| Kabel Helpdesk Forum https://forum.kabel-helpdesk.de/ |
|
| Bearbeitung ABUSE Emails / Portscans? https://forum.kabel-helpdesk.de/viewtopic.php?f=20&t=6762 |
Seite 1 von 2 |
| Autor: | ntymd [ Mo 27. Apr 2015, 18:01 ] |
| Betreff des Beitrags: | Bearbeitung ABUSE Emails / Portscans? |
Ich habe mir vor einer Woche mal die Mühe gemacht, an die abuse @ ish sowie umkbw Adresse eine Mail mit Firewall Logs zu senden. Das übliche Netzrauschen mit etlichen 100 Portscans von unterschiedlichsten Adressen am Tag ist nun nichts besonderes, jedoch taucht in meinen Logs seit Wochen die gleiche IP aus dem Unitymedia Netzbereich auf, die erfolglos pingt und proxy ports scannt. Jeden Tag das gleiche Muster... sogar wenn die eigene IP wechselt. Demnach scheint es, dass diese IP die unterschiedlichen Unitymedia Netzbereiche scannt. Der betroffene Nutzer würde sich bestimmt über den Hinweis seines Providers freuen, dass er sich vielleicht mit Malware infiziert hat, die vermutlich nebst anderen Schweinereien diese Portscans verursacht. Sollte der Benutzer absichtlich Portscans bei anderen Kunden durchführen, wäre es erstrecht im Interesse von UM, den betroffenen Kunden zu kontaktieren. UM scheint es aber trotz meiner sachdienlichen Hinweise nicht für nötig zu erachten, diesen Missstand zu beheben... Hat jemand bereits Erfahrungen mit Reaktionen auf abuse Mails? |
|
| Autor: | Wasserbanane [ Mo 27. Apr 2015, 18:12 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
Die generelle Erfahrung mit Mails an UM zeigt, dass die Bearbeitung von Mails ca. 3-6 Wochen dauert. Das ist keine Übertreibung! Meist bekommt man dann irgendwelche Textbausteine die gar nicht zu der Anfrage passen. Ausserdem: Wieso eine Mail an ish? Das existiert seit etlichen Jahren nicht mehr! |
|
| Autor: | Hemapri [ Di 28. Apr 2015, 00:32 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
Wasserbanane hat geschrieben: Ausserdem: Wieso eine Mail an ish? Das existiert seit etlichen Jahren nicht mehr! Wenn wir schon dabei sind, "UMKBW" gibt es auch nicht mehr. MfG |
|
| Autor: | ntymd [ Di 28. Apr 2015, 10:57 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
Um alle Klarheiten zu beseitigen und wieder zurück zum Thema zu kommen  :ich hatte eine Mail an alle bekannten abuse Adressen gesandt, die auch bei ripe hinterlegt waren. ish, umkbw, unitymedia. 3-6 Wochen ist in der Tat keine schlechte Performance...da bin ich mal gespannt, ob sich der Sache überhaupt angenommen wird. |
|
| Autor: | Wasserbanane [ Di 28. Apr 2015, 11:06 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
Falls ein Account vorhanden ist, würde ich es eher bei Facebook oder Twitter versuchen. Die sind da um einiges fixer. (meist 1-2 Tage) Ausserdem läuft man da auch weniger Gefahr eine automatisch generierte Antwort bzw unpassende Textbausteine zu erhalten. |
|
| Autor: | ntymd [ Di 5. Mai 2015, 17:10 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
Danke für die Tipps. Über FB habe ich mich nun auch mal an Unitymedia gewendet, dort wurde einem nur versichert, dass man sich das anschaut... Antwortzeiten waren dort wie von Dir genannt 1-2 Tage. Besagte IP schlägt weiterhin munter jeden Tag nach demselben Schema ein, wäre mal interessant zu wissen ob das auch eure Logs betrifft. Gekürzte IP: 95.XYZ.XYZ.250 (Bei XYZ handelt es sich um jeweils um identische Zahlen z.B. 123.123.) Logeinträge tagtäglich seit etlichen Wochen in dieser Form: 16:36:56 Access Control|5|src=95.XYZ.XYZ.250 dpt=8123 msg=Match default rule, DROP 16:36:56 Access Control|5|src=95.XYZ.XYZ.250 dpt=8123 msg=Match default rule, DROP 16:36:56 Access Control|5|src=95.XYZ.XYZ.250 dpt=8080 msg=Match default rule, DROP 16:36:56 Access Control|5|src=95.XYZ.XYZ.250 dpt=8080 msg=Match default rule, DROP 16:36:55 Access Control|5|src=95.XYZ.XYZ.250 dpt=3128 msg=Match default rule, DROP 16:36:55 Access Control|5|src=95.XYZ.XYZ.250 dpt=3128 msg=Match default rule, DROP 16:36:54 Access Control|5|src=95.XYZ.XYZ.250 dpt=80 msg=Match default rule, DROP 16:36:54 Access Control|5|src=95.XYZ.XYZ.250 dpt=80 msg=Match default rule, DROP 16:36:51 Access Control|5|src=95.XYZ.XYZ.250 dpt=0 msg=Match default rule, ICMP Type:8, DROP |
|
| Autor: | ntymd [ Mi 13. Mai 2015, 10:33 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
Wie zu erwarten hat sich immer noch nichts getan und es gibt keinerlei Reaktionen seitens UM. Diese IP taucht weiter munter tagtäglich in meinen Logs auf, mittlerweile über 1000 Einschläge in Summe... Unitymedia schert sich einen feuchten Kehricht darum, obwohl ich sogar mehrfach detaillierte Logs übersandt habe. Eine Einladung an alle, die pausenlose Portscans des kompletten Internets betreiben wollen 
|
|
| Autor: | ntymd [ Mi 3. Jun 2015, 11:43 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
Update:  nachdem ich mich nun erneut an UM gewandt habe, mit einer langen Excel Liste von täglichen Portscans dieser einen IP mit dem Hinweis den verursachenden Anschluss zu überprüfen, bekomme ich die Antwort, dass es sich in der Regel entweder an einer Systembeeinträchtigung oder einen Mangel der Signalzuführung handelt und ein Techniker käme dann vorbei Das Partnerunternehmen für den Technikereinsatz hat mich kontaktiert, diesem war aber nach den von mir übermittelten Informationen überhaupt nicht verständlich, warum ein Techniker vorbeischauen soll, weswegen wir keinen Termin vereinbart haben Sowas habe ich wirklich noch nicht erlebt.. |
|
| Autor: | Barbus [ Mi 3. Jun 2015, 12:35 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
ntymd hat geschrieben: Update: nachdem ich mich nun erneut an UM gewandt habe, mit einer langen Excel Liste von täglichen Portscans dieser einen IP mit dem Hinweis den verursachenden Anschluss zu überprüfen, bekomme ich die Antwort, dass es sich in der Regel entweder an einer Systembeeinträchtigung oder einen Mangel der Signalzuführung handelt und ein Techniker käme dann vorbei Das Partnerunternehmen für den Technikereinsatz hat mich kontaktiert, diesem war aber nach den von mir übermittelten Informationen überhaupt nicht verständlich, warum ein Techniker vorbeischauen soll, weswegen wir keinen Termin vereinbart haben Sowas habe ich wirklich noch nicht erlebt.. ohoooohh  Als ich mal gewagt habe, den (erneuten) Technikereinsatz wegen einem defekten Humax Recorder beim der Terminabsprache zu hinterfragen (was dann natürlich auch dazu führte, dass kein Techniker vorbeikam) hatte ich relativ schnell im Anschluss ein Anruf vom n.ten Supportlevel, der mich abgemahnt hat, dass so etwas nicht geht. Er Bestand darauf, der Experte zu sein und hat den Technikereinsatz erneut angeordnet. Also erneute Terminabsprache, Techniker kam, Techniker rief postwenden die "Techniker-Hotline" an, "ja - bin beim Kunde... ja - alles getestet... ja - Gerät hängt gerade noch dran  Leitungswerte sind super; Rekorder muss defekt sein - bitte Austausch klar machen"  Mit dem neuen Gerät lief dann wieder alles einwandfrei. Würd' mich interessieren, ob dass (bei dir) immer noch so läuft
|
|
| Autor: | tonino85 [ Mi 3. Jun 2015, 12:47 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
ich habe schon öfters Techniker-Termine storniert. Kam nix nach. |
|
| Autor: | ntymd [ Mi 3. Jun 2015, 16:37 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
Ich hatte vorhin einen Anruf, nachdem ich UM per Mail ebenfalls mitgeteilt hatte, dass der Technikertermin nicht zustande kam, weil das absolut keinen Sinn macht. Die Dame am Telefon hatte das verstanden und meinte, sie hätte das Thema nun (ENDLICH) mal an IT Security weitergeben, da es ja nicht sein kann, dass ich seit bald zwei Monaten täglich den gleichen Besucher habe- man meldet sich bei mir... da bin ich nun mal gespannt ob sich tatsächlich etwas tut 
|
|
| Autor: | ntymd [ Mo 8. Jun 2015, 10:50 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
um das Thema abzuschließen: ich hatte nun einen Anruf von IT Security. Man wird sich der Sache nicht annehmen, da UM laut eigener Aussage den Kunden nicht in dieser Form "überwachen" dürfte; also mitteilen dass man man Kenntnis von der aktuellen IP samt Netzwerkaktivitäten hat. Kurz und knapp, UM wird also nichts unternehmen, sogar wenn Beschwerden aufkommen. Mageres Ergebnis. |
|
| Autor: | ENTSTRUBBLER [ Mo 8. Jun 2015, 12:46 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
Bundesnetzagentur einschalten / die koennen UM dazu zwingen etwas zu unternehmen Thomas |
|
| Autor: | Dragon [ Mo 8. Jun 2015, 14:22 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
ENTSTRUBBLER hat geschrieben: Bundesnetzagentur einschalten / die koennen UM dazu zwingen etwas zu unternehmen Thomas Ich glaube nicht, dass die Bundesnetzagentur dafür überhaupt zuständig ist. |
|
| Autor: | ENTSTRUBBLER [ Mo 8. Jun 2015, 17:53 ] |
| Betreff des Beitrags: | Re: Bearbeitung ABUSE Emails / Portscans? |
Selbstverständlich sind die als oberste Bundesbehörde die für die Internet Infrastruktur zuständig ist auch für die Sicherheit zuständig - Besonders wenn ein ISP sich weigert gegeg erwiesene Angriffe auf einen seiner Kunden etwas zu machen. Thomas |
|
| Seite 1 von 2 | Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|