Sie wurden von uns per Ticket darüber kontaktiert, dass eine Abuse Meldung für eine bestimmte Leistung vorliegt? Sie fragen sich nun, was genau es damit auf sich hat und was Sie tun können?
Es kann immer vorkommen, dass Ihre Systeme in jeglicher Art und Weise für illegale Aktivitäten genutzt werden. Oftmals passiert dies unbewusst, z.B. durch fehlende Sicherheitsupdates oder unzureichende Absicherung Ihres Dienstes. Jedoch können auch gut abgesicherte und aktuelle Systeme teil eines solchen Angriffes werden, es gibt immer Mittel und Wege wie man Ihr System dazu bringen kann auf eine Anfrage zu antworten, welche nicht von Ihrem System verschickt wurde.
Nachfolgend wollen wir ein paar grundsätzliche Fragen beantworten um Sie in einem solchen Fall bestmöglich unterstützen zu können.
Muss ich auf eine solche Abuse Meldung reagieren?
Ja. Eine nicht Beachtung dieser Nachricht führt in der Regel dazu, dass der Rechenzentrumsbetreiber die IP-Adresse nach extern für sämtliche Dienste sperrt. Das betrifft auch eine SSH Verbindung auf das System.
Was passiert, wenn ich nicht auf eine solche Meldung reagiere?
Sollten Sie auch wiederholt nicht auf unsere Anforderung reagieren, werden wir die Netzwerkverbindung des System ausgehend komplett sperren. Die Sperrung bleibt so lange bestehen, bis Sie uns mitteilen, dass das Problem gelöst ist.
Wie lange habe ich Zeit das Problem zu lösen?
Sie haben in der Regel 24 Stunden Zeit das Problem Ihrerseits zu lösen. Diese Frist wird uns in der Regel ebenfalls von unserem Rechenzentrum gesetzt, diese geben wir daher 1:1 an Sie weiter.
Muss ich mit weiteren Konsequenzen rechnen?
Es ist möglich, dass Ihre Dienste nun teil einer Straftat sind und die Ermittlungsbehörden die Inhaberdaten dazu anfragen wird. Wir sind Gesetzlich dazu verpflichtet, Ihre Kontaktdaten herauszugeben. Ob Sie dann mit einem mögliche Strafverfahren oder Bußgeldern rechnen müssen, das können wir nicht beantworten. In der Regel resultiert jedoch kein Ermittlungsverfahren aus solchen Abuse Meldungen.
Wie kann ich das Problem lösen?
Es ist immer abhängig davon, was genau die Ursache ist. In der Regel kann das Problem mit wenigen Handgriffen gelöst werden. Oftmals ist es nur ein Dienst der falsch konfiguriert wurde und so von außerhalb vollständig genutzt werden kann. Hier reicht es dann oftmals den Dienst auf lokale IP-Adressen (z.B. 127.0.0.1 oder localhost) umzustellen oder den Port von außerhalb per Firewall zu blockieren.
Es kann jedoch auch sein, dass die Ursache komplexer ist und sich tief in der von Ihnen verwendeten Applikation befindet. In der Regel wird hier der Software Entwickler ein Update bereitstellen. Sollte es Ihre eigene Applikation sein, so müssen Sie eigenständig eine Lösung dafür finden.
Wie kann ich verhindern, dass ich eine Abuse Meldung bekomme?
Grundsätzlich können Sie das nie ganz verhindern, allerdings können Sie Maßnahmen ergreifen um die Wahrscheinlichkeit deutlich zu senken.
Stellen Sie sicher, dass Ihre Systeme und Anwendungen immer auf dem aktuellen Stand sind. Wenn Sie z.B. einen vServer bei uns betreiben mit einer WordPress Installation, müssen Sie einmal das Betriebssystem des vServers und die Applikation betrachten und aktuell halten. Das System können Sie in der Regel mit dem Befehl (z.B. für Debian Systeme) apt dist-upgrade auf dem aktuellen Stand halten. Die Applikation können Sie teilweise über den integrierten Auto-Updater aktualisieren oder Sie müssen das Paket vom Entwickler neu herunterladen und die vorhandenen Files überspielen.
Versuchen Sie immer so wenige Services wie möglich nach extern offen zu haben. Viele Dienste wie z.B. ein Redis für eine Nextcloud Installation muss nicht von extern erreichbar sein, daher können Sie den Redis so konfigurieren, dass Sie diesen am besten über den Socket ansprechen. Alternativ dazu können Sie ebenfalls einen VPN Dienst auf Ihrem vServer einrichten, so können Sie sich immer über eine verschlüsselte Verbindung an Ihrem Dienst anmelden.
Vermeiden Sie die Nutzung von Standard Passwörtern, die häufig von Applikationen verwendet werden. Sobald Sie den Dienst eingerichtet haben, ändern Sie das Passwort sofort auf ein anderes und sicheres Passwort. Erst dann nehmen Sie die weitere Konfiguration vor.
Legen Sie ebenfalls keine Backups in das Verzeichnis des Webservers, nur damit es sich leichter herunterladen lässt. Sollte der Link bekannt werden, können die Backups auch von dritten heruntergeladen werden.
Verwenden Sie für den Zugriff auf Ihren vServer am besten so genannte SSH Keys und kein Passwort. Die SSH Keys bestehen aus zwei Teilen, dem Public und dem Private Key. Eine Verbindung auf Ihr System ist dann lediglich noch mit dem Private Key möglich, so verhindern Sie eine erfolgreiche Brute-Force Attacke auf Ihr System.
