52

Suche Erfahrung

Hat jemand Erfahrungen mit den Unterlassungserklärungen von Hosting-Firmen?

Wie schon erwähnt, ist einer unserer Server down. Der Hoster meint, es wären heute Mittag DOS-Attacken von ihm ausgegangen. Um den Server wieder hochfahren zu können, brauchen sie eine Unterlassungserklärung von mir, die u.a. folgenden Wortlaut beinhaltet:

Der Unterzeichner verpflichtet sich (…) es bei Meidungen einer Vertragsstrafe in Höhe von EUR 5050,00 (in Worten: fünftausendfünfzig Euro), die für jeden Fall der Zuwiderhandlung fällig wird (Einrede des Fortsetzungszusammenhangs ausgeschlossen) und im Streitfall vom zuständigen Gericht auf Angemessenheit überprüfbar ist, zu unterlassen, weiterhin andere Server in ihrem Betrieb zu beeinträchtigen. Eine Beeinträchtigung im Sinne dieser Aussage ist die Überbeanspruchung von Diensten und/oder Verbindungen (DoS, dDos, flooding, spamming), die Übername einer mir nicht zustehenden IP- oder MAC-Adresse (IP- / MAC-spoofing) oder die Vorspiegelung der Zuständigkeit für eines nicht in meinen Bereich fallenden Dienstes, wie einer/s Ipadresse, DNSservers oder Domain. (spoofing, faking).

Danach folgen Sätze, die die Sicherung des Servers zusichern sollen. Damit habe ich kein Problem. Aber:

Der Server wurde selbstverständlich von uns nach bestem Wissen so eingerichtet, dass er sicher sein sollte. spreeblick.com, der andere, größere Server scheint keinerlei Probleme zu haben. Bereits vor der DOS-Attacke hatte der Server extreme Mail-Probleme, soll heißen: es war schon vorher etwas nicht okay, was wir aber nicht lokalisieren konnten und auf die Probleme des Hosters abwältzen, die durch die Presse gingen.

Anders gesagt: Wir wissen noch gar nicht, woran es lag. Bevor ich das nicht weiß, jedoch sehr wohl weiß, dass wir keine Attacken gestartet haben, fühle ich mich komisch dabei die o.a. Sätze zu unterzeichnen. Denn erstens klingen sie, als hätten wir die Attacken gestartet (und würde nicht eine Unterlassungserklärung quasi implizieren, dass wir es waren?) und zweitens steht da deutlich, dass wir, egal woran es lag, bei neuen Problemen 5050,- Euro zahlen werden.

Gibt es Meinungen oder Erfahrungen dazu? Wenn ja: Danke!

52 Kommentare

  1. 01

    Also wenn mein Hoster so mit mir umspringen würde, wäre ich da allerlängste Zeit Kunde gewesen…

  2. 02

    Ganz einfach: Provider wechseln!

  3. 03

    hi johnny

    vieleicht kann dir unsere musik weiterhelfen
    http://www.beebus.de/sound/beebus.ogg

    pK

  4. 04

    Ihr habt also einen Root Server bei diesem Provider?
    Ich kann map nur zustimmen, auch ich wäre bei einem solchen Umgang die längste Zeit Kunde dort gewesen.
    Ich weiss ja nicht was ihr so alles auf Eurem Server treibt, aber reicht Euch nicht ein Managed Server? Denn dann sollte es erst gar nicht zu dem oben genannten Vorgehen kommen können.

  5. 05

    Für 10 Euro mehr gibt es bei dem Hoster, der durch die Presse ging, einen Managed-Server. Da liegt das in deren Verantwortung. Vor allem sparste dir unendlich viel Zeit.

  6. 06

    Ich habe eine ganz andere Vermutung bei der Geschichte. Mit der ich aber sehr vorsichtig bin.

  7. 07

    Uups mit Marius bezüglich managed überschnitten – siehste Johnny sagen es schon zwei.

  8. 08
    b.

    Der soll mal „DoS, dDos, flooding, spamming“ ordentlich definieren, das ist ja mal sehr schwammig formuliert. ausserdem soll er Dir mal mitteilen, was konkret fuer Vorwuerfe gemacht werden (technisch). An was fuer einer „Attacke“ soll der Server denn beteiligt gewesen sein?

    Ach ja.. und den hoster wuerde ich dann anschliessend auch mal schnell wechseln… so wuerde ich auch nicht mit mir umspringen lassen.

    Solltest aber mal ueberpruefen, ob die kiste nicht tatsaechlich unbemerkt gekapert und fuer solche Angriffe missbraucht wurde…

    cheers,

    b.

  9. 09

    Das Problem war damals, dass die Leistungen komplett andere waren als jetzt. Naja. Wollte schon lange wechseln, aber der Umzug der ganzen Domains schreckt mich ab…

  10. 10

    Ich würde das gerne überprüfen (lassen…), nur wir kommen ja nicht mehr ran. Erst mit meiner Unterschrift wird das Ding wieder gestartet, erst danach kann ich Backups machen.

  11. 11
    Leo

    Ich würde mal, falls solche installiert sind, die php-systeme auf dem Server überprüfen. In letzter Zeit häufen sich Foren- Blog- und CMS-Würmer, da die meisten Systeme doch so ihre Schwachstellen haben. Es handelt sich dabei auch nicht unbedingt um gezielte Angriffe, sondern eben Würmer, die über Suchmaschinen die Seiten aufspüren.

    Gruss,
    Leo

  12. 12

    Das ist ja was.
    Gibt es keine Möglichkeit das telefonisch zu klären?
    So im Sinne von „wir zahlen nen Zehner mehr, ziehen auf nen neuen managed-Server, können heute an die Daten und dafür wird in zwei Tagen der alte Server plattgemacht.“

  13. 13

    Momentmal, das raffe ich jetzt gar nicht. Spreeblick.de ist ein eigener Rootserver, der nichts weiter macht, als nach spreeblick.com umzuleiten? Ist das nicht ein wenig … naja, oversized?
    Ok, warscheinlich macht ihr da noch andere Dinge mit, wa?
    ich würde denen das schreiben, was du hier geschrieben hast. Es ist ja wohl einsehbar, dass du nicht etwas unterlassen kannst, von dem du nicht weißt woher es kommt. Wenn die das nicht kapieren – wechseln.

  14. 14

    Das „weiterhin“ ist natuerlich besonders nett. Und die „Überbeanspruchung von Diensten und/oder Verbindungen“ auch. Udo fragen & wechseln, würd ich vorschlagen. Denn noch nen 10 drauflegen würde ich bei so einem Provider nicht.

  15. 15

    Hi Johnny,

    Du bist der Zweite, der mit dieses Problem diese Woche schildert. Ist das bei 1&2 jetzt etwa eine neue Masche, um Geld verdienen zu wollen?
    Es ist richtig, dass Du das nicht unterschreiben kannst. 1&2 muss verklickert werden, dass sie den Server anschalten, das Rescue-System hochfahren, Dich reparieren lassen (oder Daten sichern).
    Wenn Du unterschreibst, ist ein eventueller Trojaner ja immer noch drauf und startet wahrscheinlich so wie andere Serverdienste gleich mit. – Daraufhin wäre dann sofort die Strafe fällig.

    Das ist eine Frechheit und IMHO unlauter, was UnitedInternet da mit seinen Kunden macht.

  16. 16

    @mspro: Der macht andere Dinge mit, ist historisch so gewachsen. Ich wollte den eh schon lange mal abschiessen, aber wie das eben so ist…

    Das die Kiste von aussen gekapert wurde, wäre ja durchaus denkbar. Aber wir haben ja nicht mal eine Möglichkeit dass zu überprüfen.

    Das mit dem Managed Server wäre auf jeden Fall eine Möglichkeit. Allerdings kann man dann eben nicht mehr alles machen (klar, darum ja managed). Und: wenn ein solcher Managed Server z.B. über eine phpbb Lücke gehackt wird, hat man dann nicht exakt den gleichen Schriebs gleich wieder in der Inbox? Ausser, dass die Verantwortlichkeit eher noch schwerer zu klären ist?

  17. 17

    Moin Johnny,

    wie schon zu Deinem anderen Artikel „backgetracked“ (um Gottes Willen), hatten wir das gleiche Problem beim gleichen Provider. Obwohl uns ein befreundeter Anwalt (mal eben kurz am Telefon) erläuterte, dass die Unterlassungserklärung schlimmer klinge, als sie eigentlich ist (und deren Durchsetzung noch einmal ein ganz andere Frage sei), unterschrieben wird das Ganze ausschliesslich zum Zweck der Datensicherung – ein finanzielles Risiko in dieser Größenordnung konnten wir uns nicht leisten.

    Die rechtlichen Details habe ich leider nicht mehr im Kopf, aber evtl. liest ja hier ein bewanderter Rechtsverdreher mit. Und ja: Der Domain-Umzug dauerte – ob’s an 1&1 lag? Keine Ahnung. Coincidence?

  18. 18

    Nicht Unterschreiben und fristlos kündigen, oder zumindest damit drohen, denn wenns denen ans Geld geht, werden sie weich.

  19. 19

    das liest sich aber alles andere als nach kooperationsbereitschaft seitens von 1 plus 1. momentan scheint man da nicht zu verstehen, wie man mit kunden umgehen sollte. als blog mit reichweite kann man natürlich mal drüber schreiben – und für ein wenig wirbel sorgen. bei http://www.industrial-technology-and-witchcraft.de/index.php/ITW/more/16168 hat es ja auch geklappt, ging es zwar nur um die stabilität eines managed servers, aber da hat man auch reagiert, als die aufmerksamkeit zu gross wurde. spreeblick ist gross genug, um das ebenfalls zu schaffen. ich bin sicher das wird sich in kuerze alles sehr viel einfacher regeln lassen. denn sonst bloggen alle mal über ihre probleme. und deines natürlich gleich mit ;-)

    es ist nur schade um die vielen kleinen kunden, die sich hier kein gehoer verschaffen können und ewig leiden. vor kurzem hat mich ein bekannter gebeten, über sein problem mit einem 1+2 managed server zu bloggen, dass er seit wochen mit denen im klinch läge und nix bei rumkäme. ich habe gekniffen, weil ich mir keinen aerger einhandeln wollte. wenn das so weiter geht, könnte ich doch noch weich werden.

  20. 20

    Dreistes Pack. Ist es überhaupt rechtens, wenn nicht genau drinsteht, was Ihr bisher falsch gemacht habt? Glaube ich nicht.
    Schaust Du mal hier, damit ist nicht zu spaßen:

    http://www.beckmannundnorda.de/abmahnung.html
    „Wichtig (!): Wortlaut und Inhalt der Unterlassungserklärung müssen genauestens überprüft werden, da diese häufig unverhältnismäßig weit formuliert sind oder eine zu hohe Vertragsstrafe enthalten. Dies ist besonders gefährlich, da später für jeden einzelnen Verstoß die festgesetzte Vertragsstrafe fällig wird. Auf ein Verschulden des Abgemahnten kommt es dabei nicht an.“

    Spreeblick.com-Server sichern und wech, würde ich vorschlagen.

  21. 21
    Jürgen

    Tja, Rootserver, selbst schuld. Was kann man denn mit dem machen, was man mit einem managed server nicht kann? Außer Patches aufspielen, Kernel kompilieren usw?

  22. 22

    Vielen Dank für den ganzen Input! I’ll keep you posted, wie man so schön sagt…

  23. 23

    Ich wuerde Hoster erst mal Details erfragen: Was, wann usw.

    Dann gehts an die Logfiles (die hoffentlich – wie alle Nutzdaten und Konfigurationen – taeglich weggesichert werden). Die betreffenden Logs werden genau untersucht.

    Auch sehr hilfreich kann eine Traffic-Auswertung sein. Die kann beim sicherlich beim Hoster abgerufen werden. Wenn wirklich DoS von deiner Kiste gefahren wurden, dann sollten dort merkliche Abweichungen vom Durchschnitt an der vom Hoster mitgeteilten Antwort auf das „Wann?“ erkennbar sein.

    Der Tipp wird dir jetzt nicht viel nutzen, aber um wirklich sicher zu gehen, solltest du den Traffic ueber dein Netzwerkinterface bzw. deinen Mailserver selbst ueberwachen, es reicht, wenn du das mit mrtg oder munin grafisch machst. Von dir ausgehende „DoS, dDos, flooding, spamming“ erkennst du da sofort.

  24. 24

    Providerwechsel ist schwer angesagt. Mit 1&1 habe ich gute Erfahrungen.

  25. 25

    Soll ich nun auch noch „völlig indiskutabel“ schreiben?

    Aber gut, sie wollen es ja nicht anders. Scheint fast, als wolle man in Karlsruhe an die Tradition von Strato (Die ihre Qualitätssicherung inzwischen im Griff haben, oder?) anknüpfen, so wie sich in den letzten Monaten die Beschwerden häufen.

  26. 26

    Was mir noch einfaellt: Alle reihen sich hier in die Rumhackerei auf den Hoster ein, aber keiner (ausser Johnny vielleicht) weiss ueberhaupt was los ist.

    Wenn ich ein Hoster waere, dem durch gehackte Boxen (und davon hat jeder Hoster zu jedem beliebigen Zeitpunkt dutzende wenn nicht gar hunderte in seinen Rechenzentren stehen) Schaeden in Form von uebermaessigem Traffic (nicht ganz so wild, wird finanziell eh auf den Kunden abgewaelzt – aergerlicher fuer andere Kunden, denen dadurch zu Lastzeiten evt. Bandbreite fehlt) oder – viel schlimmer – Blacklisting ganzer Subnetze bei Spamhaus und Co. drohen, dann waere nach dem Wegnehmen einer Kiste seeehr vorsichtig beim wieder anschalten. Denn so ein Blacklisting kann ein gaaanz boeses Erwachen fuer den Hoster bedeuten, wenn ploetzlich ein ganzes Class-C-Netz kaum noch Mails rausbekommt. Dann kommen naemlich die Schadenersatzforderungen der Kunden …

    Ich selbst habe knapp zehn dedizierte Server in deutschen und amerikanischen Rechenzentren zu stehen und wenn ich sehe, was da jeden Tag an Massen von gehackten Kisten versuchen, ihre Wuermer, IRC-Bots und was-weiss-ich-noch-fuer-Mist zu verteilen, dann wird mir regelmaessig schlecht. Es reicht schon, wenn ich sehe, dass auf Port 6667 einer solchen Kiste ein IRC-Bot auf Befehle warten …

    Was ich eigentlich sagen will: Bis nicht eindeutig geklaert, ist dass wirklich keine der angegebenen Dinge von Buechse ausgegangen sind, wuerde ich hier nicht auf den Hoster schimpfen – es ist in meinen Augen sogar verstaendlich, dass er versucht sich abzusichern. (Nein, ich selbst habe keine Server bei 1&1 und auch sonst keine Vertraege mit der Bude, da mir die schon immer suspekt waren).

    Also abwarten, was die Untersuchung der Kiste bringt und dann kann man ja immer noch schimpfen ;)

  27. 27
    Karl

    Ich bin kein Anwalt, aber ich würde da nicht unterschreiben, würde man mir so ein Schreiben vorlegen. Wozu das Ganze? Für mich klingt das wie ein Schuldeingeständnis:

    > Der Unterzeichner verpflichtet sich […] zu unterlassen, weiterhin andere Server in ihrem Betrieb zu beeinträchtigen.

    „weiterhin zu beeinträchtigen“. Habt Ihr/Du (nicht euer Server, Ihr/Du eigenhändig) andere Server beeinträchtigt? Also wart ihr das selber? Wenn nicht, warum etwas zugeben, was man nicht gemacht hat? Du kannst die Erklärung doch nicht für Dritte abgeben, nur für dich – aber du hast nichts gemacht.

    Ich würde (aber ich bin kein Anwalt) 1&1 einen Brief schreiben, der, höflich formuliert, nichts anderes aussagt, daß sie mich am Arsch lecken könnten. Wenn Sie Dir Deine Daten nur nach Unterschrift geben wollen, wäre von meiner Seite eine laienhafte Strafanzeige fällt. Ich habe gerade mal nachgesehen. Sucht man in internationalen Anti-Spam Newsgruppen nach 1&1, beziehungsweise der Schwesterfirma Schlund, findet man wenig schönes:

    http://groups.google.com/group/news.admin.net-abuse.sightings/search?q=Schlund&start=0&scoring=d&
    http://groups.google.com/group/news.admin.net-abuse.email/search?q=Schlund&start=0&scoring=d&
    http://groups.google.com/group/news.admin.net-abuse.blocklisting/search?q=Schlund&start=0&scoring=d&

    Schlund hat einen Ruf … Wenn Abmahnungen bei United Internet die einzige Anti-Spam Maßnahme sein sollte, dann wundert mich das nicht.

  28. 28

    @jo
    Strato hat sicherlich ein wachsames Auge auf die Qualität, was sie sich 2000 (oder wars 99?) erlaubt haben, wird wohl nie wieder passieren. Aber auch hier läuft immer noch einiges schief:
    http://blog.hagk.de/history/321
    http://blog.koehntopp.de/archives/966-Server-wieder-da.html (etc.)

    Auch beruflich, wo man nicht ganz so auf die Kosten guckt, wo einer von mehreren Servern passender Größenordnung sowieso nicht unter 300 Euro zu bekommen ist, ist es schwer, einen wirklich guten Provider zu finden, wo nichts schief läuft, wo man sich nicht über mangelndes Interesse an den Kunden ärgert.

  29. 29
    phynv

    Hallo,

    ich würde es ebenfalls nicht unterschreiben, sondern denen den Vorschlag machen, dass sie – bis auf den Port 22 – erstmal alle Ports für Deinen Server (IP) blocken. So kann der Server wieder hochgefahren werden und Du kannst reparieren. Dies sollte technisch kein Problem für den Hoster sein… eigentlich!

    Grüße
    phynv

  30. 30

    Ich schliesse mich meinen Vorkommentierenden an, eine Prejudizierung, die über die Formulierung ‚weiterhin‘ impliziert, dass Du bisher andere Server ‚beeinträchtigt‘ hast, ist IMHO gefährlich.

    Es ist keine allgemeine Empfehlung, aber bei meinen Problemen nach der Freenet und Spiegel.de Verlinkung bin ich bei den Admins von HostEurope auf Blogger gestossen. Ein nicht zu unterschätzender Vorteil beim managen von Problemen ;)

  31. 31

    Na, das ist ja ein entzückender Schrieb. Mit dem Herunterfahren des Servers, ohne dass Ihr weiterhin Zugriff auf das Gerät habt, ist Euch natürlich die Analyse der Logfiles, an welchen Angriffen Euer Server beteiligt gewesen sein soll und vor allen Dingen, wie der Angriff bewerkstelligt wurde, verwehrt (oder hat man euch wenigstens Einblick in die Logs gewährt?) Ich würde da erst nach eingehender juristischer Beratung unterschreiben. Für mein subjektives Rechtsempfinden kann es nicht sein, dass Ihr eine Unterlassungserklärung unterzeichnet, ohne die Möglichkeit zu haben die Fehlerquelle einzusehen, um dann bei einem späteren Hochfahren des Servers sofort für den nicht beseitigten Fehler zu haften.

  32. 32

    Ich meine auch, ‚weiterhin‘ ist der Knackpunkt. Für mich heißt diese Textstelle übersetzt „OK, Ihr habt mich erwischt, ich tus nie wieder.“

    Wenn man bedenkt, daß Du von Deinem Provider gerade beschuldigt wurdest, DOS – Attacken zu veranstalten, kommt das einem Schuldeingeständnis gleich.

    In dem Vertrag, den Du mit Deinem Provider hast, sind doch bestimmt Klauseln, die ohnehin DOS, etc. verbieten, oder? In diesem Fall würde ich das sogar als Falle ansehen.

    Ich empfehle: verweise auf die Klausel(n), falls vorhanden, die Dir solches Verhalten sowieso schon verbieten. Außerdem kann es nicht schaden, nachzufragen, wie Dein Provider zu dem Schluß gekommen ist, Dein Server würde DOS – Attacken machen.

  33. 33

    So sehe ich das auch. Erstmal brauchen wir vernünftige Logfile-Auswertungen, dann ein Backup. Erstmal möchte ich wissen, was da passiert ist. Und dann sehen wir weiter.

  34. 34

    Hmm.. so weit ich das weiß ist das rechtlich so eine Sache mit dem Betrieb eines Dedicated Server. Denn es ist ja folgendes Fakt: Dadurch, dass man einen Dedicated Server anmietet, übernimmt man die Verantwortung für diesen (sofern es sich nicht um einen Managed Dedicated Server handelt oder zumindest teil-managed ist (aka bestimmte Vertragspflichten die durch den Hoster zu erfüllen sind)) und somit im Regelfall und wenn keine anderen Abmachungen existieren auch für von dem Server ausgehende Attacken oder Attacken an denen der Server zumindest beteiligt war (etwa in einer Distributed Denial of Service Attacke als Node des DDoS-Netz).
    Oft enthalten die Vertragsbedingungen der Provider sehr genaue Klauseln, wie in solchen Fällen verfahren wird. Große Provider sind hier u.U. noch recht großzügig, was gerade im Falle einer DoS Attacke sehr nützlich sein kann. Denn was klar sein sollte: Durch so eine Attacke können Trafficvolumen jenseits von gut und böse entstehen. Ich würde also an eurer Stelle mit Hilfe eines Anwalts genauestens prüfen ob/wie:

    a) die AGB eine Angriff-Problematik behandeln, ob dort die Einschalt-Thematik geklärt ist und ob die Passagen relativ günstig für den Kunden sind.

    b) die AGB in diesen Punkten rechtmäßig sind. Es gibt Klauseln die nicht legitim sind und im Zweifelsfall gegen den Hoster verwendet werden können.

    c) die Unterlassenserklärung verhältnismäßig ist

    Auf *keinen Fall* würde ich diese Erklärung hopplahopp unterschreiben und hoffen das nichts passiert. Wichtig ist dann in jedem Fall mit dem Provider einen Boot über die Rescue Konsole auszuhandeln (um Daten in einer sicheren Umgebung sichern zu können) und das dieser eine *komplette* Neuinstallation vornimmt bevor das System wieder richtig ans Netz geht.

    Im Großen und Ganzen würde ich – wie schon von vielen geschrieben – versuchen rauszufinden, was man dir genau zum Vorwurf macht. Außerdem das Gespräch mit dem Hoster suchen und den Rechtsweg wählen, wenn das nicht hilft. Falls das nicht hilft sollte auch der Provider gewechselt werden, ansonsten halt ich das nicht für sehr sinnvoll, eben weil dem Provider wegen solcher Attacken eben großer Schaden entstehen kann und dieses Verhalten deshalb relativ gängig ist.

    Viel Glück
    Gruß
    Patrick

  35. 35

    Ich kann mich den Worten von Rikman nur anschliessen, obwohl ich vor ein paar Wochen von einem ähnlichen Vorfall betroffen war (der eben diese „Unterlassungserklärung“ mit sich brachte). Das Lamentieren über einen Hoster, der einen amoklaufenden Rootserver vom Netz nimmt, finde ich (gelinde gesagt) unverständlich. Natürlich ist die Vorgehensweise von 1&1 arg grobschlächtig, auf der anderen Seite sollte man bedenken, dass für die Sicherheit auf einem per Definition unkontrollierten Rootserver eben nur einer verantwortlich ist: der Mieter.

    Wer nicht über die Zeit oder das Know-How verfügt, einen solchen Server sicher zu halten, dem steht eine ganze Palette anderer Angebote (und Provider) zur Verfügung. Keine Frage, das Ganze ist ärgerlich, und es kann manches mal selbst bei bedachter Pflege des eigenen Systems passieren. Nur: Solche Vorkommnisse stellen sicherlich keine Einzelfälle, und als Hoster würde auch ich mich hier absichern wollen. Dass die zu unterschreibende Verpflichtung tatsächlich so mächtig ist, wie sie klingt, wage ich (auch nach meinem damaligen Telefonat mit einem befreundeten Anwalt) zu bezweifeln, ein Tritt in den Arsch ist es in jedem Fall – und ein solcher steht jedem Administrator, dessen Büchse aufgemacht wurde, zu. Gut angebundene Scheunentore verursachen _eine Menge_ Ärger.

    Also: Erstmal in sich gehen, im Fall der Fälle eine Rechtsberatung einholen, und wenn’s garnicht anders zu regeln ist: Unterschreiben, sichern, kündigen. Der Provider ist hier nicht der Buhmann, der Böse kam von außen, und der Fehler liegt auf Seiten des Administrators des betroffenen Systems. Nobody’s perfect and shit happens.

  36. 36

    Unabhängig von der rechtlichen Seite bzgl. der Unterlassungserklärung haben „wir“ vor kurzem auch nen Root-Server (bei nem anderen ISP) durch DOS verloren. Soll heissen er wurde vom Netz genommen und musst in der config auch vom Netz bleiben.

    Gestern konnten wir das Problem dann auch lokalisieren. Lag doch tatsächlich an einer zugegebenermaßen älteren Version einer Webanwendung, die doch tatsächlich durch XMLRPC-Angriffe angreifbar war, und der sich jemand bediente um scripte runterzuladen, die dann nachweislich weiteres Material zogen und nen DOS-Angriff auf entfernte Server starten.

    Imho sind Sicherheitslücken bei Web-Anwendungen ein recht bzw. relativ grosses Problem bzw. eine gehobene Herausforderung an den admin, da man im Gegensatz zu entsprechender Systemsoftware in aller Regel die Software händisch installiert und nicht aus irgendnem Software- bzw. Paketmanager, der einem evtl. anstehende Updates auch gleich mitteilt.

    Aber wie gesagt – eigentlich war der Beitrag eher OT. :)

  37. 37

    xchylde, ich finde das in diesem Zusammenhang alles andere als Offtopic! Gerade an so Sachen wie die XMLRPC-Luecken denkt doch der – ich nenn ihn mal so – durchschnittliche Rootserver-Administrator ueberhaupt nicht. Hat er vielleicht mal in einer Ueberschrift bei Heise gelesen, aber nee, betrifft mich ja sowieso nicht …

    Aber so schnell kann es gehen.

    Deshalb kann man solche Sachen eben nicht oft genug erwaehnen.

    Die meisten Admins sind sich IMHO einfach nicht darueber im Klaren, dass sie mit einem Rootserver so etwas wie eine Netzwerk-.44er Magnum in ihren Haenden halten. So eine Kiste mit einem 10 MBit/s oder gar 100 MBit/s Uplink ist einfach mal eine Waffe. Jetzt koennte man den Bogen spannen zum Stammtischbegriff „Waffenschein“, mach ich aber an dieser Stelle mal nicht.

  38. 38

    Die XMLRPC-Probleme waren in WordPress 1.5.2 gelöst. Dennoch kann es damit zu tun haben: Es lief irgendwo noch eine Insatallation von einem Forum. Guter Ansatz zur Lösungsfindung, danke.

  39. 39
    Yves

    Frag‘ Doch mal Onkel Vetter vom lawblog.de :D ;) So unter Blogger-Kollegen“¦ hehe

  40. 40

    Als erstes mal: Unterschreiben würde ich gar nichts. Eine Unterlassungserklärung ist ein Schuldeingeständnis. Bzw. es besagt das man davon ausgeht das man in Zukunft daran Schuld sein wird.

    Wenn ich mir die Kommentare Nr. 26 und 35 so durchlese, bin ich schon recht froh das Jonny im Beitrag den Namen der Firma nicht genannt hatte.
    Das Schreiben ist für einen Laien natürlich erstmal ein Schlag in die Magengrube. Ich hätte auch fast schon geschrieben „Wenn man 1 und 1 zusammenzählt kommt dabei Kündigung bei raus
    Allerdings was haben Laien auch an einem Root-Server zu suchen? Nur mal so als Gegenfrage.

    Deswegen würde ich an deiner Stelle das Schreiben nicht unterzeichnen, es allerdings als ernst zu nehmenden Schuß vor den Bug werten. Dementsprechend mich um eine Betreuung für die Server kümmern, entweder durch einen Managed Server oder einen Wartungsvertrag mit jemanden der sich wirklich gut auskennt.

    Das würde ich so machen, hab es also von meinen Standpunkt aus so geschrieben. Ich weiß ja nicht wie fit Max oder Jonny im Managen von Servern sind. Fehler unterlaufen auch Profis, von daher hätte das auch dann passieren können, wenn ein Profi die Server verwaltet hätte. Ebenso schützt ein Managed Server nicht vor Scriptfehlern.

  41. 41
    phynv

    Was mir noch einfällt: bei mir ist ein Hack mal durch URL-Parameter Mißbrauch geschehen; war Folge eines Bug in dem AWSTATS-Modul von Typo3 und eines Fehlers von mir, in dem ich in der php.ini das allow_url_fopen = On hatte…, ein folgenschwerer Fehler! So konnten Scripte von anderen Servern ins /tmp geladen und dort ausgeführt werden, was zur Folge hatte, das von meinem Server Angriffe ausgingen. Zum Glück habe ich die Aktion 20 Min. später entdeckt, und so konnte ich viel Schaden vermeiden.

    Also, vielleicht nach sowas mal suchen…

    Grüße
    phynv

  42. 42

    Ursprünglich war doch die Frage, wie kommt man an den Server wieder heran. 1&1 wird ihn vermutlich nicht ohne die Unterlassungserklärung anschalten. Wenn man diese jedoch unterschreibt, akzeptiert man “ (Einrede des Fortsetzungszusammenhangs ausgeschlossen)“ – nach dem Einschalten ohne Vorsichtsmaßnahmen (rescue-System, nur remote-Console – sprich: server vom Netz genommen etc.) wird ein gahackter Server jedoch sofort wieder die gleichen Aktivitäten vornehmen. Das ist das Problem mit dem Schriebs. Es geht doch gar nicht darum, zu behaupten, man wäre falsch beschuldigt worden. Der Ansatz ist, man kann nicht einfach den Server wieder ans Netz lassen. Im Schriebs von 1&1 steht aber nur drin, man hätte mit Absicht … – das Angebot, einen gehackten Server erst einmal pseudo-offline reparieren zu lassen ist hier keineswegs enthalten. Das ist das Problem.
    Wie bei allen Providern, wenn es Probleme gibt sind die kommunikativer Art. Die Technik haben sie eigentlich alle im Griff.

  43. 43

    Raaa, dieses Halbwissen allüberall, auch bei mir.
    Zwar steht in sämtlich Foren und Kommentaren, daß eine Unterlassungserklräung einem Schuldeingeständnis gleichkommt und für den Laien liest es sich auch so. Aber mein Anwalt hat mir aber mal versichert, daß dem nicht so ist. Also FBEA.

  44. 44

    Also ich würds auch nicht unterschreiben – Server können immer mal wieder Lücken haben, über die sich Hacker Zutritt verschaffen. Das ist gerade für Nicht-Profis nicht immer verhinderbar. Ein Rootserver-Hoster, der dafür keine sinnvolle Regelung hat, sondern das ganze nur auf den Kunden abwälzt und dann noch solche Erklärungen verlangt, ist definitiv nicht der richtige Hoster.

    Zu den Vorschlägen mit der Untersuchung des Servers: man kann nicht immer selber das ganze untersuchen, da man nicht immer den Server in einen Zustand bekommt, in dem man ihn benutzen kann, ohne die vorhandenen Schädlinge wieder zu aktivieren. Im Prinzip brauchts dazu ein abgesichertes Notsystem, mit dem man die Platten mounten kann – aber selbst dann ist beileibe nicht jeder in der Lage da in der Analyse wirklich rauszufinden, wie der Gast aufs System kam. Möglicherweise wars nur ein schwaches ssh-Passwort und ein Local-Exploit, möglicherweise wars ein schlafender Gast, den man sich mit ner älteren WordPress oder Drupal oder phpBB oder whatever eingefangen hat.

    Die _richtige_ Vorgehensweise des Hosters wäre es, eine Neuinstallation des Servers anzubieten, möglicherweise mit vorherigem Notsystem zwecks Datensicherung (wobei man _da_ wirklich das Problem auf den Kunden abschieben könnte – aber ein Notzugang zur Sicherung wäre halt einfach netter). Und dann eben das System frisch aufsetzen, Daten rein und fettich. Unterlassungserklärungen zeigen jedenfalls nur, das der Hoster sich garnicht für die Probleme des Kunden aus so einem Hack interessiert, sondern einzig und allein für seine eigenen Finanzen und Risiken. Das ist zwar legitim, aber ein Providerwechsel ist das auch.

  45. 45

    Hallo,
    Mein Rat: bevor Sie das in aller Öffentlichkeit auswalzen und bevor Sie was unterschreiben oder rechtlich rückversicherte Schreiben losschicken, reden Sie mal mit dem Provider. Mindestens per Telefon, oder auch mal persöhnlich, was immer besser ist. Schriftlich eskalieren die Dinge sehr schnell.

  46. 46

    Ja na klar reden wir. Ich glaube, es wurde ja jetzt auch viel gesagt zu dem Thema. Wie schon bemerkt: Wir telefonieren, finden eine Lösung und dann gibt’s mehr Infos. Danke!

  47. 47
    Markus

    „reden Sie mal mit dem Provider. Mindestens per Telefon, oder auch mal persöhnlich“

    Mmmhhh – ich dachte das Geschäftsmodell solcher Provider besteht darin, daß man *nicht* mit ihnen reden kann? Aber vielleicht existiert ja doch Leben nach der 0190-Warteschleife. ;) Good luck!

  48. 48
    philippe

    wusste ich doch gleich bei wem die seiten gehostet sind. mit denen hab ich auch gerade probleme – und den umgangston kenne ich auch: als ob die es nicht nötig hätten, kunden zu haben! mein rat: nichts unterschreiben, keine überteuerten hotlines anrufen, sofort schriftlich vom vertrag zurücktreten und es notfalls auf einen rechtstreit ankommen lassen – vor allem nicht einschüchtern lassen!

  49. 49

    hiya,

    würde um ein hochfahren im rescumodus bzw via knoppix(und co) bitten um forensic betreiben zu können.

    darauf sollten sie sich im hinblick auf das was spreeblick ist eigentlich einlassen.

    grundsätzlich würde ich darauf bestehen in einer „sicheren“ umgebung einen blick auf das system zu werfen bevor irgendetwas unterschrieben wird.

    aber es gibt noch andere provider mit besseren konditionen.

  50. 50

    Ich habe ähliche Erfahrungen mit der 1 & 1 Internet AG gemacht, über die ich hier berichtet habe:

    http://www.kanzlei-hoenig.info/index.php/category/1-1-internet-ag/

    Vielleicht helfen ja mehrere Strafanzeigen einfach mal weiter (obwohl ich so richtig nicht daran glaube).

Diesen Artikel kommentieren