1&1 Internet AG, Abuse Abteilung an mich Details anzeigen 13:56 (Vor 4 Stu

1. 1&1 Internet AG, Abuse Abteilung
2. an mich
3.  
4. Details anzeigen 13:56 (Vor 4 Stunden)
5.  
6. Ihre Kundennummer: 21579492
7. Ihre Vertragsnummer: 23103941
8. Unsere Referenz: [Ticket AB9061942]
9.  
10. Sehr geehrte/r
11.  
12. uns erreichen zurzeit Hinweise, dass von Ihrem 1&1 Root-Server Angriffe auf
13. andere Server im Netz ausgehen. Weitere Angaben zur Natur der Angriffe, finden
14. Sie am Ende dieser E-Mail.
15.  
16. Diese Hinweise zeigen, dass Ihr 1&1 Server mit Malware infiziert wurde. Dadurch
17. ist er Teil eines Botnetzes und kann von Hackern weltweit missbraucht werden.
18.  
19. Bitte beachten Sie: Dies stellt eine ernsthafte Bedrohung Ihrer eigenen
20. Sicherheit dar!
21.  
22. *******************************************************************************
23. Antworten Sie daher innerhalb von 48 Stunden auf diese E-Mail und belassen Sie
24. bitte unsere Referenz [Ticket AB9061942] in Ihrer Nachricht.
25.  
26. Sollten wir bis dahin keine Antwort von Ihnen erhalten, müssen wir davon
27. ausgehen, dass Ihr Server von Hackern gekapert wurde und ihn daher zu Ihrer
28. eigenen Sicherheit vom Netz nehmen.
29. *******************************************************************************
30.  
31. Um die Sicherheit Ihres 1&1 Root-Servers wiederherzustellen, gehen Sie bitte wie
32. folgt vor:
33.  
34. 1. Booten Sie zunächst den Server in den Rescue-Modus, damit weitere Angriffe
35. verhindert werden.
36.  
37. 2. Prüfen Sie welche Software die Angriffe ausführt und deaktivieren oder
38. löschen Sie diese Software.
39.  
40. 3. Prüfen Sie, ob Hacker fremde Skripte auf Ihren Server geladen haben. Löschen
41. Sie diese Skripte.
42.  
43. 4. Analysieren Sie, welche Ihrer Skripte die Sicherheitslücken enthalten,
44. die die Hacker zum Angriff ausgenutzt haben.
45.  
46. 5. Schließen Sie diese Sicherheitslücken oder löschen Sie die betroffenen
47. Skripte und ersetzen Sie sie durch sichere.
48.  
49. 6. Sollten Sie das Problem nicht beheben können, ist eine Re-Initialisierung
50. des Servers notwendig. Untersuchen Sie in diesem Fall auch Ihr Backup nach
51. Sicherheitslücken und schädlicher Software.
52.  
53. 7. Geben Sie uns anschließend bitte in jedem Fall eine kurze Rückmeldung.
54. Antworten Sie hierfür auf diese E-Mail und belassen Sie dabei bitte unsere
55. Referenz [Ticket AB9061942] in Ihrer Nachricht.
56.  
57. Bitte beachten Sie die folgenden Hinweise:
58.  
59. I. Die Angriffe, die Ihr Server zurzeit vornimmt, werden vermutlich von
60. einer Software gesteuert, die Hacker zuvor auf ihren Server geladen haben.
61.  
62. II. Häufig befinden sich die Sicherheitslücken in PHP-Skripten sogenannter
63. Content-Management-Software, wie Joomla!, Contenido, phpBB. Sie finden
64. eine abgesicherte Version der Software auf den Webseiten des
65. Herstellers.
66.  
67. III. Weitere Sicherheitslücken sind Passwörter, die durch einen Virus auf
68. Ihrem lokalen Rechner ausspioniert wurden.
69.  
70. Sollten Sie weitere Fragen haben, hilft Ihnen unser Support-Team gerne weiter.
71.  
72. Wir danken Ihnen im Voraus für Ihre Mitwirkung und freuen uns auf eine
73. weiterhin erfolgreiche Zusammenarbeit.
74.  
75. ***AUSZUG TCP*******************************************************
76.  
77. Source-ip: 87.106.190.130
78. AS: 8560
79. Malware-URL: creceive://87.106.190.130:51216
80. Bitdefender-Analysis: Win32.Worm.Allaple.Gen
81. Attack-time: 1257087546
82. .. which is: Sun Nov 1 15:59:06 2009 +01:00
83. internal id: 475890
84.  
85. ***ENDE AUSZUG TCP**************************************************
86.  
87. Mit freundlichen Grüßen,
88.  
89. Ihr Abuse Team
90.  
91. --
92. Abuse Abteilung
93. 1&1 Internet AG
94.  
95. Elgendorfer Str. 57, 56410 Montabaur
96. Amtsgericht Montabaur HRB 6484 · Vorstand: Henning Ahlert, Ralph Dommermuth,
97. Matthias Ehrlich, Thomas Gottschlich, Robert Hoffmann, Markus Huhn, Hans-Henning
98. Kettler, Dr. Oliver Mauss, Jan Oetjen · Aufsichtsratsvorsitzender: Michael Scheeren