abuse mail.

samedi 28 février 2015

Tag zusammen,



ich weiß nicht ob ich lachen oder weinen soll. Ich habe eine Mail von abuse@ovh.net bekommen. Darin steht mein Server macht böse dinge.



Natürlich hab ich mich sofort auf den Server eingeloggt um zu schauen was vorsich geht. Nunja gefunden hab ich nicht viel. Mir wurden gleich die beweise von http://ift.tt/quxpnI. http://zulu.zscaler.com und noch soner seite mitgeschickt. Junge Junge da steht dinge von Malware usw drin. Ich habe Angst. Aber halt irgendwas stimmt hier nicht.



Der Server ist seit 17.01.15 in meinen Besitz. Die Einträge von oben genannten Seiten stammen aber von Oktober 2014. Gut Antwort geschrieben an die Herren von abuse@ovh.net, dass mir der Server zu dem Zeitpunkt als die ganze sache losing garnicht gehöhrte.



Natürlich abuse@ovh.net Mitarbeiter ist ja nicht blöd und schaut sich die ganze sache nocheinmal gründlich an. Ich bekomm wieder ne Mail. Ja es ist korrekt bei dem einen war es im Oktober 2015 "aber" bei virustotal und zscaler. steht der 22.01.2015 und da waren sie schon besitzer.



So ich Poste zwischen durck mal die Eingriffs log:

28.02.15 08:50 OS Reinstall

27.02.15 20:58 Hack

27.02.15 20:58 Netboot Update

24.01.15 16:54 OS Reinstall

24.01.15 14:46 OS Reinstall

17.01.15 14:33 OS Reinstall

17.01.15 12:00 OS Reinstall

17.01.15 11:27 OS Reinstall



17.01.15 bestellt OS Reinstall danach an dem Tag noch 2x ein OS Reinstall. (Falsche Debian OS Falsche Partionion ein wenig rumgespielt. Die Entgültige Installation war dann aber erst am 24.01.15. Bis dahin ist eigentlich nur das OVH Image in der Rohfassung gelaufen.



abuse Mitarbeiter hat mir ja nun wieder geschrieben und gemeint, wie oben schon geschrieben, bei VirusTotal und zscaler steht als letzten Scan 22.01.2015. Das ist auch soweit korrekt. Nur sollte man sich die Auswertung mal genauer anschauen.



Bei zscaler wurde die IP, welche leider seit 17.01.2015 zu meinem Server verweißt, am 22.01.2015 nocheinmal überprüft. Ergebniss

HTTP Status Code: 401 Authorization Required

Content Size: 482 bytes

Content Type: text/html; charset=iso-8859-1

IP Address: 188.165.xxx.xxx

Country: France

Web Server: Apache/2.2.22 (Debian)



Problem weiter unten steht unter URL checks:

Zscaler Malicious URL Botnet Risk 80/100



Leider steht nirgends wann es das letzte mal bestätigt wurde. Meine Vermutung Irgendwann Oktober 2014. Diese seiten sind jetzt nicht die schnellsten eine IP wider auf green zu setzen. Das ist auch normal auch gut so, außer du mietest dir nen Server und bekommst eine verseuchte IP.



Bei VirusTotal ist gleiche. Da steht, dass das erste mal was im Oktober 2014 gefunden wurde. Unter Comments sieht man dann auch schön wie leute vor "4 Monaten und 1 Woche" über Malware von dieser IP geschrieben haben.



Unser abuse@ovh.net Mitarbeiter sieht natürlich nur wieder die letzte überprüfung welche am 22.01.2015 war. So wie ich das sehe Check VirusTotal die Antivir hersteller. Und hier haben sie Natürlich wieder die letzten Informationen bekommen. 45/55 hatten als ergebniss Malware Trojan oder sonst was. Es ist aber nicht ersichtlich wann diese wiederum den check durchgeführt haben. Das Datum sagt nur aus wann VirusTotal bei AVG. McAffee und co angefragt habe.



Fakt ist nun. Ich schlag mich mit so einer scheiße rum. Nur weil 1. OVH meint versuchte IP´s jedem wieder aufs auge drücken muss und 2. Ein abuse@ovh.net Mitarbeiter nicht seinen Job machen kann.



Ich werd jetzt meinen Server auslaufen lassen und schauen ob ich noch bei OVH bleibe. Eine neue IP über den Support zu bekommen wird wohl mehr Zeit kosten als sich gleich nen andern Server zu holen.



Außerdem möchte ich noch demjenigen der diese IP als nächstes bekommt (es glaubt doch wohl keiner das OVH diese IP in Ihrem System sperrt) mein Beilad ausdrücken. Das gleiche gilt auch für alle danach.



Schönen Tag noch.




0 commentaires:

Enregistrer un commentaire