Spam, Hacking, DDoS von Ecatel – in unserem Netz jetzt gesperrt!

Ecatel Niederlande fiel in den letzten Tagen auf, mit diversen Attacken von verschiedenen IPs gegen viele unserer eigenen und unserer Kunden-Server auf! Die Gegenkontrolle bei Blocklist.de zeigte erschreckende Informationen und auch bei uceprotect.net waren die IP-Segmente jeweils kurz vor der Blacklistung, sogar der Blacklistung des ASN (alle IPs von Ecatel). Nur als Beispiel bei Blocklist.de: 40 IPs sind dort in den letzten 40 Tagen gelistet worden. Von einer der IP 94.102.56.236 sind insgesamt in nur diesem Monat 11 gezählte Attacken erfolgt! Insgesamt aber gingen von dieser IP 25084 Attacken aus und Blocklist.de hat 255 Reports erstellt! Ecatel hat 14484 IPs! Da die Hackings auf die automatischen Abuse-Mails, nicht abgestellt wurden, haben wir am 23. einen Complaint geschrieben, der dann beim ersten mal, freundlich beantwortet wurde, man hätte das Hacking abgestellt! Dann aber, kamen erneut wieder Hackings, aber jetzt von einem anderen IP-Segment von Ecatel und wie wir später feststellen konnten, wurden die Hackings in gleicher Art und Weise durchgeführt! Unserer Meinung nach steckt da eine Organisation dahinter!

Um den Administratoren auf der anderen Seite ein wenig zu helfen, haben wir uns genau angeschaut, was da abläuft und erschreckendes festgestellt! Mit den Angriffen versucht man entweder die Mail-Server zum erliegen zu bringen und/oder Mail-Adressen zu scannen, indem versucht wird, auf alle Domains des jeweilgen Servers, verschiedene Mail-Adressen auszutesten, wie z.B. info@domain oder webmaster@domain usw. Dies sind ja Mail-Adressen, die viele Webseiten-Anbieter verwenden und ist erst mal die Mail-Adresse bekannt, kann man daß leicht für späteren Spam mißbrauchen! Aber ok, wir haben dann einen 2. Complaint an Ecatel gesendet, mit unseren Informationen, welche Mail-Adressen versucht werden, zu testen! Wir bekamen dann eine recht freche Antwort zurück, die folgenden Text enthielt:

talk normal man, do you have a communication issue or something?
threatening us with this nonsense, what a joke.

just report and we take action.
thank you

Ok, also wenn die Abuse-Abteilung nicht interessiert ist, solche Probleme abzustellen, dann müssen wir diese Probleme bei uns abstellen! Also erst mal haben wir nur 2 IP-Segmente geblockt und wollten dies gerade auch twittern, als wir dann unter ecatel diverse andere Spam / Hacking-Probleme von anderen lesen konnten. Jetzt wollten wir uns doch mal die Webseite von ecatel anschauen und die wurde schon von WOT geblockt! Als Komentare, wurde genau das berichte, was wir fest gestellt haben. Dann haben wir in Google mach nach „ecatel hacking“ gesucht und es gibt so viele Meldungen von diversen anderen Server-Betreibern etc. und auch die Hinweise, daß Ecatel sich nicht, wie es eigentlich üblich ist, um Abuse-Mails kümmern! Um daß mal ganz klar zu stellen: in ganz Europa ist Hacking, Spamming genauso verboten, wie in Deutschland, Österreich, Spanien, Frankreich und sicherlich auch in den Niederlanden! Hat Ecatel einen „Freifahrtsschein“?

Wie man sich als Provider / Administrator gegen Attacken von Ecatel schützen kann:

Es gibt eine Liste in GitHub, eigentlich einem Bereich für freie Software, der auch für Bug-Beseitigung von Software verwendet wird! Ein ganz kleverer, und wohl auch sehr genervter Admin, hat hier alle IPs transparent aufgelistet und jeder kann diese Liste auch fortschreiben, sollten einer feststellen, daß Ecatel noch weitere IP-Segmente bezieht. Hier die IP-Segmente (RIRs) von Ecatel in einer Liste, die man leicht in die eigenen Firewall kopieren kann: https://gist.github.com/wulffeld/8405248

<br class=“clear“ /><br class=“clear“ />

Das könnte Sie auch interessieren: <br class=“clear“ />

VORSICHT: CryptoPHP – Backdoor (Schadsoftware) im Umlauf!

Weitere neue Domain in Promotion – .REVIEWS

.NU-Domains gerade im Preis gesenkt, nun noch günstiger – Domain-Promotion

neue Server-Modelle XFCE / VNC – Root-Server für jedermann (-oder Frau)

WARNUNG: Joomla dringend absichern – Login-Attacking im Umlauf

5 Gedanken zu „Spam, Hacking, DDoS von Ecatel – in unserem Netz jetzt gesperrt!“

  1. Hallo Herr Bracker, danke für den Pudeltest. Hat funktioniert und es ist soweit Alles im Grünen Bereich. Das mit dem Hacking ist schon eine Frechheit! Dass Ecatel da so seltsam reagiert gibt schon zu denken. Dasselbe gilt für Joomla, es ist doch schon sehr befremdend, dass eine an sich freie und gute Software jetzt auf einmal den Angriffen ausgesetzt ist, was vorher nur bei Microsoft Programmen der Fall war. Den Gates mag wer will. Er ist sicher der meistverfluchte Mann auf der Welt, da kann er spenden soviel er will. Und da war es auch nicht verwunderlich, dass Viele für halbfertige Betriebssysteme eine Rache suchten. Aber dass jetzt die opensource Programme angegriffen werden, verwundert mich schon. Sei es wie es ist, wir haben ja Sie als sehr aufmerksamen Provider. Danke für Ihre Hilfe und Ihr ausgezeichnetes Service! Vielen Dank und Gottes Segen für Sie! gerald Holzschuh INternetseelsorger vom „undGott“ – Projekt.

    1. Hallo Herr Holzschuh, jetzt kommt heraus, daß Sony Pictures scheinbar die Welt angegriffen hat mit DDoS-Attacken. Genau zum Zeitpunkt, wo die wohl das Statement veröffentlicht haben, daß die sich mit DDoS-Attacken gegen die Hacker wehren, ist es zu einer weltweiten Schwämme von DDoS-Attacken gekommen! Viele der DDoS kamen aus dem asiatischen Raum, unter anderem über Chinanet!

      Chip hat geschrieben, daß die Angriffe wohl auch schon erfolgt sind! Nur wir sind aber ziemlich sicher, daß keiner von unseren Kunden illgeales Material hostet! Und auch 1 & 1 mit extrem vielen Servern, ist um den 10. Dezember 2014 ebenfalls komplett in die Knie gegangen, wegen DDoS-Attacken und auch hier kann man davon ausgehen, daß nicht alle Server illegales Material gehostet haben!

      Sollte daß ein Zufall sein?!

      Wenn die von Sony, eine so unsichere Infrastruktur haben, daß Diebe denen 100 Terrabyte Daten klauen können, ohne daß dies schon vorher bemerkt wird und dann sogar aus zig verschiedenen Bereichen, z.B. dem Bereich für Zertifikate, dann können wir nur annehmen, daß die IT von denen so unqualifiziert ist, daß vielleicht auch die DDoS-Attacken ein wenig zu weit gestreut wurden!

  2. Nach einer Sperrung aller RIRs von Ecatel über einen Monat, haben wir Anfang des Jahres die IPs von Ecatel wieder „unblocked“. Es hat nur ein paar Tage gedauert, da erfolgten erneut harte Attacken gegen unsere Shared-Server, so daß Ecatel RIR 89.248.169.0/24 ==> 89.248.169.0 bis 89.248.169.255 nun etliche Monate gesperrt wird! Erfolgen weitere Angriffe, werden wir erneut auch die ASN sperren!

    Wie auch im Internet zu finden ist, ist ECATEL eine holländische Firma, die sich nicht um Abuse – Mails kümmert und auf eine Beschwerde Ende November 2014, haben wir eine unüblich freche Antwort erhalten! In Holland sind dagegen Attacken streng verboten und eigentlich rühmt sich Holland mit einer vorbildlichen Vorgehensweise gegen Attacker, was wir jedoch nicht bestätigen können!

    Wir empfehlen daher auch allen anderen Providern, mal in UCE-Protect Ecatel über eine beliebige IP zu prüfen und man sieht, daß die ASN schon gefährlich hoch gelistet ist, also viele IPs negativ aufgefallen sind und UCEPROTECT auch kurz davor ist, die ASN von ECATEL komplett black zu listen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.