Das erklaert imho noch immer nicht die Reaktion "mal eben" ein ganzes Rechenzentrum zu blockieren.
Moegliches Szenario: ueber die Luecke in PhpMyAdmin wird ein selbstverbreitender Schaedling hochgeladen welcher autonom weitere Opfer nach einer gegebenen Methode sucht. Sobald er Opfer gefunden hat, werden diese exploitet und das Spiel faengt von Vorne an.
Dass nun einige dieser missbrauchten Server bei Webtropia standen und ihr die nicht bei Erkennung des Angriffs blockieren konntet ist leider Pech fuer eure Kunden. Ist ein nullrouten eingehender Verbindungen durch das Updaten der Routing-Tabellen so schwerfaellig oder warum konnten diese IP's nicht einfach erkannt werden? Meines Wissens ist OVH ja im Erkennen ganz gut.
Warum reichte eine Abuse an den IP-Block Besitzer, also Fast-IT, nicht aus statt einem Rundumschlag?
Grundrauschen -also inklusive Exploitscans- ist im Internet was 'normales'. Wenn ihr alle externen IP-Ranges blockiert aus welcher Angriffe kommen habt ihr binnen kuerzester Zeit das OVH-net gegruendet. Isoliert, sicher und kaum erreichbar. (Ich glaube auf sowas hat China aber ein Patent...)
CXS und modsecurity geben mir nicht umsonst taeglich Horror-Benachrichtigungen ueber irgendwelche ausgenutzten Luecken in Joomla- und Wordpress-Plugins. Dass ein paar Server einen so grossen Schaden angerichtet haben ist wirklich schlecht, aber das waere wie die Telekom vom Internet zu kappen weil einige ihrer Kunden Viren auf dem Rechner haben. Der Schuldige sitzt aber froehlich in Hawaii mit paar Millionen mehr.
Dass Webtropia -anscheinend- ein schlechtereres oder nicht existentes Missbraucherkennungs-System hat ist schlecht fuer sie und gut fuer euch da ihr ein Marktvorteil habt.
Aber Hetzner zB reagiert auch auf UDP-Flood, Portscans und aehnliches auch recht langsam wenn bedenkt dass ich Systeme "heile machen" durfte die mehrere Tage ungestoert ddos-Attacken mit knapp 80Mbit raushauten.
Also warum Webtropia und nicht Hetzner?
Deren Support hat aber mehrmal darauf hingewiesen dass sie an einer Kontaktaufnahme zu euch interessiert seien - es also definitiv kein Anbieter ist der solche Sachen duldet. Leider haette OVH "auf stur" geschaltet und wuerde weitere Anfragen nicht beantworten (siehe meine Auszuege oben). Warum?
Ich kann aber zB auch nicht die Ip-Range 93.186.196.0 - 93.186.197.63 (wo zumindest .5 anpingbar ist) aus dem OVH-Netz erreichen es wurde also bedeutend mehr als "nur" ein /20 lahmgelegt. Warum?
Nicht falsch verstehen, aber es scheint wirklich als ob OVH aus "Rache" fuer die naechtliche Arbeit und den entstandenen Schaden den Hoster und nicht die Serverbesitzer oder den Autor verantwortlich machen will und dementsprechend nicht an einer Konfliktloesung interessiert ist.
Ich bin zufriedener Kunde beider (und paar anderer) Anbieter aber die fehlende Zugriffsmoeglichkeiten fuer rsync und Direktkopierung ist mehr als nur nervig; zumal wenn man keine direkte Schuld des Anbieters erkennen kann.
Wenn ihr wirklich was fuer die Sicherheit des Internets machen wollt, dann setzt euch fuer eine eu-weite Fuehrerscheinpflicht fuer Serveradministratoren ein. Dann wuerde man auf serversupportforum auch nicht alle 2 Tage (in den Sommerferen jeden Tag) Beitraege wie "Hilfe mein Server wurde gehackt!!!" und "wie kann man eigentlich von Sarge/Lenny updaten?" lesen.
Alternativ koenntet ihr euren Kunden Filterregeln aehnlich gotroot und Security-Scanner aehnlich cxs kostenfrei zur Verfuegung stellen. Ich zumindest brauch immer viel Redekunst um die 100$/Jahr anderen Serverbetreiber schmackhaft zu machen. 100$ kostet schon nur die Bandbreite durch einen Exploit...
Warum ist diese Blockierung nicht in eurem Abuse-Tester ersichtlich?
Wenn du Netze hast, von denen eine akute Gefahr ausgeht, bitte mit
entsprechenden Logauszuegen an abuse@ovh.net wenden.
Versprochen, dass automatisierte Meldungen, also im Fall eines kleinen/mittleren DDoS sowie einer neuen Welle an Exploits moeglicherweise schon ein paar, nicht als Spam abgelehnt werden?