Dumpet...

Af 20

Blandt mange andre ting passer jeg et par maskiner der står i Californien og hvad popper der så op i loggen idag:

Apr 1 07:00:36 gateway sshd[31594]: Illegal user purple from 89.221.161.150
Apr 1 07:00:40 gateway sshd[31598]: Illegal user mustang from 89.221.161.150
Apr 1 07:00:46 gateway sshd[31604]: Illegal user ultra from 89.221.161.150
Apr 1 07:00:52 gateway sshd[31610]: Illegal user justin from 89.221.161.150
Apr 1 07:00:58 gateway sshd[31616]: Illegal user chris from 89.221.161.150
Apr 1 07:01:05 gateway sshd[31622]: Illegal user robert from 89.221.161.150
osv
osv

En WHOIS på IP nummeret afslører at det hører til hos:

role: FUZION TECH
address: Fuzion A/S
address: Hostingcenter Aarhus
address: Silkeborgvej 53
address: 8000 Aarhus C
address: Denmark
e-mail: support@fuzion.dk

Det tog kun et øjeblik at finde et telefonnummer på websiden.

Men Fuzion er et af den slags firmaer der lukker til tiden, så med en kort og automatjysk besked bliver røret automatisk lagt på.

Ergo sendte jeg en email til support@fuzion.dk.

Det er nu to timer siden og jeg har intet modtaget tilbage, ikke en automatisk "vi har modtaget din email, du har nummer 1231" og helt særligt ikke en email med "vi kigger på det".

Jeg aner ikke hvor gode Fuzion er som hostingudbydere på alle mulige andre parametre, men på det ene punkt dumper de hos mig:

Hvis jeg skal betale for at have noget hostet, bliver det ikke et sted hvor en advarsel om en hacket maskine kun kan afleveres i åbningstiden.

phk

Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Martin Kofoed

Tjah, det er vel bare endnu en windows-virus, som brute-forcer tilfældige sshd'er.

Jeg kan huske, da Code Red og Nimda var på sit højeste. Det fyldte rigtig godt i httpd-log'en, og i stedet for en 404 fandt man ud af at returnere en statisk html-side for at spare nogle bytes. I starten sad jeg også og skrev til abuse-adresser (måske skulle du skrive til den hos Fuzion?), men det blev hurtigt en kende sygt. Selv om specielt TDC var rigtigt gode til at reagere hurtigt. Der skete vel så det, at kunden re-installerede Windows, gik på nettet med samme upatchede version, og fik ormen igen to minutter efter.

Jeg kender ikke Fuzion, men der er ET eller andet med firmaer, der anvender Z'er i stedet for S'er ...

  • 0
  • 0
#2 Daniel Møller

Fuzion er primært et hostingcenter, hvor man lejer et rackskab og selv er ansvarlig for de servere man stopper i dem - der er derfor en hvis sandsynlighed for at den hackede server tilhører en kunde og altså ikke en server Fuzion nødvendigvis er ansvarlig for.

Jeg er selv tidligere kunde og jeg har ikke oplevet andet end en professionel service da jeg havde servere hos dem og synes måske nok det er lige hårdt nok at hænge dem ud på den her måde fordi de ikke lige svarer på en email :)

  • 0
  • 0
#3 Mads N. Vestergaard

Jeg må indrømme, at jeg mener det er fair nok, at de ikke tjekker en support mail hver anden time.

Jeg vil antage at man som kunde har deres 24x7 nød nummer, og at man sikkert kan træffe dem der, hvis det er noget der skal løses her og nu.

  • 0
  • 0
#6 Morten Klank

Kære Poul,

Mange tak for din sviner... Det er hårde ord. Fuzion driver to store datacentre i Jylland, desuden har vi et landsdækkende DSL og fibernetværk og administrere mange tusinde IP adresser. Derfor er "angreb" fra IP adresser i vores netværk nok uundgåeligt, da hovedparen tilhøre kunder som selv administrere deres eget udtsyr.

Vores 24/7 NOC er ganske tilgængelig og vi har også modtaget din mail kl. 16:55. Dog må det siges et den mail som du sendte ikke giver anledning til action, da den ikke indeholder nogle log informationer af nogen art, blot at den givne IP forsøger at brute-force en maskine du administrere. Det er jo ikke meget at arbejde med.

Det er da beklageligt at vi dumper hos dig, så kan vi blot glæde os over et nogle af landets meget store virksomheder har en anden opfattelse.

Morten Klank Direktør i Fuzion A/S

  • 0
  • 0
#7 Christian Nobel

Som jeg kan se ud fra en reverse DNS er der ikke tilknyttet noget domæne til adressen.

Hvis man tilsvarende laver en whois på f.eks. en adsl forbindelse hos Siminn hvor der heller ikke er noget tilknyttet domæne er det eneste man kan finde ud af at der er tale om en ip adresse i Siminns netværk.

Vil du mene at det så er Siminns skyld at der sidder en kompromitteret maskine på deres netværk?

Eller korriger mig hvis der er noget jeg har misforstået.

/Christian

  • 0
  • 0
#9 Tommy Schouw

Jeg tror det hele bunder i den mangel på reaktion der er fra Fuzions side.

-Der kommer ikke en bekræftende mail om at de har modtaget hans rapport og ser på det. -Der kommer ikke en anmodning om yderligere information. -Der kommer ikke engang en "vi blander os ikke i hvad vores kunder gør med deres maskiner".

Helt konkret lader det til at en af de maskiner som Fuzion hoster, er blevet hacket/inficeret med virus og nu er igang med at hærge videre. Hvis jeg havde en server hostet, med et sådan problem og min host, var bevidst om det, grundet henvendelser udefra, men bare valgte at ignorere det, så ville jeg sku' nok også føle at de som host havde dumpet.

  • 0
  • 0
#10 Jon Bendtsen

Klassisk "vi har ikke gjort noget forkert" svar. En mere ydmyg holdning havde måske givet et bedre billede af virksomheden.

Vores 24/7 NOC er ganske tilgængelig og vi har også modtaget din mail kl. 16:55. Dog må det siges et den mail som du sendte ikke giver anledning til action, da den ikke indeholder nogle log informationer af nogen art, blot at den givne IP forsøger at brute-force en maskine du administrere. Det er jo ikke meget at arbejde med.

Hvad skal i da have at arbejde med? Og er det ikke godt nok at i får "afsender" IP adressen, så kunne i jo have chekket dens trafik og set om der var noget underligt? Desuden, hvis i læste den der klokken 16:55, så har jeres NOC vel skrevet tilbage til PHK og bedt om yderligere oplysninger?

Det er da beklageligt at vi dumper hos dig, så kan vi blot glæde os over et nogle af landets meget store virksomheder har en anden opfattelse.

"bla bla, vi tror ikke at du er en vigtig person Poul". Og lige der tager i så fejl. Jeg tror at PHK er en yderst respekteret dansker når det kommer til hans tekniske evner. Jeg tror der er mange som lytter til PHK.

Jeg synes Fuzion skulle have været gået mere i dialog om hvordan man bedst rapporterer vigtige fejl. Det kunne måske være et betalings telefon nummer som blev besvaret døgnet rundt.

  • 0
  • 0
#11 Jørgen Elgaard Larsen

Jeg kender ikke mange firmaer, der svarer på mail til support indenfor to timer udenfor åbningstid.

Om man får en automatisk "vi har modtaget din mail"-besked er for mig ligegyldigt. Jeg regner som regel alligevel med, at den er nået frem. Det, der betyder noget, er snarere, hvor hurtigt de reagerer derefter.

Det eneste, man kan klandre Fuzion for i denne forbindelse er, at de ikke har oplyst en abuse-kontakt på hverken deres hjemmeside eller i RIPE.

  • 0
  • 0
#12 Gustav Brock

".. Dog må det siges et den mail som du sendte ikke giver anledning til action, da den ikke indeholder nogle log informationer af nogen art, blot at den givne IP forsøger at brute-force en maskine du administrere. Det er jo ikke meget at arbejde med."

Morten, det er her, Fuzion dumper. Denne klare og fornuftige besked kunne blot være sendt som svar med et minimum af anstrengelse.

Arrogance kommer man ikke langt med i lille Danmark. Står på side 1 i PR-håndbogen.

  • 0
  • 0
#13 Andrew Rump

Det er ihvertifald meget normalt at der ikke kommer respons!

Jeg tror at de fleste servere dagligt oplever lignende "angreb" og at det bare vil koste for mange ressourcer at følge hvert eneste forsøg på at bryde ind.

Jeg oplever f.eks. også sjældent respons på SpamCop rapporter (spamcop.net - ikke .com). De fleste spam rapporter (flere tusind om dagen) giver ikke nogen reaktion og de få der reagere er enten fordi jeg kender dem eller de kender os - eller nogen der bliver stik hamrende tossede over at jeg anmelder dem for ikke at reagere på indtil flere forsøg på afmelding over en periode på mindst 14 dage! :-)

  • 0
  • 0
#14 Poul-Henning Kamp Blogger

Hej Morten,

Ja, I dumper og dit svar giver ikke anledning til sygeexamen, tværtimod.

At jeres NOC er tilgængeligt lodret løgn, der findes ingen henvisninger til et telefonnummer eller email addresse noget sted jeg har kunnet finde.

Når jeg derfor er nødt til at sende klagen til "support@" sender jeg naturligvis ikke en logfil med, før jeg har fået respons fra en person i den anden ende. Abuse@ sager blander man, som udefrakommende, ikke første-rangs supportere ind i.

Det kan jeg muligvis ikke forvente at du/I ved, ordet "abuse" fremgår, ifølge både jeres egen og Googles søgemaskiner, intet sted på jeres web-side.

Det tæller naturligvis heller ikke op.

(Ved du forresten hvor jeres abuse@ addresse er angivet ? Nej vel ? Det tog også mig lidt tid at finde den. Tip med hatten til den første læser der finder den.)

At et IP# på den kompromiterede maskine, samt en helt præcis beskrivelse af angrebets karakter "ikke [er] meget at arbejde med" fordrer naturligvis spørgsmålet: Hvad skal I da have før I har nok ? Et polititilhold ?

Og hvis det ikke var nok, hvorfor svarede I ikke på email'en og fik de relevante logfiler udleveret ?

Det lugter langt væk af, at I som netværksejer ikke er jer ansvaret bevidst, for at hjælpe med at dæmme op for IT kriminalitet.

At "nogle af landets meget store virksomheder har en anden opfattelse" skyldes måske at de (heller) ikke ved bedre.

Dumpet.

Poul-Henning

  • 0
  • 0
#19 Poul-Henning Kamp Blogger

Jeg sender klagen derhen hvor nærmeste udbyder skriver de ønsker den.

I dette tilfælde var de eneste to addresser opgivet "support" og "info", så jeg valgte "support".

At sende klagen til abuse@AS# anser jeg for at være eskalationen, hvis en eller anden leaf-ISP ikke fatter budskabet.

Det er jo trods alt ikke alle der har deres eget AS#.

Poul-Henning

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Job fra Jobfinder
Tip redaktionen