Abuse mail schicken? Ja oder nein

Alles was in keine andere Systemkategorie passt
ddm3ve
Moderator
Moderator
Posts: 1182
Joined: 2011-07-04 10:56

Abuse mail schicken? Ja oder nein

Post by ddm3ve »

Zum hintergrund:

Code: Select all

Count SSH Attacks
              ip   ssh  mail   web
       61.34.x.x    81     0     0
      68.169.x.x  3783     0     0
      123.30.x.x  6050     0     0
     211.161.x.x     1     0     0
     204.232.x.x   525     0     0
Count Mail Bruteforce Attacks
              ip   ssh  mail   web
     111.254.x.x     0    31     0 
     89.42.240.x     0     2     0 
      93.114.x.x     0     2     0 
      93.114.x.x     0     2     0 

Seit Tagen plagen gewisse Bruteforce Attacken.

Mail und ssh sind am schlimmsten betroffen, Webanwendungen und FTP fallen nicht in diese Statstik, werden jedoch auch massiv belästigt.

Die Frage ist nun, sendet Ihr in diesen Fällen eine abuse Meldung ja oder nein?
Obwohl ich automatisiert Logauszüge etc. per abuse Meldung an die jeweiligen Zuständigen versende, seit Monaten tauchen immer die gleichen IPs mit penetranten Bruteforce Attacken auf.
Die Liste heute ist noch relativ harmlos.
Die übelsten Netze habe ich mitlerweile auch schon geblockt.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11137
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Abuse mail schicken? Ja oder nein

Post by Joe User »

Ich persönlich schicke höchstens bei echtem dauerhaften Spam eine Abuse.

Bei Brute-Forces und Webapp-Scans reagiere ich gar nicht mehr, sind zu viele und die ISPs reagieren dabei zu langsam, wenn überhaupt. Läuft bei mir unter Grundrauschen und ist im Traffik, den Systemressourcen und den Konfigurationen vorab berücksichtigt, so dass es mich nicht mehr stört.

Man kann selbstverständlich versuchen, auch die Bruteforces und Webapp-Scans per Abuse (in Englisch!) zu melden, erfahrungsgemäss bringt es aber nur selten etwas, da oft Dialups missbraucht werden und sich die ISPs keine Mühe machen, ihre Kunden zu belästigen.
Wenn es offensichtlich ein regulärer Server ist, dann lohnt sich ein Abuse an den Betreiber und seinen ISP schon eher. Reagiert keiner von Beiden innerhalb von zwei Wochen, dann einen ausführlichen Abuse mit Timeline und Kopien der vorigen Abuses an den Upstream des ISP schicken.
Letzteres sollte man aber wirklich nur im Notfall machen, denn die Upstreams sind eigentlich nicht zuständig.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
daemotron
Administrator
Administrator
Posts: 2636
Joined: 2004-01-21 17:44

Re: Abuse mail schicken? Ja oder nein

Post by daemotron »

Bei Angriffen aus den Netzen von Hetzner, Strato & Co. schreibe ich eine Abuse-Meldung; meistens ist der betroffene Host dann auch recht schnell vom Netz.

Ansonsten kann man sich das aber sparen; ich bin ebenfalls dazu übergegangen, zu penetrante Nervensägen per pf auszusperren. Teilweise nutze ich dazu Regeln, die Hammering bestrafen / ausbremsen (wer mehr als 30 SSH-Verbindungen pro Minute aufbaut, bekommt z. B. eine einstündige Zwangspause verordnet). Dabei nutze ich aber keine Tools à là DenyHosts, sondern bleibe bei dem, was sich mit nativen pf-Regeln ohnge großen Aufwand umsetzen lässt.

Für Mails sperre ich händisch Subnetze von allzu penetranten Spammern (meistens irgendwelche Provider in Russland und neuerdings auch in der Karibik). Das aber eher als Untersetzung, einfach nur um die eigentlichen Maildienste zu entlasten und die Logs etwas überschaubarer zu halten.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

ddm3ve
Moderator
Moderator
Posts: 1182
Joined: 2011-07-04 10:56

Re: Abuse mail schicken? Ja oder nein

Post by ddm3ve »

Ich habe eine vorlgelagerte Firewall, und Droppe die Packete aus den mir wirklich lästigen chinesischen Netzen.

Früher bei Strato waren Attacken innerhalb des Netzes normal. Aber von den üblichen Provider komt seit dem Umzug ins RZ kaum mehr etwas.

Russen und Asiaten sind derzeit das "lästigere" übel.

Bei mir schlagen sämtliche Auswertungen auf, aso auch die "Brutforce" Attacken, die mich bis auf den Mailserver, relativ kalt lassen.

Wie schon gesgt, die Reaktionen durch die jeweiligen Netzeigner abuse Abteilungen sind teilweise nicht existent, Mailboxen überfüllt etc.

Danke für eure Einschätzung und Meinung.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

User avatar
rudelgurke
Posts: 404
Joined: 2008-03-12 05:36

Re: Abuse mail schicken? Ja oder nein

Post by rudelgurke »

Wie schon gesagt - hängt davon ab. Nach 2-3 Tagen Dauerscan auf irgendwelche URL's melde ich doch etwas an die Abuse Abteilung - wenn es aus dem asiatischen Raum kommt wird ohne Abuse dicht gemacht und auch einigen US Hostern scheint es egal zu sein was die Kunden so treiben.
Selbiges mit SMTP Bruteforce.
Von China ist der Mailverkehr komplett gesperrt, Russland ebenfalls bis auf einige Anbieter (Yahoo, Hotmail, Yandex, Mail.ru) die explizit in der Whitelist stehen.
Mit Spam sehe ich - neben den üblichen Spam aus Asien - eher ein Problem mit Gmail / Yahoo / Hotmail Konten die missbraucht werden. Wird dass zu lästig melde ich es.
Bei dynamischen IP's lasse ich es meist, für 1-2 Tage per PF sperren, dann ist meist Ruhe.