eenzijdig handelen

Door Blokker_1999 op woensdag 1 december 2010 21:07 - Reacties (12)
Categorie: Persoonlijk, Views: 3.462

Ongelooflijk wat 1 geautomatiseerd systeem voor een chaos kan achterlaten.

Gisterenochtend, zo rond half 10, verloor ik ineens de verbinding met men VPS. Gebeurd wel meer. Toen ik na een tweetal uren nog altijd geen verbinding had heb ik toch maar even navraag gedaan over wat er aan de hand zou kunnen zijn.
Hi,

I think your IP blocked due to abuse mail received by datacenter as soon as we receive it we will forward to you for respond so that we can respond to datacenter for unblock.
Nadien heb ik nog meermaals met de VPS hoster gemailed maar verdere info bleek niet te verkrijgen. Het duurde tot half 4 deze namiddag, oftewel 30 uur na de afsluiting, op verdere info.

Intussen had ik al wel een theorie. Ik heb wat zitten experimenteren met screen scraping en dacht dat de blokkade een gevolg was van het overvloedig afschrapen van data. Maar toen ik de mail opendeed werd ik pas echt met verstomming geslagen. De titel van de mail dekt voor een groot deel de lading.
[ Ticket-ID#:14532] [clean-mx-viruses-705171](188.***.152)-->(info@***) viruses sites (1 so far) within your network, please close them! status: As of 2010-11-27 03:14:06 CET
Er was een virus gedetecteerd op 1 van mijn sites. Meer over dat virus in een ogenblik. Maar wat mij uiteindelijk echt kwaad maakt is dat 1 geautomatiseerd systeem en wat onkunde van een abuse afdeling voldoende zijn voor 2 dagen van stress en irritatie (en als psoriasis patient is stress helemaal geen pretje, amai men benen).

Afgelopen zaterdag in het midden van de nacht (moet toch echt een script zijn dat dat raport opstelt) werd er een virus gedetecteerd in 3 bestanden. Er werd een mail gestuurd naar de abuse@ van de eigenaar van de IP range. De normale procedure is dat deze mail tijdens de kantooruren word doorgestuurd naar de klant en dat de klant 24 uur de tijd krijgt om het op te lossen. Maar die mail is nooit bij men VPS hoster aangekomen en dus ook niet bij mij.

Daarmee ging dinsdag ochtend het ip uit de lucht en men server dus offline. De VPS hoster heeft toen meermaals navraag gedaan zonder resultaat om dan uiteindelijk deze namiddag toch de mail te mogen ontvangen. In deze mail staan instructies over de verdere afhandeling:
please investigate and send us a brief feedback within the next 24 hours.
If we do not recieve a feedback within this given time limit that the issue has been solved,
we will block this IP:188.*.152 as a precaution.
Goed op tijd jongens. Na hun link te volgen voor feedback kom ik evenwel een knop tegen waarbij staat dat deze mij gedurende 2 uur toegang zou geven tot mijn server. Deze knop kan wel slechts 1 keer gebruikt worden. Ik er even op geklikt, en nu 4 uur later wacht ik nog altijd op die tijdelijke toegang.
ping statistics
11213 packets transmitted, 0 received, 100% packet loss,
Ik ben men vertrouwen in de provider dan ook totaal kwijt en ga men VPS hoster na afloop vragen of mijn VPS in een ander DC kan ondergebracht worden.

cleanmx

False positive

Wat het virus op zich betreft : false positive. Toen we met MTA lang geleden de 0.5 release maakten, back in 2005, hebben we geprobeerd om cheaters te slim af te zijn door de exe door een versleutelingssysteem te halen. Reeds in 2005 kregen we dan ook op ons forum al enkele klachten van virusdetecties.

Wanneer we vandaag kijken naar deze detecties dan zien we dat de software als virus word aangemerkt omdat de scanners opmerken dat de exe beschermd word door encryptie en ze dus niet kunnen nagaan of het al dan niet veilig is. Het feit dat mta:vc 0.5 ook nog eens online op zoek gaat naar de motd doet ook geen goed aan de detectie.


heh, even de frustratie neerpennen, dat lucht toch een beetje op :)

Volgende: ebay aankoop 02-'11 ebay aankoop
Volgende: Spammen, echt niet moeilijk (2) 11-'10 Spammen, echt niet moeilijk (2)

Reacties


Door Tweakers user naarden 4ever, woensdag 1 december 2010 21:18

Ach, hypocriete servers... altijd problemen. In zo'n geval kun je toch beter bij een goedkoop bedrijf zit dat onderhoud bij de klant neerlegt. Zo'n encryptie zouden, virusscanner noch webhost, als een virus moeten herkennen erg slordig, ook de afwerking van de service.

Door Tweakers user Blokker_1999, woensdag 1 december 2010 21:28

Ik zit bij een goedkope VPS hoster. Probleem is dat een externe parij (clean-mx.de) dus zelf willekeurig het net afspoord naar servers die files hosten die gekend staan als malware. Eenmaal gedetecteerd word dus automatisch een mail gestuurd naar de abuse van de eigenaar van het ip en in dit geval heeft de eigenaar van dat ip dan ook actie ondernomen maar lijkt diezelfde eigenaar, waarvan ik dus geen rechtstreekse klant ben, wel de pedalen kwijt als het aankomt om de boel op te lossen.

Ik ben dus al 2 dagen men VPS kwijt zonder dat ik mijzelf tijdig heb kunnen verdedigen, en ik ben bereid van het probleem op te lossen maar ik krijg gewoon de kans niet omdat de abuse afdeling volledig in de soep lijkt te draaien. Maar het kan goed zijn dat ik morgen de telefoon eens neem en naar duitsland bel.

Ik heb ondertussen ook geprobeerd contact op te nemen met clean-mx, maar zij zeggen dat er teveel treffers zijn om van een false positive te kunnen spreken zonder dat zij rekening houden met mijn goede argumenten.

[Reactie gewijzigd op woensdag 1 december 2010 21:29]


Door Tweakers user CodeCaster, woensdag 1 december 2010 21:48

En wat is het alternatief, dat elke abusemelding handmatig moet worden nagekeken? Dan kan iemand potentiŽel dagenlang aan het spammen zijn of erger.

Natuurlijk moet de hoster wel de doorvoer van die mailtjes versnellen.

Door Tweakers user Blokker_1999, woensdag 1 december 2010 22:00

CodeCaster schreef op woensdag 01 december 2010 @ 21:48:
En wat is het alternatief, dat elke abusemelding handmatig moet worden nagekeken? Dan kan iemand potentiŽel dagenlang aan het spammen zijn of erger.

Natuurlijk moet de hoster wel de doorvoer van die mailtjes versnellen.
Maar dit is geen spam, dit is geen ddos, het gaat hier om een bestand dat op een publieke webserver staat. En omdat 1 bot vind dat het hier om een virus gaat word heel de boel dan maar neergehaald. Dat is een vlieg doden met een kannon.

Daarnaast kon men ook de eigenaar van het domein opsporen, ik dus, en eerst daar een mail naartoe sturen in plaats van direct naar de ISP te gaan. Mijn e-mail staat mooi en correct in de whois van het domein.



Door Tweakers user Smashmint, woensdag 1 december 2010 22:07

Antivir blokt bij mij ook de download pagina van je site

Door Tweakers user mae-t.net, donderdag 2 december 2010 04:42

Men in deze algemeen naar mensen verwijzende betekenis is geen dialect maar algemeen beschaafd Nederlands:
Daarnaast kon men ook de eigenaar van het domein opsporen
Men in de betekenis van mijn is algemeen Vlaams dialect, zoals in:
Gisterenochtend, zo rond half 10, verloor ik ineens de verbinding met men VPS.
Overigens succes met je hoster. "virussen" en internet providers lijkt over het algemeen een vervelende combinatie, zoek maar op de ellende die xs4all bij z'n eigen klanten aanricht met honeypots en bureaucratische procedures.

[Reactie gewijzigd op donderdag 2 december 2010 04:47]


Door Tweakers user MAX3400, donderdag 2 december 2010 11:48

Ik denk, gezien je (gedeeltelijke) IP dat ik wel weet bij welke partij je zit. En eerlijk gezegd; ze staan bekend om hun eenzijdige beleid om machines (VPS / dedicated) gewoon af te sluiten zodra er ook maar 1 melding binnenkomt.

Wiens probleem is dat dan om het op te lossen? Het jouwe en helaas is het zo dat je ze had moeten bellen zodra jij zeker wist dat de detectie niet meer zou plaatsvinden op de site die je hebt gehost. Mail gaat bij hun vaak een zwart gat in; bellen is over het algemeen veeeeel sneller en efficienter!
Er werd een mail gestuurd naar de abuse@ van de eigenaar van de IP range. De normale procedure is dat deze mail tijdens de kantooruren word doorgestuurd naar de klant en dat de klant 24 uur de tijd krijgt om het op te lossen. Maar die mail is nooit bij men VPS hoster aangekomen en dus ook niet bij mij... Daarmee ging dinsdag ochtend het ip uit de lucht en men server dus offline.
Vreemd verhaal want dus ergens is jouw hostingpartij dus wel op de hoogte gesteld en hebben ze je afgesloten. Of, maar dat is gokken, neem je je VPS niet af bij de hoster maar via een reseller/tussenpersoon?

[Reactie gewijzigd op donderdag 2 december 2010 11:52]


Door Tweakers user plankton123, donderdag 2 december 2010 11:59

Hi,

I think your IP blocked due to abuse mail received by datacenter as soon as we receive it we will forward to you for respond so that we can respond to datacenter for unblock.
Die zin moest ik toch echt 4-5x lezen voordat ik hem helemaal snapte :P Wat een engels...

Door Tweakers user Blokker_1999, donderdag 2 december 2010 17:45

MAX3400, ik zit idd met een tussenpersoon. En die tussenpersoon is ook niet echt behelpzaam. Heb vandaag dan zelf maar de telefoon genomen (ben de enige op het werk die internationaal kan bellen :p) en heb naar Duitsland gebeld. 5 minuten later was men IP vrijgegeven, eerst een 24 uren unblock, heb dan de bestanden verplaatst en het ticket gesloten waardoor de unblock permanent zou moeten zijn.

Hoewel de prijs van de tussenhandelaar bijna onklopbaar blijkt ga ik toch uitkijken naar een andere VPS hoster, heb er geen vertrouwen meer in.

Door Tweakers user MAX3400, donderdag 2 december 2010 20:44

Stuur me anders even een PM met de technische vereisten die je nodig hebt voor je server etc. en ook op wiens datacenter/netwerk je zit. Denk dat ik nog wel wat alternatieven weet voor goedkope VPS; helaas is de vereiste vaak wel creditcard of PayPal.

Reageren is niet meer mogelijk