phpBB.de

NETDIREKT droht phpBB-Besitzern mit Strafanzeige!

Der Provider Netdirekt hat in den letzten Wochen Kunden, die einen Server bei diesem Unternehmen gemietet haben und ein phpBB-Board betreiben, EMails mit der Androhung strafechtlicher Schritte und der Weiterleitung der Kundendaten an die Staatsanwaltschaft gedroht, wobei sich NETDIREKT die Kompetenz zur Beurteilung der Frage, inwieweit sich der phpBB-Besitzer und Kunde vorsätzlich im Zusammenhang mit der Wurmproblematik verhalten hat, selbst vorbehielt. (vgl. u.a. Mail)!

Hintergrund:

Auch Kunden, die regelmässig ihr Board mit den neusten phpBB-Sicherheitsupdates gepatcht hatten, kamen kaum noch hinterher, ihr Board zu patchen, weil im neuen Patch schon wieder eine neue Lücke enthalten war.

Ergebnis:

Die bekannte Wurmproblematik, dass von einem befallenen Server aus andere angegriffen werden.

"Kundenfreundlicher" Lösungsweg von NETDIREKT:

Hallo,

aufgrund eines Angriffs des Rechners mit der o. g. IP auf andere Rechner im Internet, haben wir diese vom Netz genommen.

In den meisten Fällen liegt eines ilegaler Eindringen auf den Serbver durch einen Hacker vor, der den Server missbraucht um weitere Server im Internet zu schädigen.
Die Erfahrung hat gezeigt das man das eigene System nach einem "Hack" nicht mehr sicher machen kann, da immer die Möglichkeit besteht das der Hacker eine "Hintertürchen" offen gelassen hat.

Wir empfehlen daher das System nach rund 12-24 Stunden wieder durch uns nach einem Reboot freigeben zulassen. Sie im Anschluß eine Datensicherung vornehmen und im Anschluß uns den Auftrag für ein neues Image über das Kundencenter zuzusenden um alle Sicherheitlücken zu schliessen.

Bitte beachten Sie das sofern der Server nach der Reaktivierung durch uns das System erneut durch Angriffe ins Intenet auffällt eine Freigabe nur nach der entgültigen Installation eines neuen Image erfolgen kann.

Vorsorglich weisen wir vorsorglich daraufhin, das sofern uns Information zugehen, die darauf schliessen lassen das unser Auftraggeber für den Server selbst, oder dritte die durch Ihne Zugang erhalten haben, Initiatior den Angriffs war, den zuständigen Ermittlungsbehörden alle uns vorliegenden Informationen zugänglich gemacht werden und dieser Vorgang zur Anzeige gebracht wird.

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.

Insbesondere vorletzter Absatz verdient Beachtung ("... oder Dritte durch Ihn[Anm.: den Kunden] Zugang erhalten haben ..].

Bekannterweise wurden die Wurmvarianten auch Perl-Programme, IRQ-Server u.ä. installiert und somit das Kriterium des "Zugangverschaffens" gewissermassen erfüllt.

Ebenso erfreulich: Die Tatsache, dass bei einem erneuten Wurmbefall des phpBB das ganze Betriebssystem neu aufgesetzt werden müsse. Naja, die paar Stunden für ein komplettes Nachinstallieren des Webserves, PHP, MySQL usw usw usw ist für den geübten phpBB-Besitzer durchaus zu verkaften, oder?

Die betroffenen "Kunden", deren Rechner vom Netz genommen wurden, sind anschliessend, um dem Ganzen noch eins draufzusetzen, via EMail über den Vorgang in Kenntnis gesetzt worden, ohne dass NETDIREKT zuvor prüfte, ob es sich bei dem adressierten Mailaccunt nicht um einen Kunden-Mailaccount handelte, der auf dem abgekoppelten Server lag und folglich vom Kunden auch nicht mehr erreichbar war. Folge: phpBB-Besitzer, die sich wunderten, dass NIX mehr ging, aber auch keine aufklärende Mail erhielten.

Frage:

Würde ich einem Dritten die Firma NETDIREKT unter Berücksichtigung o.a. Sachverhalts einem Dritten empfehlen?

Antwort:

Net direkt!

SoNet!

Also eigentlich steht da nur drin, dass man - wenn man seinen eigenen Server mietet - als Betreiber auch dafür verantwortlich ist, was damit geschieht. Und wenn Server X auf Server Y eine Attacke ausführt - sei es nun vorsätzlich oder durch Fahrlässigkeit des Admins, so finde ich es durchaus okay, wenn - in Abhängigkeit der jeweiligen Folgen - eine Anzeige wenigstens geprüft wird. Denn es besteht die reale Chance, dass durch so eine Attacke ein finanzieller Schaden entstanden sein könnte.

Und sollte ein System tatsächlich durch einen Eindringling kompromittiert worden sein, so halte ich für durchaus begrüßenswert, dass der Server auf etwaiges Ungeziefer hin geprüft wird. Da eine Einzelprüfung allerdings kaum zu bezahlen wäre, ist das Plätten der Festplatte der einzig gangbare Weg.

In dieser Mail steht also eigentlich nichts Neues - insbesondere nicht in dem von Dir veröffentlichten Auszug.

Gérome

wer als admin nicht weiss, wie man einen root server korrekt und sicher konfiguriert sollte imho lieber shared hosting wählen. wenn ich mir die vielzahl der 'drohnen' anschaue über die automatisiert angriffe laufen, kann ich die reaktion von netdirekt eigentlich nur teilen

Gérome hat geschrieben:Also eigentlich steht da nur drin, dass man - wenn man seinen eigenen Server mietet - als Betreiber auch dafür verantwortlich ist, was damit geschieht. Und wenn Server X auf Server Y eine Attacke ausführt - sei es nun vorsätzlich oder durch Fahrlässigkeit des Admins, so finde ich es durchaus okay, wenn - in Abhängigkeit der jeweiligen Folgen - eine Anzeige wenigstens geprüft wird. Denn es besteht die reale Chance, dass durch so eine Attacke ein finanzieller Schaden entstanden sein könnte.

Punkt a)
Wenn man, wie DU oben feststellt, als Betreiber, der einen eigenen Server mietet, auch SELBST für diesen verantwortlich ist, verbietet sich schon einmal jede Einmischung seitens des Providers. Es sei denn, dieser wird darum gebeten. Im übrigen ergibt sich dies auch regelmässig aus entsprechenden Haftungsfreizeichnungsklauseln, die die Provider benutzen.
Haftungsfreizeichnungsklauseln auf der einen Seite, ggf. verbunden mit überraschenden nicht im Verhältnis zur Eigenverantwortlichkeit (wg. Haftungsfreizeichnungsklauseln) des Mieters stehende "Einmischungsmöglichkeiten" eines Providers gegenüber einem Rootserver-Kunden dürften einer rechtlichen Überprüfung i.d.R. kaum standhalten (AGBG usw.).

Genau diese Haftungsfreizeichnung lässt ein Provider sich bei Kunden mit dediziertem Server aber regelmässig schriftlich bestätigen. Und es kann nicht angehen, dass sich der Provider schriftlich bestätigen lässt, bei allem fein raus zu sein, also keinerlei Verantwortung für einen Rootserver zu tragen, aber gleichzeitig sachherrschaftsähnliche Befugnisse geltend machen will und auch noch anmasst, über von phpBB-Würmern befallene Kunden zu urteilen und ihm quasi kriminelle Handlungen zu unterstellen.

Überdies geht es nicht darum, dass im vorliegenden Fall Netdirekt gegenüber seinen Kunden eine Anzeige "überprüft", sondern diesen dieselbe androht, falls man seitens des Providers auf irgendetwas "schliessen" könne.

Genau DAS ist der Haken an der Sache, denn ein derartiger Schluss ist eine völlig subjektive Sache und steht einem Dritten gegenüber einem EIGENVERANTWORTLICHEN Rootserver-Besitzer überhaupt nicht zu. Mal ganz abgesehen davon, dass Netdirekt überhaupt nicht befugt wäre, einen phpBB-Besitzer mit gemietetem Rootserver anzuzeigen, da er im strafrechtlichen Sinne überhaupt nicht antragsberechtigt ist. Er ist weder der Verletzte, noch liegt ein Offizialdelikt vor.!

Und sollte ein System tatsächlich durch einen Eindringling kompromittiert worden sein, so halte ich für durchaus begrüßenswert, dass der Server auf etwaiges Ungeziefer hin geprüft wird. Da eine Einzelprüfung allerdings kaum zu bezahlen wäre, ist das Plätten der Festplatte der einzig gangbare Weg.

Und auch DAS ist bei einem ROOT-Rechner, der einem Dritten gegen Miete zur Verfügung gestellt wird, allein des Mieters Sache und Entscheidung.

Er ist nicht nur vertragsrechtlich der Verantwortliche, sondern auch im Falle einer Strafanzeige eines Betroffenen auch der Antragsgegner und nicht der Provider.

phpBB-Besitzer bei Wurmbefall vom Netz abzuklemmen ist noch vertretbar. Aber diese dann mit derartigen Mails gleichsam fast schon zu kriminalisieren ist m.E. eine Frechheit!

Eine Mail mit entsprechendem Hinweis, dass der Server bspw. zum Schutz Dritter und zu Selbstschutz (bspw. wg. Trafficverursachung) zunächst einmal vom Netz genommen worden ist, wäre in derartigen Fällen die weitaus kundenfreundlichere Lösung. Eine Rückfrage bei anderen Providern hat diese Auffassung bestätigt. Auf die Dümmlichkeit, Mails an Acocunts des abgekoppelten Rechners zu schicken, will ich erst gar nicht eingehen.

Die Beurteilung (bzw. das "Schliessen"), ob eine Straftat vorliegt oder nicht, ist in diesem Lande immer noch den Justizorganen überlassen.

In dieser Mail steht also eigentlich nichts Neues - insbesondere nicht in dem von Dir veröffentlichten Auszug.

Was den Neuigkeitsgrad angeht:

Ich wusste bis dato nicht, dass dieses Unternehmen für eine derartige Kundenfreundlichkeit bekannt ist

Wenn "Hallo" und "mfG" für Dich noch von Interesse sind, weil Du oben auf den "Auszug" eingehst, füge ich diese gerne noch oben an



testit

hm, wenn artfiles eine sicherheitslücke für ihre server durch programme des benutzers sieht. beispielsweise in der index.php eines phpbb-boardes, dann nehmen die sich die datei vor, speichern sie als kopie unter einem anderen namen (index2.php oder so) ab und ändern die weiterhin beutzbare index soweit ab, das die sicherheitslücke beseitigt ist. außerdem bekommt der admin, also der, der den vertrag gemacht hat mit denen, eine mail, in der drin steht, das sie was mit der index gemacht haben, warum sie das gemacht haben, und wo man die alte index findet.
dann hat man zeit sich um das problem zu kümmern.
und DAS nenn ich kundenfreundlich.
vielleicht sollten das einige andere auch machen.. würde abmahnungen sparen..

lol...schwachsinn