[eston]

Guten Abend,

mich würde interessieren, wie Ihr gegen Brute-Force-Angriffe aus Deutschland bzw. der EU vorgeht.
Werden solche Angriffe einfach hingenommen oder rechtliche Schritte eingeleitet?

Es geht mir nicht um das Hintergrundrauschen ala DFind oder Morpheus, sondern gezielt um SSH-/FTP- und Mail-Brute-Force-Attacken.
Ich bin ja Brute-Force-Attacken aus China und Brasilien gewöhnt, die geben sich wenigstens etwas Mühe und verwenden Proxies, aber ein "Profi-Hacker" mit deutschen Arcor-DSL-IPs versucht es momentan so:

- SSH-Angriff
- Fail2Ban blockiert die IP nach zwei Fehlversuchen
- Neuer Versuch mit neu zugewiesener IP nach 10-15 Sekunden
- Fail2Ban blockiert die IP nach zwei Fehlversuchen
- usw.

Nach 20 Versuchen ist es ihm/ihr anscheinend zu blöd. Ein paar Stunden später wieder das gleiche Spiel. So geht es jetzt seit vier Tagen. Diese Angriffe bedeuten keinerlei Gefahr, aber irgendwie nerven sie.

Was macht Ihr in solchen Situationen?

Grüße,
eston

[Specialkey]

Also als allererstes eine abuse Email an den Provider.
Hilft meist nichts (bei 1und1 bekommt man außer dem Autoresponder keine Antwort),
aber ist zumindest der erste Schrit...

[1st-Rootserver.de]

Jede IP per ABUSE-Mail melden.

[eston]

Letzten Monat waren es 11 Mails an 9 verschiedene Provider/Hoster in Deutschland. Antworten: keine.
Mir stellt sich dann die Frage: ist der Aufwand generell zu groß oder interessiert es die Provider/Hoster nicht?

Grüße,
eston

[1st-Rootserver.de]

Nein der Aufwand ist nicht zuhoch. Nur nicht jeder Provider/Hoster gibt ein Stellungnahme dazu ab. In den meisten Fällen werden die Kunden darüber informiert und gebeten Abhilfe zuschaffen.

[OMethfessel]

Häufig sind diese "Profi-Hacker" ahnungslose Internetuser, deren PCs Drohnen eines Botnetzes sind. Ich selbst habe dies bereits erlebt, dass wir einen KundenPC (privatPC) untersucht haben und im selben Moment von diesem ein "Angriff" auf einen von uns betreuten Server kam. Der "Hacker" war ein Rentner, der froh war wie man den PC anbekam.

[Penner]

Vor ein Paar Jahren war ich noch Betreiber eines Windows Server in FFM.
Mein Hoster hat mir die emails von seiner abuse email Adresse immer weitergeleitet die fuer meine IP eingingen...

Seit dem hoste ich nie wieder mit Windows Server 2000... - ich habs damals einfach nicht mehr geschaft den Server "sauber" zu halten obwohl der Server IPSec und eine Hardware Firewall hatte.

Damals haette ich das System retten wollen, heute haette ich einfach ein neues aufgesetzt.
Ich glaub das der Hacker einfach noch ein anderes hintertuerlichen hatte um immer wieder auf den Windows Server zugreifen zu koennen.

[mgutt]

Man kann denke ich davon ausgehen, dass die IPs selbst nur gehijacked wurden. Normal ist kein Hacker so dumm und nimmt seinen Telekom-Anschluss dafür ^^

Gleiches gilt für zahlreiche Server-IPs. Häufig auch nur gehijacked.

Abuse-Mails werden zwar selten beantwortet, aber da besteht auch keine Pflicht, schließlich unterliegt das ganze denke ich eh mal dem Datenschutz. Außerdem ist rechtlich sicherer erstmal nicht drauf zu antworten und beim IP-Nutzer anzuklopfen. So schafft man sich Freiraum, falls ein anderer Nutzer mit der gleichen IP wieder das Problem hat und man kann immer noch anzweifeln die Abusemail jemals bekommen zu haben ;)

Im Grunde halte ich neben der Abuse-Mail aber auch eine Anzeige für wichtig, damit sich eine strafverfolgende Behörde damit auseinandersetzt, falls es doch mal ein Scriptkiddie ist. Ist ja schließlich eine Straftat nach 202c:
http://www.gesetze-im-internet.de/stgb/__202c.html

Gruß