OVH Community, your new community space.

Hacks, Scans und Spam: wie es weitergeht


oles@ovh.net
03.09.10, 15:48
Guten Tag,

wir arbeiten weiter daran, unser Netzwerk von jenen Kunden zu bereinigen,
die versuchen, die Ressourcen unserer Datacenter für illegale Aktivitäten
zu nutzen.

Nachdem wir den Turnover bei den Servern in den Griff bekommen haben und
bevor wir uns dem Spam zuwenden haben wir nun 3 Reseller identifiziert,
die sich darauf spezialisiert haben, unsere Server an Hacker jeder Art
weiterzuverkaufen. Es handelt sich dabei um einen Kunden in UK und zwei
in ES, was zusammen etwa 600 Servern entspricht. Diese haben von uns ein
Einschreiben erhalten, dass sie keine neuen Server mehr bestellen und
ihre bestehenden Dienstleistungen bei OVH nicht mehr verlängern können,
und werden also bis zum Ende des Jahres langsam auslaufen.

Wir haben vor Kurzem auch einen "Staubsauger" für Pakete eingerichtet,
der es uns erlaubt, den Traffic einer bestimmten IP aufzusaugen. Dies ist
zum Beispiel im Kampf gegen Botnetze sehr nützlich: wenn wir einen
gehackten Server identifizieren, der mit einer Botnet-IP verbunden ist,
dann saugen wir den Traffic zu diesem Botnet auf und finden innerhalb von
weniger als 60 Sekunden alle Server, die ebenfalls gehackt sind. Wir sind
dabei, den Versand von Warnmails in solchen Fällen zu automatisieren.

In Kürze werden wir uns dann dem Kampf gegen Spam und Phishing widmen,
dies wird darin bestehen, den Port 25 oder 80 zu blockieren (in der
entsprechenden Richtung), wenn Spam oder Phishingseiten erkannt werden.
Vor der Blockierung werden wir den Kunden eine gewisse Frist lassen, um
zu reagieren und das Problem zu beheben, aber nach Ablauf dieser Frist
werden unsere Roboter automatisch eingreifen, um den entsprechenden Port
zu schliessen (aber auch, um diesen automatisch wieder freizugeben). Der
ganze Rest des Servers läuft dabei normal weiter.

Und schliesslich werden wir unsere ganzen Bemühungen im Kampf gegen den
Missbrauch unserer Dienstleistungen auch auf einer Webseite online stellen
und dort sowohl automatisch als auch von Hand eintragen, welchen Angriffen
wir ausgesetzt sind und was wir dagegen tun. So sind diese Aktivitäten
dann viel transparenter und vollkommen öffentlich einsehbar. Dies wird
auch einige Auswirkungen haben, beispielsweise haben wir ganze Netzwerke
gefunden, die sich auf Scans spezialisiert haben. Mit den geplanten
Statistiken wird dann offensichtlich, wo genau die Gefahren lauern, und
wir können unsere Schutzmassnahmen dementsprechend anpassen.

Mit freundlichen Grüssen

Octave