einen "humanen DDoS"-Angriff. Du beschäftigst die entsprechenden Behörden mit soviel Verwaltungskram das die bei eigentlich relevanten Sachen nix mehr tun können! Wir könnten jetzt sagen "dann müssen die mehr Personal einstellen" - aber ich denke da weiss jeder wie es aussieht ;)
Mitglied: 114685
114685 Jun 16, 2017 at 11:09:17 (UTC)
Goto Top
Hi,

Und im Endeffekt sorgst du mit dem Melden dann für einen "humanen DDoS"-Angriff. Du
beschäftigst die entsprechenden Behörden mit soviel Verwaltungskram das die bei eigentlich
relevanten Sachen nix mehr tun können!

Da übersiehst du aber Wesentliches. Nötigung bzw. Erpressung und auch die Ankündigung sind Straftaten, und dazu sind die Behörden da, diese zu verfolgen. Lesenswert ist dazu auch der § 126 StGB. Außerdem verschönern Anzeigen und Einstellungen von Ermittlungen auch die ach so beliebten Statistiken und führen vielleicht dazu, dass sowohl Politiker als auch Wähler entsprechend reagieren und sich endlich mal was tut.

Gruß
Member: maretz
maretz Jun 16, 2017 at 11:42:52 (UTC)
Goto Top
Ok - und was übersehe ich da? Schön, ich baller jetzt mal (gedanklich) jede Spam-Mail die ich so bekomme rüber - von wegen "Ihr Konto wurde gesperrt" usw. (was ja auch versuchter Betrug wäre). Dann könnte ich allein schon min. 1-2 Beamte in Vollzeit beschäftigen. Nehmen wir an das hier noch 20-30 Leute sind die dasselbe Problem haben dann haben wir das erste Revier ausgelastet. Dumm nur wenn du danach da stehst und ein ernsthaftes Anliegen hast weil jemand eben deinen Server geknackt hat und dir jetzt nen paar 100.000 Euro fehlen.

Und du glaubst nicht wirklich das die Statistiken da helfen, oder? Versuch doch mal einen Polizisten für kleinere Dinge (Ladendiebstahl, Verkehrsunfall) zu bekommen.... Wenn du nicht grad ne Stunde Zeit hast wird das nix. Und die Statistiken sind seid Jahren schlecht, die Geschäfte holen sich private Sicherheitsfirmen - und du glaubst da hilft die Statistik? Viel Erfolg
Member: Lochkartenstanzer
Lochkartenstanzer Jun 16, 2017 at 11:53:07 (UTC)
Goto Top
Zitat von @maretz:

Ok - und was übersehe ich da? Schön, ich baller jetzt mal (gedanklich) jede Spam-Mail die ich so bekomme rüber - von wegen "Ihr Konto wurde gesperrt" usw. (was ja auch versuchter Betrug wäre). Dann könnte ich allein schon min. 1-2 Beamte in Vollzeit beschäftigen. Nehmen wir an das hier noch 20-30 Leute sind die dasselbe Problem haben dann haben wir das erste Revier ausgelastet. Dumm nur wenn du danach da stehst und ein ernsthaftes Anliegen hast weil jemand eben deinen Server geknackt hat und dir jetzt nen paar 100.000 Euro fehlen.

Es ist einwesentlicher Unterschied zwischenden "Konto gesperrt" und den "Bitte bezahlen sie auf dieses konto"-Spams. bei den letzteren hat man immer hin eine Spur, wo das geld hingeht. bei den anderen sind erst noch viele zwischenschritte notwendig und das Geld landet auch nur auf Zwischenkonten von ahnungslosen "Vermittlern".

Abgesehen davon sollten die Sachbearbeiter soviel Sachverstand haben, zwischen Wichtig und unwichtig unterscheiden zu können.

lks
Member: ultiman
ultiman Jun 16, 2017 at 13:09:42 (UTC)
Goto Top
Hallo,

hier wird das auch diskutiert.
https://www.reddit.com/r/sysadmin/comments/6h10oa/ddos_thread_received_m ...

Die Ansichten gehen dort auch in die FAKE Richtung

gruss
ulti
Member: Biber
Biber Jun 16, 2017 at 13:49:17 (UTC)
Goto Top
Moin runasservice,

können wir denn diesen Beitrag so langsam schliessen?

ich meine, die Frage war doch, ob das tendenziell Spam/Fakemail ist oder von seriösen SchutzgelderpresserInnen kommt.

Es werden noch ganz viele tolle Tipps kommen, wie ich unser Forum kenne, so mit "Setz dir einen Zweit- und einen Ersatz-Zweitserver auf" und "Leg deine Ersparnisse lieber in Bitcoins an - Zinsen bekommst du eh nicht" und "Ich kenne eine Partei, die will auf jeden Fall mehr Polizisten einstellen"...

Aber ich denke, ein grundlegendes Stimmungsbild hast du doch jetzt, oder?

Dann schliesse bitte den Beitrag.

Grüße
Biber
Member: runasservice
runasservice Jun 21, 2017 at 04:37:28 (UTC)
Goto Top
Hallo,

war ein Fake, nichts ist passiert! Viel Lärm um nichts. Habe den Provider benachrichtigt und folgenden Hinweiss bekommen:


Mit einer speziell gegen DDoS ausgerüsteten Plattform und bewährten Abwehrmechanismen, die regelmäßig im Rahmen einer Forschungskooperation mit dem Max-Planck-Institut weiterentwickelt werden, gelingt es STRATO, dass 99,99 Prozent der Angriffe für Kunden nicht sichtbar sind.

Vielen Dank für eure Meinungen zum Thema!