PDA

Bekijk Volledige Versie : Wat te doen als iemand je diensten schade berokkent?



smurf
05/06/05, 21:19
Beste Mede WHT'ers,

Vandaag werd een shared hosting klant van ons getroffen door een nogal basic DOS aanval. (Via een cron op een andere server werd er een vrij php intensief script enkele honderden malen per seconde ingesteld.).

Er ook is nogal wat verkeer gegenereerd en ondertussen werden onze andere klanten ook het slachtoffer van een trage server. Onmiddelijk nadat het probleem gelokaliseerd werd is het desbetreffende IP geblokkeerd en werkte alles weer naar behoren. Ook additionele maatregelen werden genomen, mod_security nog strenger ingesteld en dergelijke.

Na gespeur en gepluis hebben we de identiteit van de 'aanvaller' kunnen achterhalen.

De servereigenaar en het bedrijf dat de server host ontvingen ook een abuse mail met de uitleg en namen de gepaste maatregelen (niets meer dan lof voor hun snelle en adequate medewerking).

Nu het niet echt fijn was zoveel verkeer te moeten slikken, de andere shared klanten gerust te stellen en uitleg te verschaffen zie ik het niet echt zitten dat de persoon die dit veroorzaakt heeft zonder problemen wegkomt. Bovendien zijn zondagse uren vrij kostbaar... Ik had vandaag wel iets beters te doen dan deze zaak te clearen.

Het verkeer zelf was niet echt gigantisch (2 Mbit) maar de server zal wel te zweten door de CPU load...

Wat zouden jullie doen?

Ik ga morgen allesinds een klacht neerleggen tegen de persoon in kwestie bij de politie en even raad gaan vragen bij http://www.mazars.be onze zakelijke en gerechtelijke raadgever.

Of ben ik een zuurpruim en moet ik de zaak gewoon laten :-)?

Wat zijn jullie ervaringen in dergelijke gevallen?

wdv
05/06/05, 21:30
Aanpakken! Zeker weten aangifte doen. Hier in Nederland schijnen ze tegenwoordig wel het e.e.a. te doen met (D)DoS aanvallen, hoe dat in België is weet ik niet.

froggie
05/06/05, 21:30
Mijn eerste reactie is "sue the bastard!". Maar ik zou de kosten en baten goed afwegen. Het kan zijn dat je door achter de dader aan te gaan in een hoop shit verzeilt raakt.

Maare... heb je een naam enz van de dader? Want in dat geval sta je best sterk wanneer je aangifte doet bij de politie. En zoals je al aangeeft heb je beschikking over een vorm van rechtsbijstand. Dus met jou logs + een verklaring van die andere host in de hand mag het geen probleem zijn om de dader aansprakelijk te stellen voor de geleden schade.

Stetson
05/06/05, 22:05
Ik denk dat je een beetje voorzichtig moet zijn. De 'dader' kun jij dan misschien wel aanpakken maar deze zal misschien ook wel 'vriendjes' hebben die dan jouw server(s) gaan proberen aan te pakken. Voor dat je het weet zit je dan met meer ellende dan je lief is. Nog meer boze klanten, nog meer (beveiligings)werk en voor je het weet ben je 24 uur per dag bezig die types te achtervolgen.
Gooi gewoon die shared hostingklant die in feite de oorzaak van het alles is (hij werd niet voor niks geddosd) er uit en ga lekker door met de juiste zaken ;)

ICTRecht
05/06/05, 22:14
Vooral werk van maken. Circa 80% doet niets met zo'n aanval, daarom is er bijna geen rechtspraak.

Gewoon aangifte doen.
Daarbij moet je zorgen voor voldoende bewijs.

In Nederland zou men strafbaar zijn volgens artikel 161 sexies van het Wetboek van Strafrecht. Misschien leuk om eens na te lezen. Men wordt gestraft met een gevangenisstraf van ten hoogste zes maanden of een geldboete van de vijfde categorie (€ 500.000,-).

Voor specifieke vragen over cybercrime kan je altijd mailen.

MaffeMuis
05/06/05, 23:26
Origineel geplaatst door Stetson
Gooi gewoon die shared hostingklant die in feite de oorzaak van het alles is (hij werd niet voor niks geddosd) er uit en ga lekker door met de juiste zaken ;)

Waarom zou je die klant er uit gooien?? Na een kleine aanval?

Enne, als je aangifte doet, vraag AUB iemand met een beetje verstand van zaken. Want iets wat ze niet kennen, schrijven ze dus niet op. Meeste kennen daar het woord DOSS-AANVAL wel, maar weten niet wat het is, en hoe je er schade door kan krijgen. En voor je het weet ben je er een curcus dossen geven. ;)

Stetson
05/06/05, 23:36
Origineel geplaatst door MaffeMuis


Waarom zou je die klant er uit gooien?? Na een kleine aanval? Omdat ik de instelling heb dat alles wat mijn servertje en de daarop gehoste sites enige schade zou kunnen hebben door toedoen van een site/hostingklant die waarschijnlijk een aanval zou hebben kunnen doen uitlokken (je weet hoe dat vaak gaat met die gastjes) gewoon er af 'pleur' :)
Van een kleine aanval komt een grotere en wees eerlijk, het was niet aan jouw bedrijf gericht maar aan je klantje. Dan zeg ik: baai baai, zwaai zwaai :D

ronaldlokers
06/06/05, 00:10
Origineel geplaatst door Stetson
Omdat ik de instelling heb dat alles wat mijn servertje en de daarop gehoste sites enige schade zou kunnen hebben door toedoen van een site/hostingklant die waarschijnlijk een aanval zou hebben kunnen doen uitlokken (je weet hoe dat vaak gaat met die gastjes) gewoon er af 'pleur' :)
Van een kleine aanval komt een grotere en wees eerlijk, het was niet aan jouw bedrijf gericht maar aan je klantje. Dan zeg ik: baai baai, zwaai zwaai :D


ooit gehoord van mensen die voor de lol sites gaan ddossen :huh:

hoeft niet altijd persé op die klant gericht te zijn in de persoonlijke sfeer, het kan ook een scriptkiddie geweest zijn die dit bij meerdere sites doet zodat hij 1337 kan gaan doen bij zijn vrienden...

@TS

Ik zou aangifte doen als je genoeg gegevens hebt (logs, naam van dader en dat soort dingen). Niet geschoten is altijd mis ;)

Cybafish
06/06/05, 00:14
Even een note aan de mensen die roepen "Sue them": een kort geding kost al snel Eur. 3000,- en dan moet je nog geluk hebben om schadevergoeding te ontvangen ;)

Stetson
06/06/05, 00:20
Origineel geplaatst door ronaldlokers



ooit gehoord van mensen die voor de lol sites gaan ddossen :huh:

.... Die zijn er jah maar uit ruime ervaring denk ik te weten dat over het algemeen het e.e.a. uitgelokt is.

V. Kleijnendorst
06/06/05, 00:53
Heeft dit er iets mee te maken?
http://www.phpfreakz.nl/forum.php?forum=5&iid=632856

Speeddd
06/06/05, 01:00
sorry maar die link doe het niet.
tenminste bij mij dan.

Proxio
06/06/05, 01:08
Hier ook niet, maar wel érg benieuwd nu ;).

V. Kleijnendorst
06/06/05, 01:11
Dat is vreemd. De gehele thread bestaat niet meer.
De thread ging over deze dos, kinders beschuldigden elkaar en postten log-files op PHPfreakz.

Als de topicstarter geïnteresseerd is, kan deze wellicht contact opnemen met een beheerder van PHPfreakz.

Trolink
06/06/05, 01:32
@V. Kleijnendors

Volgens mij ging het wel over de topic op phpfreakz, dacht er direct aan toen ik dit las.

Ook 2mbit enz. :-D

smurf
06/06/05, 01:32
Nja we betalen voor onze rechtsbijstand dus in principe zal dat niet zoveel kosten uiteindelijk.

Heb namen, logs en bewijsmateriaal via verschillende kanalen.

Link doet het bij mij ook niet, heb je soms meer details?

Unixadmin
06/06/05, 12:36
Origineel geplaatst door smurf
Nja we betalen voor onze rechtsbijstand dus in principe zal dat niet zoveel kosten uiteindelijk.

Heb namen, logs en bewijsmateriaal via verschillende kanalen.


Laat het niet zitten maar onderneem actie zal ik zeggen.
Succes.

smurf
06/06/05, 12:49
Lokale computer crime unit blijkt op 30 meter van onze maatschappelijke zetel gelegen te zijn :) Ideaal. Zal vandaag eens binnenspringen.

Cybafish
06/06/05, 18:11
Origineel geplaatst door smurf
Nja we betalen voor onze rechtsbijstand dus in principe zal dat niet zoveel kosten uiteindelijk.

Heb namen, logs en bewijsmateriaal via verschillende kanalen.

Link doet het bij mij ook niet, heb je soms meer details?

Ja, en de rechtsbijstand zal met kruiwagens geld aankomen als je hen vertelt dat je zélf iemand anders wilt gaan leegzuigen.

Ik denk het niet.

smurf
06/06/05, 18:14
Het gaat niet om geld leegzuigen hé. Het gaat om de vergoeding van de aantoonbare geleden kosten... Wat me niet meer dan logisch lijkt.

izdesign
07/06/05, 09:11
Maar nu ik dit lees krijg ik ook een vraag, wij hosten Medal of honor : AA
maar regelmatig zijn er mensen in de server die onze server crashen, zou je daar ook iets mee kunnen doen want ik weet allemaal niet precies hoe dit werkt.

_arno_
07/06/05, 09:47
Waarschijnlijk niet echt veel izdesign, vaak zitten de vervelende gasten achter proxys.
Tenminste zo gebeurt dit op mijn gameserver, mijn conclusie is proxy ranges gaan bannen.

izdesign
07/06/05, 16:55
Ja dat klopt maar hoe krijg ik dit voor elkaar?

eMiz0r
07/06/05, 17:33
Niemand verder bang voor wraakacties? Als je een persoon van een bekende hackersgroep aanpakt, zullen ze dat gaan wreken (en dan op die manier, dat ze niet te pakken zijn). Jij gaat failliet (downtimes, hoge rekeningen) en je kan er letterlijk niets aan doen, want je hebt geen bewijs.

Stetson
07/06/05, 17:41
Origineel geplaatst door eMiz0r
Niemand verder bang voor wraakacties? Als je een persoon van een bekende hackersgroep aanpakt, zullen ze dat gaan wreken (en dan op die manier, dat ze niet te pakken zijn). Jij gaat failliet (downtimes, hoge rekeningen) en je kan er letterlijk niets aan doen, want je hebt geen bewijs. Dat bedoel ik met http://www.webhostingtalk.nl/showthread.php?s=&postid=516459#post516459

Remigius
07/06/05, 17:57
Origineel geplaatst door eMiz0r
Niemand verder bang voor wraakacties? Als je een persoon van een bekende hackersgroep aanpakt, zullen ze dat gaan wreken (en dan op die manier, dat ze niet te pakken zijn). Jij gaat failliet (downtimes, hoge rekeningen) en je kan er letterlijk niets aan doen, want je hebt geen bewijs. Ja, maar met zo'n mentaliteit kom je ook niet ver. Als voldoende bewijs hebt en je krijgt er één achter slot en grendel / schadevergoeding / plantsoen schoffelen heb je ook een grote kans dat zijn/haar vriendjes liever achter iemand anders aangaan.

eMiz0r
07/06/05, 18:20
Origineel geplaatst door Remigius
Ja, maar met zo'n mentaliteit kom je ook niet ver. Als voldoende bewijs hebt en je krijgt er één achter slot en grendel / schadevergoeding / plantsoen schoffelen heb je ook een grote kans dat zijn/haar vriendjes liever achter iemand anders aangaan.

Geloof me dat veel gasten slim genoeg zijn om zich niet te laten pakken :D Met veel proxy's ben je vrijwel ontraceerbaar.

Met die mentaliteit kom je zeker niet ver, maar wie durft zijn bedrijfsvoering op het spel te zetten.

smurf
07/06/05, 18:40
Ik denk niet dat de persoon connecties heeft of vrij veel ervaring met die dingen. Blijkbaar gaat het om een daad van jaloezie op een andere site (criminals, weet u wel)die zich blijkbaar bezigheild met hetzelfde. Zijn bedoeling was gewoon die site plat te krijgen en de site eigenaar straffen met een hoge verkeersrekening. Ik denk niet dat de echte hackescommunity

Misschien criminals volledig verbieden. Niet meer dan last mee gehad.

scorp
07/06/05, 19:48
Origineel geplaatst door eMiz0r


Geloof me dat veel gasten slim genoeg zijn om zich niet te laten pakken :D Met veel proxy's ben je vrijwel ontraceerbaar.

Met die mentaliteit kom je zeker niet ver, maar wie durft zijn bedrijfsvoering op het spel te zetten.

Een proxy heeft mischien geen logs meer maar de router voor die proxy weet wel waar het verkeer vandaan kwam, hoe hard de box waar de proxy opstaat ook ger00t is je zult altijd de router logs moeten wegkrijgen om in het niets te verdwijnen. En wat phpBB betreft probeer mod_security te installen en eventueel snort zodat je SQL injections of XSS kan detecteren en afblocken.

smurf
09/06/05, 13:43
Was wel fijn bezoekje aan de plaatselijke afdeling van de federale computer crime unit.

Die mensen daar houden zich wel meer bezig met kinderporno en fraude. (In het bureay van de inspecteur lagen er zeker 20 Pc's open en lag het vol met harde schijven met van dat materiaal).

De inspecteur was erg behulpzaam. Ik had soms wel het gevoel dat hij niet helemaal onderlegd was in de materie.

Het bewijsmateriaal en de verklaring zijn doorgegeven aan het parket en deze zet normaal een vervolgingsprocedure in.

Grappige noot: bij het uitprinten van het PV crashed windows en de hele meuk... Bestand was niet meer terug te vinden, ik hem mijn verklaring opnieuw moeten afleggen :).

Remigius
11/06/05, 06:32
:)

Ik ben benieuwd hoe het afloopt, hou ons op de hoogte. Ik moet zeggen dat ik het iig netjes vind dat je er werk van maakt. Succes!

Santario
11/06/05, 13:11
Ben ook benieuwd. Valt me nog mee dat ze in iedergeval je verklaring hebben opgenomen, normaal happen ze niet zo snel voor die dingen :)

smurf
11/06/05, 14:03
Vraag me wel af hoe snel het zal gaan, het dossier wordt normaal overgemaakt naar de onderzoekscel in Antwerpen. Zou normaal niet lang moeten duren aangezien elk bewijs is overgemaakt.

scorp
11/06/05, 18:46
Ik wel dat je er deze week antwoord op zult hebben, hoe het op de lokale cellen zit weet ik niet maar bij de FCCU gaat het aardig vooruit hoor. Dan is het nog de vraag hoe het zaakje zal aflopen en of de dader(s) effectief een straf zullen krijgen.

Tuinslak
14/06/05, 23:18
Reply op enkele topics terug...

Als je schrik krijgt dat "de vriendjes" je gaan ddossen moet je denk ik niet aan hosting beginnen, en zelfs geen server online smijten...

Als er iemand mijn gsm op straat steelt, b.v., ga ik niets doen omdat deze persoon in kwestie mogelijk vrienden heeft? Riiight...

En de kans dat een hackersgroep jouw server ddossed (zonder reden?) is denk ik... miniem. Zijn vaker op zoek naar NT pc's (easy to hack) voor ftp's of XDCC bots. Het ddossen zelf heeft niet zo direct nut... Buiten een "gang"war? Andere hackersgroep ddossen... Nuja, alles kan tegenwoordig eh :rolleyes:

smurf
15/06/05, 15:22
Zonet mailtje gehad van de persoon die de aanval had uitgevoerd. Hij beweert opgelicht geweest te zijn door de aangevallen site (voor €25) en eist dat we de site van onze servers halen.

De opgegeven BVBA blijkt niet te bestaan...
Hij weet blijkbaar niet dat er reeds een klacht van ons tegen hel loopt bij de Federale Computer Crime Unit.

Vreemd...

Ons Antwoord:

Beste,

De argumenten die u geeft zijn voor ons niet voldoende om maatregelen te nemen. Wij zijn geenszinds verantwoordelijk of aanspreekbaar voor wat onze klanten via hun site bieden; en verder is realcrime niet in strijd met onze acceptable user policy. U kunt steeds een klacht neerleggen bij de Computer Crime Unit van Gent (RCCU, Pacificatielaan, 35, 9000-Gent), zodat wij in een officieel kader de klantgegevens kunnen vrijgeven en er een onderzoek kan volgen.

U moet ook weten dat wij een klacht hebben ingediend bij het RCCU precies om de eigenaar van deze site (en bij uitbreiding onze servers en netwerk) te beschermen tegen een DOS aanval.

Ondanks het feit dat we op dit ogenblik niks ondernemen zijn we wel begaan met de situatie en zullen we alles op de voet volgen. Gelieve ons dus op de hoogte te houden van verdere ontwikkelingen.

Vriendelijke groeten,

frankske
23/06/05, 10:44
And the chain has been set in motion :)

De aanval gebeurde vanaf ons netwerk (door een klant van een klant), ik mag straks verklaring gaan afleggen bij de CCU.

Hjalmar
08/07/05, 09:44
We zijn inmiddels meer dan een maand verder, hoe staat alles er nu voor? Al enige vorderingen in bepaalde acties?

Dune
08/07/05, 10:10
Rechtssysteem gaat niet zo snel he...

Maar ben ook erg benieuwd hoe dit verder gegaan is! In Nederland zijn ze tegenwoordig erg snel wat het aanpakken van ddos aanvallen betrefd nadat de overheid zelf een ker platlag. Ben benieuwd of ze hier, en zeker in dit simpele gevalletje, in Belgie ook zo mee om gaan.

Tozz
11/07/05, 02:57
Aangifte heeft geen nut. Ik heb dat een keer gedaan, en dat ging als volgt:

- Afspraak maken voor aangifte. Men zou een gespecialiseerd iemand meenemen.
- Ik kom 3 dagen later aan, komt een kerel bij me zitten die (en dat is geen grap) niet weet wat een IP adres is, en dat is dus een specialist.
- Ik ben meer bezig geweest met uitleggen van wat alles is, dan dat we bezig waren met het proces verbaal.
- Ik heb alles aangeleverd, bewijs materiaal, adresgegevens van de dader, ze konden hem zo oppakken. Bewijs was op CD, men vroeg mij of ik dat kon printen, want ze hadden geen CDROM spelers. (De CD bevatte zo'n 150 MB aan logfiles, een paar duizend A4tjes dus. Dat hoefte ik dan toch niet te printen).

Resultaat: Ze hebben de dader verzocht om op het bureau langs te komen. Daar heeft ie (vanzelfsprekend) niet op gereageerd, en daarmee is de zaak afgedaan bij gebrek aan bewijs.

Het is namelijk zo dat computercriminaliteit alleen aangepakt kan worden als de dader op heterdaad betrapt is. Althans dat is mij vertelt. De reden is namelijk simpel: Logfiles kan ik zelf typen/laten genereren en dan is het zijn woord tegen de mijne.

Dus het heeft geen enkel nut.

smurf
11/07/05, 10:43
Nog niks terug gekregen.
De betrokkenen zijn allen wel verhoord geweest.

Buiten logfiles bewijzen hebben ze ook de persoon die de 'aanvallende' server beheerde gecontacteerd en het bedrijf van wie de server was. Deze konden het verhaal bevestigen.

Afwachten dus...

AlphaXS
11/07/05, 13:28
Wij hebben een maal last gehad van een flinke ddos aanval.
Hiervoor is aangifte gedaan bij de pliessie, en troost je: dit heeft wel degelijk nut.

Daar wij zelf de aanval konden bewijzen, en de dader niet bijzonder slim was geweest, had de pliessie een eitje om de persoon in kwestie terug te vinden en de zaak af te handelen.

De persoon in kwestie heeft ons de volledige geleden schade terug moeten betalen (+/- 500 euro), en heeft eeen boete gehad van 3500,00 euro of twee maanden jeugdetentie, dit wegens valsheid in geschrifte, schending van de wet op de privacy, inbreuk op de privacy, en inbraak op onze eigendommen.

Uiteindelijk hebben we van deze persoon, noch van zijn vrienden geen last meer gehad.

Hoe je het ook went, alles komt aan het licht, vroeg of laat. Iedereen laat vanzelf een steek vallen, en dan ben je de pineut.

Het heeft overigens bijna een half jaar geduurd eer dat de betrokken persoon voor de rechter stond.

Laatste wat ik ervan gehoord heb is een brief van de ouders, dat ze zich schaamden voor wat hun zoon had aangericht, en dat de beste "jongeman voorlopig geen pc meer op zijn kamer zou hebben" :D

Dedicated
15/07/05, 18:51
Het is inderdaad slim aangifte te doen, dit soort mensen maakt het af toe onmogelijk om je gewone bedrijfsvoering voor te zetten. Als wij als ondernemers er niks tegen doen. Zal dan de klant die aangevallen is aangifte doen?

Deze klant heeft nog minder gegevens dan dat de onderneming heeft, en zal dus eerder geneigd zijn af te haken. Het lijkt mij slim om als ondernemers hier elkaar in te steunen.

Croab
16/07/05, 01:47
het is misschien niet helemaal waar dit topic over gaat, maar misschien een tip mocht er nog ooit een probleem zich voordoen met het vele malen aanroepen van hetzelfde script;
gebruik een cacher.

ik dacht dat turckmmcache oid een goede was. (weet even de naam niet precies) maar dit kan je load behoorlijk omlaag brengen waardoor andere klanten er minder last van zullen hebben. Je kunt je afvragen of je er dan snel achter komt dat er iets gaande is......

tjah. alles goed bijhouden in dat geval.