Von DoS, Twitter, Amazon und Abuse Handling

By | 6. November 2012

Gestern, am 5. November, war es mal wieder so weit. Die möchtegern Script Kiddies mussten mal wieder beweisen wie toll sie sind und haben versucht die Piraten-Dienste mit div. DoS Attacken lahm zu legen.

Was ich von solchen Leuten halte habe ich ja bereits in meinem älteren Rant ausführlich beschrieben. Diesmal sind des die "professionellen" Dienste-Anbieter die mich auf die Palme bringen.

Doch mal von Anfang an:

Gestern Abend, während der BundesIT Sitzung, begannen Wiki und Pad wiederholt auszufallen. Zunächst war das nicht sooo ungewöhnlich für einen Montag, schließlich sind da ja viele Piraten aktiv am arbeiten.

Doch als die Ausfälle sich häuften beschlossen wir um 23:00 der Sache auf den Grund zu gehen. Mit tcpdump vor der IP-Anonymisierung geschaut was los ist und sehr schnell einen Übeltäter ausgemacht.

Von einem Amazon EC2 Cloud System wurde das Pad mit vielen Requests penetriert. Also einfach aussperren, Abuse Meldung und gut dachten wir uns.

Keine 20 Minuten später viel das Pad wieder aus, und ebenso das Wiki. Diesmal war es nicht einfach nur ein Amazon Cloud System, nein. Twitter schickte ca 100 HTTPS Anfragen in der Sekunde an Wiki und Pad.

Etwas irritiert wurde zunächst die auffällige IP ausgesperrt. Doch nach wenigen Minuten kahmen die Requests von einer anderen Twitter IP.  Kurzerhand wurde von uns das gesamte Twitter Netz ausgesperrt, um unsere Infrastruktur zu schützen.

Auch hier wurde eine Abuse Meldung abgesetzt.

So weit ist das wohl der normale Ablauf. Aber auch nur bis hier. Normalerweise sollte man ein Zeitnahes Feedback von den Verantwortlichen erwarten können. Oder zumindest ein Ende der Attacken. Aber weit gefehlt.

Von Amazon erhielten wir bisher gar kein Feedback. Twitter teilte uns mit das man die gemeldeten "t.co" URL's prüfen wurde. WTF? Wir haben doch gar keine "t.co" gemeldet… Autoresponder, Ticket zu.

Alle kontaktieren E-Mail Adressen wurden aus den WHOIS Informationen der IP-Ranges besorgt.

Na, dachten wir uns, rufen wir da doch mal an. Wohlgemerkt auch hier die Abuse Kontaktdaten aus den WHOIS Informationen. Doch am anderen Ende erwarteten uns nur Band-Ansagen. Das wir unter diesen Hotlines keine Hilfe erwarten könnten, zumindest so im Subtext. Amazon haben wir aufs Band gesprochen, Feedback? Keines.

Jetzt, fast 18 Stunden später: Immernoch laufen die Attacken von beiden IP Ranges, immernoch kein Feedback.

Und diese Firmen wollen professionell sein?

Na Danke.

Ich habe dann mal der ARIN gemeldet, das die WHOIS Informationen nicht valide sind, mal schauen ob ich wenigstens dort ein Feedback erhalte.

 

UPDATE 06.11.2012: 19:30 – Von Amazon kommt nichts mehr, aber auch kein Feedback.

UPDATE 07.11.2012 19:00 – Amazon hat nun auf die Abuse meldungen geantwortet. Man wüsse von nix. Noch mal tcpdump Mitschnitt geschickt. Twitter hat immernoch nichts getan.

UPDATE 15.11.2012 19:00 – WoW! Twitter hat aufgehört. Und wir haben dafür nur eines der höchsten Tiere in dem Saftladen anschreiben müssen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentarlinks könnten nofollow frei sein.