dudi-007
Goto Top

MItteilung von Strato wegen illegaler Downloads

Hallo,
ich habe eine Frage an Euch. Betreibe einen Server bei Strato. WIndows 2003 mit Plesk.

Heute bekam ich die unten stehende Nachricht.
Ich habe den Server sofort nach diesem File durchsucht, konnte das aber nicht finden.
Dafür habe ich 2 Trojaner auf dem Server entdeckt. Einer der Trojaner hatte Möglicherweise Remotefunktionen.
Wieter habe ich Torrentdateien auf dem Server entdeckt. Aber nicht die in der Mail steht.
Was in diesen Dateien war, kann ich nicht sagen da ich die entfernt habe.
Ich habe den Server extern auf einem eigenen FTP gesichert und diese nun neu installiert.

Weiß jemand wie der Anbieter nun weiter verfahren wird und was genau auf mich zukommen wird ?
Wie soll ich reagieren um keinerlei weitere Probleme zu bekommen in diesem Vorfall ?

Mail:
Sehr geehrter Herr Dudi,
 
Dritte haben uns mitgeteilt, dass auf Ihrem Server (hxxxxxxxxxx.serverkompetenz.net - xx.xxx.xxx.xxx) unautorisiertes Angebot zum Download vorgehalten wird.
In dem Angebot sind Dateien enthalten, welche die Urheberrechte Dritter verletzen. 


INFRINGEMENT DETAIL
--------------------

Infringing Work: 2012
First Found: 16 Nov 2009 13:52:35 EST (GMT -0500) Last Found: 16 Nov 2009 13:52:35 EST (GMT -0500) IP Address: xx.xxx.xxx.xxx IP Port: 18345
Protocol: BitTorrent
Torrent InfoHash: E3611117AFF8C4951C4384E9BA170BD04F9CBE2F
Containing file(s):
www.bitreactor.to_2012.TS.LD.German.XviD-NTG.torrent (1,447,312,281 bytes)


Wir möchten Sie dringend bitten zu prüfen, ob hier eine Verletzung gegeben ist und uns bis spätestens 06.12.2009 uns unter der angegebenen Kontaktadresse zu informieren, was Sie getan haben.

Sollten wir bis zum o. g. Termin nichts von Ihnen hören oder sollte unsere Überprüfung nach Korrektur für Sie negativ ausfallen, behalten wir uns vor, Ihren Server Hostname: hxxxxxxxx.serverkompetenz.net bis zur endgültigen Klärung zu sperren und ggf. von unserem außerordentlichen Kündigungsrecht gebrauch zu machen. 

Die Allgemeinen Geschäftsbedingungen sind - wie Ihnen bekannt ist - im Internet unter "www.strato.de" jederzeit einsehbar und ausdruckbar. 

Der Kunde ist für alle von ihm, über seine Zugangskennung oder von Dritten über seinen STRATO-Internet-Service produzierten bzw. publizierten Inhalte selbst verantwortlich. Eine generelle Überwachung oder Überprüfung dieser Inhalte durch die STRATO findet nicht statt.
Die STRATO überprüft die Inhalte des Kunden ferner nicht dahingehend, ob Ansprüche Dritter berechtigt oder unberechtigt erhoben werden. Im Internet ist es insoweit üblich, dass bis zu einer gerichtlichen Klärung Daten auf glaubhaftes Verlangen jedes Dritten gesperrt werden. Der Kunde erklärt sich daher einverstanden, den Zugriff auf seine Inhalte in dem Fall zu sperren, dass Ansprüche Dritter glaubhaft erhoben werden.

Wir möchten Sie für diese unausweichliche Maßnahme um Verständnis bitten. 

Falls Sie noch weitere Fragen haben, stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung. 

Mit freundlichen Grüßen

Abuseabteilung

Content-ID: 130155

Url: https://administrator.de/contentid/130155

Ausgedruckt am: 14.11.2024 um 19:11 Uhr

Cubic83
Cubic83 24.11.2009 um 20:52:45 Uhr
Goto Top
Hallo,

die Antwort ist ganz klar: Sichere deinen Server ab damit niemand mehr unbefugten Zugriff erlangen kann.

Ich würde mal sagen es reicht wenn du die Datei löschst und den Torrent Server entfernst. Teile das dann Strato mit.

Viel wichtiger ist aber die Lücke herauszufinden wie der Benutzer auf deinen Server gekommen ist. Eine weitere Frage ist ebenfalls wie sich denn ein Trojaner einnisten konnte. Keine Antivirensoftware installiert? Firewall deaktiviert?

mfG
maretz
maretz 24.11.2009 um 20:55:37 Uhr
Goto Top
Moin,

herzlichen Glückwunsch. Ich denke die Mods hier sollten diesen Beitrag mal gepflegt in die Hall-of-Fame aufnehmen - für all diejenigen die meinen sich einfach mal nen Rootserver mieten zu wollen und nicht glauben das sowas auch mal unangenehme konsequenzen haben kann (die kommen hier ja öfters vorbei!)...

Denn: du hast glaub ich so zimlich alles falsch gemacht was man falsch machen kann:

Fangen wir mal an:

a) Server offentsichtlich nicht vernünftig gesichert und vorallem nicht überprüft (sonst wäre nen Torrent sicher aufgefallen - bzw. durch eine Firewall geblockt worden!)

b) Nachdem du die Mail bekommen hast erstmal die Dateien löschen. Hervorragend! Hiermit hast du vermutlich die Möglichkeit entfernt mit der du nachweisen kannst das die Datei nicht von dir kam bzw. die Möglichkeit genommen in die Datei zu gucken um zu sehen was das überhaupt war!

c) Du hast den Server gesichert - schonmal ne gute Idee. ABER: Du hast diesen auf einen EIGENEN FTP gesichert -> und somit würde ich mal einfach behaupten das du den Download via Torrent selbst gestartet hast. Da das Image auf deinem eigenen Rechner liegt behaupte ich das du die evtl. vorliegenden Beweise für einen Einbruch in dein System nur gefälscht hast um einer evtl. Strafe zu umgehen. So - und jetzt beweise das Gegenteil. RICHTIG wäre gewesen hier z.B. die Leute um Strato mal um Rat zu fragen wie man jetzt weitergeht! NACH der Neuinstallation sind alle Optionen/Beweise weg -> Herzlichen Glückwunsch! Ebenfalls kannst du jetzt natürlich schlecht nachweisen wie lang der Server offen war - und auch nicht welcher Trojaner das war (war es z.B. ein Bug in der Verwaltungsoberfläche? Dann ist der mit etwas Pech morgen wieder drauf!)


Was wird jetzt weiter passieren?

Ganz einfach: Das hängt von deinem Glück ab - und davon wer das gemeldet hat und wie das weiterläuft. Das kann sein das da nicht viel passiert - du nimmst Kontakt zu Strato auf und erklärst denen das du den Server wg. des Einbruches in dein System neu installiert hast. Damit sollte für Strato das Thema schonmal erledigt sein.

Wenn du jetzt glück hast wird derjenige der das gemeldet hat ebenfalls damit zufrieden sein oder sich gar nicht wirklich melden - wenn es sich nur um eine File handelt. Wenn du pech hast kommt auf dich das komplette Programm mit dem Verfahren wg. UhG-Verstoß drauf zu - und dieses (da es sich um einen Root-Server handelt) mit allen möglichen Folgen. (Im ersten Fall idR. ne kostenpflichtige Abmahnung und ggf. mal nen Besuch zuhause von den Herrn in Grün/Blau...).

Hierbei kannst du dann noch froh sein - da die (erste) Abmahnung normal nicht sooo teuer ist. Ich würde dir jedoch UNBEDINGT Empfehlen dich mit der Servertechnik und der Absicherung eines Servers nochmal INTENSIV auseinander zu setzen bevor du den Server wieder online schaltest. Was machst du wenn beim nächsten mal über den Trojaner nen Angriff auf ne Firma gestartet wird? Nun - nehmen wir nur mal an das ich morgen feststelle das jemand bei uns in die Firmen-Systeme eingebrochen ist. Ich gucke in die Logfile und sehe das der Angriff von DEINER IP kam. In dem Moment stelle ich alle Arbeiten die zur Behebung des Schadens u. zur Ermittlung der Person nötig sind auch an dich in Rechnung. Dies können durchaus einige "Mann-Tage" sein - und je nach Schaden auch noch weitergehende Kosten (verlorene Aufträge, Aufträge die nicht rechtzeitig abgewickelt werden können - und da ich in der Schifffahrt tätig bin kann das also sein das dadurch mal nen Container ne Woche/nen Monat stehen bleibt weil der Zoll die Dokumente nicht erhalten hat!). Hier sind also mal eben nen paar Tausend Euro sehr schnell zusammen. Und da du alle Beweise vernichtet hast die mich überzeugen würden (bzw. nen Richter) das der Angriff nicht von dir kam - rate mal wer jetzt zimlich doof aus der Wäsche guckt...
dudi-007
dudi-007 25.11.2009 um 01:39:18 Uhr
Goto Top
Weisst du überhaupt wie das zustande gekommen ist ?
Den langen Text hättest du um 80 % abkürzen können.
Danke aber für die Tipps.

Ich habe denen geschrieben das ich keine derartigen Dateien finden konnte und das System sicherheitshalber neu installiert habe und das Problem damit nun behoben ist.

Und wenn ne Abmahnung kommt widerspreche ich die einfach.
maretz
maretz 25.11.2009 um 06:11:22 Uhr
Goto Top
Moin,

wie das zustande kommt? Ganz einfach: Server nicht richtig gesichert. Denn wenn ein Server richtig gesichert ist dann kommen die Leute da nicht so einfach drauf. Und die Personen die bei einem solchen System noch drauf kommen - ganz ehrlich, die brauchen da keine Torrent-Files draufpacken...

Du hast durch die neuinstallation eben alle Beweise vernichtet. Nehmen wir bitte einfach mal an ich wäre der Anwalt der dir die Abmahnung schickt. Jetzt gib mir einen Beweis der mich davon abhalten sollte dir die Abmahnung (an der ein Anwalt auch gut verdient!) zu schicken. Du sagst du kannst keine Datei finden - ok, das sagen mir die Kiddys auch die sich Tonnenweise MP3s runterladen - die löschen das eben und behaupten die können nichts finden. ICH habe aber den Protokollauszug der zeigt das die Datei auf deinem System war - wie kommt sonst der Upload zustande? In deinem Image ist keine Datei zu finden? Klar, das liegt auch bei dir - sind alle fälschungsmöglichkeiten offen (hätte z.B. Strato das Image gezogen wäre das schon schwerer geworden - da Strato kein Intresse hat da was zu verschleiern). Also ist dein Image als Beweis nicht wirklich nützlich...

Und wenn ne Abmahnung kommt dann wiedersprichst du der einfach? Das kannst du tun - was idR zu einem Verfahren führen wird welches du verlierst. Du hast keinen Beweis das du dafür nicht verantwortlich bist weil du die Datei nicht hochgeladen hast. Und gleichzeitig bist du als Server-Eigentümer auch für alles Verantwortlich was dein Server macht. Von daher: Kommt hier wirklich eine Abmahnung kannst du natürlich hingehen und da einfach mal nicht reagieren (idR. reicht das völlig aus die einfach zu ignorieren - du hast da normal ne Antwortsfrist und wenn die verstrichen ist dann bedeutet das automatisch das du damit nicht einverstanden bist... Kannst dir also die 55ct fürs Porto sparen). Ich würde dir aber in dem Fall empfehlen vorher mit nem Anwalt zu reden - und den fragen ob er ne chance sieht da so wieder rauszukommen... Ich bin eben kein Anwalt - aber aus meinem persönlichen Gefühl würde ich sagen das du da schlechte Karten hast. Und da es sich bei 2012 um einen aktuellen Film handelt dürfte ein evtl. Rechtevertreter auch ein Intresse haben die Verbreiter zu verfolgen...
dudi-007
dudi-007 25.11.2009 um 07:37:18 Uhr
Goto Top
EIne Lösung musste aber unmittelbar her. Schau dir doch noch einmal das Schreiben an.
Hier wird nicht nach Beweisen oder Ähnliches verlangt. Hier wird nur gebeten das Problem zu lösen und mitzuteilen was ich dagegen gatan habe. Ob da noch was kommt kann man jetzt nicht vorraus sehen. Schließlich hat sich die dritte Partei nicht bei mir gemeldet und auch keiner weiteres angekündigt so das ich das Problem wie verlangt behoben habe. Undzwar mit einer Neuinstallation um auszuschließen das die hochgeladenen Dinge im System aktiv waren. Spekulationen helfen mir nicht.
Die Ursache kenne ich bereits. Jedoch werde ich nun nicht noch mehr schlafende Hunde wecken um am Ende hier noch 3 Seiten zu hören wie dumm oder schlecht ich doch bin weil ich ein wichtiges Sicherheitsupdate vor einige Monaten vergessen habe mitzuinstallieren. Die IP des Verursachers ist zudem in Russland. Das Theater werde ich mir mit Sicherheit nicht geben .
Für mich sind nur Leute von Interesse die bereits dieses Problem hatten oder haben . Einen Papa der der mir einen Vortrag hält habe ich selber. (hat er übrigens bereits gemacht ;) )


Guten Morgen
Janno100
Janno100 25.11.2009 um 07:57:32 Uhr
Goto Top
Moin, moin

Ich habe deinen Beitrag schon durchblickt ^^. Da kann ich Dir ja meinen Vortrag nun ersparen ;). Ich war auch schon einmal in einer ähnlichen Situation. "(wegen eines Hackers natürlich)" .
Bevor du irgend einen ewig, langen Text schreibst oder der Abuse-Abteilung Futter auf den Tisch legst, den die dann weitergeben ist es wohl das beste das du einfach schreibst das du kein Problem feststellen konntest und Deinen Server neu installiert hast. Das du da noch andere Torrents gefunden hast, würde ich denen auf keinen Fall mitteilen. Du weisst ja auch nicht was deren Inhalt wirklich war. Weder in dem Film 2012, noch in den anderen beiden.
Wenn die dir Verbreitung nachweisen wollen, hätten Sie den Server gesperrt für die Untersuchung. Sowas wird dann über die Staatsanwaltschaft veranlaßt.
Ich glaube auch nicht das wie oben geschrieben wurde die Bullen ins Haus kommen.
Laß dich nicht verrückt machen und lerne draus. Hast noch mal Glück gehabt.
klausph
klausph 30.11.2009 um 17:43:16 Uhr
Goto Top
guten tag maretz,
endlich mal ein admin mit verantwortungsgefühl/bewusstsein!

viele andere stecken den kopf in den sand: was geht mich das an?
ich habe ja die ip vom russischen server.
das problem habe ich beseitigt.
(h)ach, dieses update von MS spielen wir noch ein, dann ist der server sicher.
macht nur weiter so!

vielleicht bin ich einer der wenigen admins, die, wenn sie übergriffe von deutschen(!) servern entdecken, die serverbetreiber versuchen (telephonisch) zu kontaktieren.
da habe ich schon einiges erlebt.
einige herrschaften fühlten sich in ihrer ehre gekränkt.
und: die meisten übergriffe finden am wochende statt. da hat admin pause.
vor 3-4 wochen gab es eine füchterliche welle von angriffen, meine beiden server haben zwar alles abgewehrt, aber die sicherheitseinrichtungen haben mir pro minute ca 20-30 emails gesandt. und da habe ich mir mal die mühe gemacht, zu schauen, wer da gekapert wurde/wer mich angreift: ein server einer wissenschaftsvereinigung namens holzhelm, eine evangelische freikirsche, 2 sportvereine, eine bundesvereinigung irgendwelcher baustoffe.
DAS BESTE: ein pc-laden, der spezialisiert auf computer-forensik ist, irgendwo aus den östlichsten aller bundesländer, macht sogar auf pc-service (nur telephonisch zu erreichen war ab freitag 17.00 NICHT mehr. achso: webservices und betreute rootserver bietet er auch an. geil, einfach nur geil.

man stelle sich einfach mal vor, wenn ich jeden der dt. server abmahnen würde, die mich versuchen zuknacken, wäre mein RA reich. ob ich auch etwas davon abbekäme?
nun lassen wir mal alle polemik gen himmel fahren, aber nicht die hoffnung!
schön wäre, nicht alle würden sich einen (windows-)server mieten. viele würde sich VORHER mit dem thema sicherheit beschäftigen.
diejenigen, die linuxserver haben, machen das mehr oder weniger zwangsweise.
wer natürlich seine server mit oberflächen wie platsch oder wie sie heissen "administrier", wird nie dazulernen können, diese programme nehmen einem das denken ab!
und wer nicht weiss, wie man sich ein openssh (mit openssl) selber zurecht kompiliert, hat eigentlich am rootserver NICHTS verloren.

(nicht nur) in der email von maretz steckt viel weisheit drin.
aber wer sich weigert, von "pappi" einen rat anzunehmen, sollte vielleicht die (grund)schulbank nochmal drücken face-wink


gruß klaus