Systematische VoIP-Angriffe von Plusserver.de

[Timmbo]

Liebe VoIP-Freunde!

Seit etwa 3 Monaten gibt es aus den beiden Netzen von Plusserver.de (85.25.0.0/16 und 188.138.0.0/17) jeden Tag Angriffe welche VoIP-Systeme offen sind und anschließend testen sie die User und Passwörter aus. Wie ja hinreichend bekannt ist gab es da schon beträchtilichen Schaden.
Mit "sie" meine ich die Betreiber der Server, wobei Plusserver(IntergeniaAG) selbst nichts dagegen unternimmt. Zig Mails an abuse haben nichts gebracht ink. Wireshark-Traces wo man genau erkennt, dass es sich um einen VoIP-Scanner handelt.
Natürlich ist mir bekannt das diese Angriffe aus der ganzen Welt vollzogen wird, aber wenn ein deutscher Provider trotz mehrmaligem Hinweis auf den Missstand nichts untermimmt, finde ich gehört dies veröffentlicht.
Eine Abhilfe wäre natürlich die beiden Netzbereiche in der Firewall vollkommen zu speren.

Grüße
Timm

 

[gandalf94305]

Da hilft Beweissicherung und dann Anzeige mit Strafantrag nach §303b StGB.

--gandalf.

 

[Timmbo]

Hallo gandalf,

hab ich da aus AT überhaupt ne chance?
Nehmen die überhaupt etwas per Mail an, da muß ich doch auf ne Polizeidienststelle in DE gehen, oder?

Grüße
Timm

 

[HobbyStern]

Hallo Gandalf,

ich gehöre auch zu denen die da laufend attackiert werden - ich habe fail2ban und mittlerweile deren gesamte IP Range gebant - jedoch sehe ich ja immer noch wer da gebant wird und es läuft immer noch fleißig.

Das sind täglich 2-3 Server die es versuchen.

Was meinst Du genau mit Beweissicherung?

=> Log mit IP, Uhrzeit und möglichst Trace

Hast Du sowas bereits mal hinter Dir und wenn ja, was darf man dann als "Erfolg" erwarten?

LG Stefan

 

[gandalf94305]

Beweissicherung bedeutet, daß man Logs etc. sichern sollte, um die Angriffe zu belegen. Dann wird Anzeige mit Strafantrag erstattet. In Deutschland wäre dies bei der nächsten Polizeidienststelle. In Österreich wohl auch, aber dort würde man dann auf die Amtshilfe der deutschen Kollegen angewiesen sein. Sofern einer der Betroffenen jedoch ein Verfahrenszeichen bei einer Staatsanwaltschaft, die den Vorgang ermittelt, haben, so kann man das als Referenz für die anderen Betroffenen verwenden, damit die entsprechenden Anzeigen (auch aus dem Ausland) dort zusammenlaufen.

Da jeder einzelne Betroffene für sich strikt genommen keine "Beweise" sichern kann, da man Textdateien ja beliebig manipulieren kann, gibt es zwei wichtige Punkte:

- Logdateien aus alten Backups, die diese Angriffe dokumentieren, sollten ebenso aufbewahrt und geliefert werden

- es sollten sich möglichst viele unabhängig Geschädigte melden, um einen Vorwurf der Fälschung von Beweisen sowie den "Einzelfallcharacter" zu entkräften

In jedem Fall ist das nach dem "Hackerparagraphen" in Deutschland strafbar und da der Verursacher in Deutschland sitzt, wäre das hier zu verfolgen.

--gandalf.

 

[HobbyStern]

Verstanden, das Problem der Textdateien war der Kern meiner Frage...Danke!

Bleibt die Frage - Timm, meldet man es oder lässt man es?

 

[alpenyeti]

Hallo zusammen,

ich hatte in der Zeit um den Jahreswechsel das gleiche Problem. Meine Auerswald 5020 konnte zwar nicht geknackt werden, aber Gespräche über VoIP waren teilweise wegen Überlastung der Anlage durch die Anfragen nicht mehr möglich.

Die Angriffe kamen einerseits aus den Niederlanden (leaseweb), andererseits aus Deutschland (server4you/plusserver). Leaseweb hat auf meinen Hinweis zwar nicht geantwortet, aber die Angriffe von dort haben kurz danach aufgehört. Plusserver hat zwar geantwortet, aber es abgelehnt, auf Basis meiner Wireshark-Traces tätig zu werden und "aussagekräftigere" Beweise verlangt (was außer einem Trace kann man noch liefern?).
Zusätzlich habe ich auch noch meinen (österreichischen) Provider informiert, in der Hoffnung, daß er vielleicht einen besseren Kontakt zu seinen deutschen Kollegen hat.

Das Problem konnte ich dann so in den Griff bekommen, daß der Router umprogrammiert und die Portweiterleitung komplett abgeschaltet wurde. VoIP funktioniert jetzt nur noch über das SIP-ALG, und das vollkommen problemlos und ohne irgendwelche offenen Ports. Der Angreifer war zwar noch ein paar Tage aktiv (ca. 6GB Traffic pro Tag!), hat dann aber aufgegeben, als von der Auerswald keine Antworten mehr kamen.

Ob sich eine Anzeige (kurzfristig) lohnt, wage ich zu bezweifeln. Die PCs hinter den IP-Adressen sind möglichweise selbst gekapert, und der Eigentümer weiß vielleicht gar nichts von seinem "Hobby". Bis tatsächlich etwas geschieht, könnte es eventuell ein bischen länger dauern. Und wenn die Angreifer im unbefreundeten Ausland sitzen, dann kommen sie morgen über ein anderes Botnetz zurück.

Hier ist es glaube ich besser, sich selbst zu schützen. Die Kapazität der Behörden dürfte bei diesen "Bagatellfällen" wahrscheinlich nicht ausreichen. Und den Serverbetreibern ist das eigene "finanzielle" Hemd näher als der Rock eines x-beliebigen Nichtkunden.

LG ... Yeti

 

[HobbyStern]

Vorweg : Sicherheit ist eine Illusion

Ich denke aber ich kann Dir zustimmen, abhelfen kann man dieser Situation nicht. Absichern schon, fail2ban, eine intelligente Firewall die mit eben fail2ban zusammenarbeitet und natürlich die andere 7Rs zur Absicherung von VoIP Servern sind zu beachten...

Dennoch stellt sich mir die Frage ob es schlichtweg aus der Arroganz der Unternehmen heraus einen Sinn macht dort eine Klage vorbereiten zu lassen - ggf. ist darauf zu beziehen das der Provider im Rahmen seiner Tätigkeit als Beauftragter Hoster (§ Paragraph? Gibt es da einen Zwang/Gesetz?) nicht reagiert und bemüht ist die Situation unter Kontrolle zu bekommen?

Wie geschrieben - bei mir laufen die Jungs nur noch gegen die FW - diese protokolliert aber die Versuche und DENYs immer noch brav mit und wenn man sich das so anschaut ist natürlich China, USA (Texas), NL, Korea dabei - aber auch Deutschland und wenn dann meist plusserver...ich finde das ist traurig.

In meinem Fall ist es eine Störung einer geschäftlichen statischen Verbindung - macht also schon etwas mehr Sinn...aber erhalten wird man nix und die Abhilfe wird für 2 Monate funktionieren, wenn überhaupt und dann auch nur bei einem Schädigerpool...

Für mich würde es nur Sinn machen wenn man die Querverbindung zum Anbieter der Serverfarmen als untätigen Nichtsnutz hinbekommen würde - denn schlichtweg, man ändert die Situation nicht, auch nicht auf Anfrage und das ist schlecht für *mich* und schlecht für den Besitzer des wahrscheinlich gekaperten ?vserver? ...!

LG Stefan

 

[gandalf94305]

Leaseweb (früher Netdirekt e.K.) ist eine bekannte SPAM-Quelle. Registrierungen hier im Forum aus deren Netzen sind nicht möglich. Wenn Interesse besteht, kann ich die IP-Ranges hier posten.

Das gleiche gilt für Nobis/Ubiquityservers und ein paar weitere ISPs, die auf SPAM-Listen ganz oben stehen, da sie nicht nur E-Mail-SPAM verschicken, sondern vor allem als Quellen für Forum-SPAM und Hackerangriffe bekannt sind.

--gandalf.

 

[ThePet]

Habe jetzt wieder 5 Maschinen im fail2ban log (luna321,823 -825, india039) von denen. Viel Schaden richten die nicht mehr bei mir an solange nicht geflooded wird. Aber nicht alle haben ihre Hardware an einem Server wo sie fail2ban laufen lassen können. Erst werden alle Peers durchgeklingelt. Die Peers die Antworten gebrutet. Und kommen sie rein werden teure Servicenummern angerufen bis alle Guthaben aufgebraucht sind. Und das von Deutschem Boden. Wird Plusserver bzw. Startdedicated.com darüber informiert wird man am Telefon abgewimmelt oder es wird einfach aufgelegt. Dem Anbieter scheint es egal zu sein das seine Maschinen für Angriffe genutzt werden. Er unterstützt mit seiner Haltung quasi die Hacker und sollte, da seine Maschinen in den logs landen, voll zur Verantwortung gezogen werden. Die Angriffe laufen jetzt , meiner Kenntnis nach, schon 4 Monate. Eine lange Zeit um zu reagieren.


gruß ThePet

 

[foschi]

Vielleicht sollte man das Thema an die Presse (c't?) geben. IMHO macht plusserver.de dort auch Werbung.

 

[Timmbo]

Hi all,

habe auch schon ct darüber informiert, aber da scheint auch nichts zu passieren, da die wie foschi ja schon sagt laufend Anzeigen machen und da wird wohl heise dann nichts abdrucken.
Da keiner darauf reagiert bleibt nur die Möglichkeit dies öffentlich über z.B. Blogs o.ä.zu machen. Ob dies für Zeitungen interessant ist ist fraglich.

Grüße
Timm

 

[Novize]

aber da scheint auch nichts zu passieren, da die wie foschi ja schon sagt laufend Anzeigen machen und da wird wohl heise dann nichts abdrucken.

Das ist zu einfach herunter gebrochen. Das stimmt so mit Sicherheit nicht. Auch andere schalten dort regelmäßig Werbung und tauchen teilweise negativ in Artikeln auf, teilweise sogar in der Rubrik "Vorsicht Kunde".

Es ist wohl eher so, dass eine einzige Meldung eher als blöder Einzelfall abgetan wird. Wenn sich mehrere Leute mit Logs und Co bei denen melden, ist es mit Sicherheit auch eine Nachforschung von deren Seite aus wert.

 

[Timmbo]

Hi Novize,

überzeugt. Also sollten sich mehrere bei denen Melden.
Ich habe die Mail an 2 direkte Mitarbeiter gesendet, wurde mir nach einem Anruf so mitgeteilt.
Habt Ihr etwas dagegen, wenn ich die hier angebe?

Grüße
Timm

 

[Novize]

Habt Ihr etwas dagegen, wenn ich die hier angebe?

Ja, frage bitte bei heise nach, ob Du diese Infos hier so verbreiten darfst. Auch diese Mitarbeiter haben Persönlichkeitsrechte, die wir tolerieren sollten.
Alternativ kannst Du diese Kontaktinfos ja anderen Usern per PN weitergeben, das wäre auf jeden Fall ok.

 

[alpenyeti]

Vielleicht noch ganz kurz ein Beitrag meinerseits zu Thema "Veröffentlichung":
Die Redaktion einer Zeitschrift oder Zeitung muß sich im Rahmen ihrer Sorgfaltspflichten absichern, wenn es darum geht, ein namentlich genanntes Unternehmen an den Pranger zu stellen. Es müssen also stichhaltige Beweise vorliegen. Und diese Beweise müssen wir liefern.

Ich persönlich habe allerdings Bedenken, VoIP-Traces einfach so weiterzugeben. Und manipulierte (von persönlicher Information gesäuberte) Traces aus anonymer Quelle dürften als Grundlage für einen Artikel nicht ausreichen.

Was sollen wir daher an die Redaktion übermitteln?

N.B.: Ein Unternehmen, welches Hinweise auf ein gesetzwidriges Verhalten unter Nutzung seiner Infrastruktur "auf die leichte Schulter" nimmt, hat wahrscheinlich einen guten Rechtsanwalt unter Vertrag ...

LG ... Yeti

 

[HobbyStern]

Ich würde die Logs soweit "aufbereiten" und abgeben, aber schlichtweg mit einem realen Namen schreiben und versichern das Du / Wir die Daten noch im Original haben.

Ich wäre dabei - würde aber parallel gerne den Weg der direkten Konfrontation gehen...kann ja nicht schaden und niemand kann sagen "haben wir nix von gewusst"

 

[ThePet]

Soll C't einen Honeypod aufstellen. Wird nicht lange dauern bis unsere Freunde den finden. Die meisten Angriffe sind am WE. Ich wette das 3-4 Maschinen von denen am Montag drin sind.

gruß ThePet

 

[Peter931]

Was kann ich auf meiner Fritzbox eigentlich als Vorsichtsmaßnahme dagegen unternehmen?

 

[Novize]

Keine SIP-Fon-Registrierung von außen erlauben, also diese "Hacks" wie das reg_from_oudside" müssen unterbleiben.
Wenn Du von außen ein SIP-Fon anmelden willst, dann nur(!) via VPN.
Die Fritz als SIP-Client ist uninteressant, die SIP-Server sind das, was diese Halunken suchen.