http://www.kanzlei-hoenig.info/index.php/category/1-1-internet-ag/

Vielleicht helfen ja mehrere Strafanzeigen einfach mal weiter (obwohl ich so richtig nicht daran glaube).

würde um ein hochfahren im rescumodus bzw via knoppix(und co) bitten um forensic betreiben zu können.

darauf sollten sie sich im hinblick auf das was spreeblick ist eigentlich einlassen.

grundsätzlich würde ich darauf bestehen in einer “sicheren” umgebung einen blick auf das system zu werfen bevor irgendetwas unterschrieben wird.

aber es gibt noch andere provider mit besseren konditionen.

Mmmhhh – ich dachte das Geschäftsmodell solcher Provider besteht darin, daß man *nicht* mit ihnen reden kann? Aber vielleicht existiert ja doch Leben nach der 0190-Warteschleife. ;) Good luck!

Zu den Vorschlägen mit der Untersuchung des Servers: man kann nicht immer selber das ganze untersuchen, da man nicht immer den Server in einen Zustand bekommt, in dem man ihn benutzen kann, ohne die vorhandenen Schädlinge wieder zu aktivieren. Im Prinzip brauchts dazu ein abgesichertes Notsystem, mit dem man die Platten mounten kann – aber selbst dann ist beileibe nicht jeder in der Lage da in der Analyse wirklich rauszufinden, wie der Gast aufs System kam. Möglicherweise wars nur ein schwaches ssh-Passwort und ein Local-Exploit, möglicherweise wars ein schlafender Gast, den man sich mit ner älteren WordPress oder Drupal oder phpBB oder whatever eingefangen hat.

Die _richtige_ Vorgehensweise des Hosters wäre es, eine Neuinstallation des Servers anzubieten, möglicherweise mit vorherigem Notsystem zwecks Datensicherung (wobei man _da_ wirklich das Problem auf den Kunden abschieben könnte – aber ein Notzugang zur Sicherung wäre halt einfach netter). Und dann eben das System frisch aufsetzen, Daten rein und fettich. Unterlassungserklärungen zeigen jedenfalls nur, das der Hoster sich garnicht für die Probleme des Kunden aus so einem Hack interessiert, sondern einzig und allein für seine eigenen Finanzen und Risiken. Das ist zwar legitim, aber ein Providerwechsel ist das auch.

Also, vielleicht nach sowas mal suchen…

Grüße
phynv

Wenn ich mir die Kommentare Nr. 26 und 35 so durchlese, bin ich schon recht froh das Jonny im Beitrag den Namen der Firma nicht genannt hatte.
Das Schreiben ist für einen Laien natürlich erstmal ein Schlag in die Magengrube. Ich hätte auch fast schon geschrieben “Wenn man 1 und 1 zusammenzählt kommt dabei Kündigung bei raus”
Allerdings was haben Laien auch an einem Root-Server zu suchen? Nur mal so als Gegenfrage.

Deswegen würde ich an deiner Stelle das Schreiben nicht unterzeichnen, es allerdings als ernst zu nehmenden Schuß vor den Bug werten. Dementsprechend mich um eine Betreuung für die Server kümmern, entweder durch einen Managed Server oder einen Wartungsvertrag mit jemanden der sich wirklich gut auskennt.

Das würde ich so machen, hab es also von meinen Standpunkt aus so geschrieben. Ich weiß ja nicht wie fit Max oder Jonny im Managen von Servern sind. Fehler unterlaufen auch Profis, von daher hätte das auch dann passieren können, wenn ein Profi die Server verwaltet hätte. Ebenso schützt ein Managed Server nicht vor Scriptfehlern.

Aber so schnell kann es gehen.

Deshalb kann man solche Sachen eben nicht oft genug erwaehnen.

Die meisten Admins sind sich IMHO einfach nicht darueber im Klaren, dass sie mit einem Rootserver so etwas wie eine Netzwerk-.44er Magnum in ihren Haenden halten. So eine Kiste mit einem 10 MBit/s oder gar 100 MBit/s Uplink ist einfach mal eine Waffe. Jetzt koennte man den Bogen spannen zum Stammtischbegriff “Waffenschein”, mach ich aber an dieser Stelle mal nicht.

Gestern konnten wir das Problem dann auch lokalisieren. Lag doch tatsächlich an einer zugegebenermaßen älteren Version einer Webanwendung, die doch tatsächlich durch XMLRPC-Angriffe angreifbar war, und der sich jemand bediente um scripte runterzuladen, die dann nachweislich weiteres Material zogen und nen DOS-Angriff auf entfernte Server starten.

Imho sind Sicherheitslücken bei Web-Anwendungen ein recht bzw. relativ grosses Problem bzw. eine gehobene Herausforderung an den admin, da man im Gegensatz zu entsprechender Systemsoftware in aller Regel die Software händisch installiert und nicht aus irgendnem Software- bzw. Paketmanager, der einem evtl. anstehende Updates auch gleich mitteilt.

Aber wie gesagt – eigentlich war der Beitrag eher OT. :)

Wer nicht über die Zeit oder das Know-How verfügt, einen solchen Server sicher zu halten, dem steht eine ganze Palette anderer Angebote (und Provider) zur Verfügung. Keine Frage, das Ganze ist ärgerlich, und es kann manches mal selbst bei bedachter Pflege des eigenen Systems passieren. Nur: Solche Vorkommnisse stellen sicherlich keine Einzelfälle, und als Hoster würde auch ich mich hier absichern wollen. Dass die zu unterschreibende Verpflichtung tatsächlich so mächtig ist, wie sie klingt, wage ich (auch nach meinem damaligen Telefonat mit einem befreundeten Anwalt) zu bezweifeln, ein Tritt in den Arsch ist es in jedem Fall – und ein solcher steht jedem Administrator, dessen Büchse aufgemacht wurde, zu. Gut angebundene Scheunentore verursachen _eine Menge_ Ärger.

Also: Erstmal in sich gehen, im Fall der Fälle eine Rechtsberatung einholen, und wenn’s garnicht anders zu regeln ist: Unterschreiben, sichern, kündigen. Der Provider ist hier nicht der Buhmann, der Böse kam von außen, und der Fehler liegt auf Seiten des Administrators des betroffenen Systems. Nobody’s perfect and shit happens.

a) die AGB eine Angriff-Problematik behandeln, ob dort die Einschalt-Thematik geklärt ist und ob die Passagen relativ günstig für den Kunden sind.

b) die AGB in diesen Punkten rechtmäßig sind. Es gibt Klauseln die nicht legitim sind und im Zweifelsfall gegen den Hoster verwendet werden können.

c) die Unterlassenserklärung verhältnismäßig ist

Auf *keinen Fall* würde ich diese Erklärung hopplahopp unterschreiben und hoffen das nichts passiert. Wichtig ist dann in jedem Fall mit dem Provider einen Boot über die Rescue Konsole auszuhandeln (um Daten in einer sicheren Umgebung sichern zu können) und das dieser eine *komplette* Neuinstallation vornimmt bevor das System wieder richtig ans Netz geht.

Im Großen und Ganzen würde ich – wie schon von vielen geschrieben – versuchen rauszufinden, was man dir genau zum Vorwurf macht. Außerdem das Gespräch mit dem Hoster suchen und den Rechtsweg wählen, wenn das nicht hilft. Falls das nicht hilft sollte auch der Provider gewechselt werden, ansonsten halt ich das nicht für sehr sinnvoll, eben weil dem Provider wegen solcher Attacken eben großer Schaden entstehen kann und dieses Verhalten deshalb relativ gängig ist.

Viel Glück
Gruß
Patrick