Bastard Blog

Ich habe mir schon gedacht, daß es noch ein weiter Weg ist, web.de zu verstehen. Und ich muß mir wohl angewöhnen, in einfacheren Sätzen mit web.de zu kommunizieren, damit die auch mich verstehen - aber lest selbst:

Sehr geehrter Herr Kristner,

zu Ihren Punkten:

> Sofern Sie in der Lage sind, diese auch zu erkennen. Die Aktualität
> der Scanner spielt hier eine wesentliche Rolle.

Richtig. Nur leider kann kein Virenscanner der Welt eine absolute
Aktualität garantieren. Deshalb empfehlen wir immer einen
zusaetzlichern lokalen Virenschutz zu installieren, denn Viren
kann man sich ja nicht nur ueber E-Mail einfangen.

> Einen Wiederholungsfall akzeptiere ich erst, wenn ich die Header der
> betreffenden Mail gesehen habe.

Wie ich Ihnen bereits egschrieben hatte, wurde der Header von uns
ueberprueft.

> Ein absichtlicher Versand erfordert immer Username und Passwort und
> ermöglicht es dann, an jede beliebige Zieladresse zu senden. Sowas nennt
> man Smarthost und selbst die aktuellen Würmer benutzen diese nicht.

Ein infizierter Rechner meldet sich auch mit der i.d.R. im
Mailprogramm hinterlegten Benutzerkennung, ein Voratz beim
Versenden ist da noch nicht zu erkennen.

> Welche rechtlichen Schritte könnten Sie denn einleiten? Dadurch, daß
> vorab geklärt wird, wer von mir eine virulente Mail erhalten möchte,
> kann der Empfänger schon mal keinen Schaden davontragen.

Im Fall einer Initialversendung erstellt WEB.DE Strafanzeige genen
den Versender, wo es auch schon zu Verurteilungen gekommen ist.

Mit freundlichen Gruessen

Daniel Bauch
Abuse
WEB.DE AG

Und hier meine Antwort dazu:

Hallo Herr Bauch,

"WEB.DE Kundenservice" >abuse@web.de< schrieb am 24.05.05 10:45:44:
> 
> Sehr geehrter Herr Kristner,

?

Sehen Sie sich bitte nochmal meinen Namen an. Danke.


> Richtig. Nur leider kann kein Virenscanner der Welt eine absolute
> Aktualität garantieren. Deshalb empfehlen wir immer einen 
> zusaetzlichern lokalen Virenschutz zu installieren, denn Viren kann
> man sich ja nicht nur ueber E-Mail einfangen.

Eigentlich dachte ich, Sie hätten es bereits begriffen, daß Sie es mit 
einem IT-Profi zu tun haben. Dem scheint nicht so zu sein. Deshalb 
nochmal: Ich bin IT-Profi. Ich betreue mehrere Netzwerke, Mailserver, 
>100 User, entwickle bei den Projekten eisfair und fli4l mit.

In Sachen Sicherheit können Sie davon ausgehen, daß ich tagesaktuell 
bin.

Ihre an IT-Laien gerichteten Ratschläge können Sie sich künftig sparen.

Zur Aktualität der Virenscanner: Das ist genau der Punkt. Meine IT-
Kollegen und ich erhalten ab und zu hochaktuelles Gewürm. Es geht uns 
darum, unsere Systeme zu prüfen. Es geht darum, herauszubekommen, ob 
unser Geld richtig angelegt ist. Wir _verlangen_ vom jeweils anderen IT-
Kollegen, daß er uns _absichtlich_ diese hochaktuellen Dinge _zumailt_.

Ich bitte Sie nochmals zu akzeptieren, daß das alles unsere _volle_ 
_Absicht_ ist. 

> > Einen Wiederholungsfall akzeptiere ich erst, wenn ich die Header der
> > betreffenden Mail gesehen habe.
> 
> Wie ich Ihnen bereits egschrieben hatte, wurde der Header von uns
> ueberprueft.

Das ist lediglich eine Behauptung. Ich wünsche die betreffenden Header 
zu sehen. Oder kann es sein, daß sie gar keine Möglichkeit haben, diese 
Header mir zur Kenntnis zu geben? Anyway. Solange Sie nicht mit Beweisen 
kommen, glaube ich Ihnen nicht.

> Ein infizierter Rechner meldet sich auch mit der i.d.R. im 
> Mailprogramm hinterlegten Benutzerkennung, ein Voratz beim
> Versenden ist da noch nicht zu erkennen.

Dann müssen Sie mir eben glauben, daß das alles _volle_ _Absicht_ war.

> Im Fall einer Initialversendung erstellt WEB.DE Strafanzeige genen
> den Versender, wo es auch schon zu Verurteilungen gekommen ist.

Dann darf ich Sie sicher um die Aktenzeichen bemühen. Vielen Dankk dafür 
im Voraus.

MfG

Stefan Krister

Unser Gateway-Linux kränkelt:

kernel: hda: dma_intr: status=0x51 { DriveReady SeekComplete Error }
kernel: hda: dma_intr: error=0x40 { UncorrectableError }, LBAsect=6050402,
sector=6009968
kernel: end_request: I/O error, dev 03:02 (hda), sector 6009968
kernel: hda: dma_intr: status=0x51 { DriveReady SeekComplete Error }
kernel: hda: dma_intr: error=0x40 { UncorrectableError }, LBAsect=6050402,
sector=6009976
kernel: end_request: I/O error, dev 03:02 (hda), sector 6009976
kernel: hda: dma_intr: status=0x51 { DriveReady SeekComplete Error }
kernel: hda: dma_intr: error=0x40 { UncorrectableError }, LBAsect=6053281,
sector=6012856

Und so geht das noch ne weile weiter ... Zeit, die Platte zu clonen und auszutauschen.

Platten liegen hier genug 'rum. Und so hab ich geclont:

• Sichern des Master-Boot-Record mittels

  dd if=/dev/hda of=~/hda.mbr bs=446 count=1

• Sichern der Partitionstabelle mittels

  sfdisk -d /dev/hda > hda.pt

• Die Zielplatte wird nun in einen Rechner gebaut. Gebootet wird der Rechner mittels einer geeigneten CD (Knoppix) oder Diskette.
• Am Zielrechner startet man einen Netcat-Server mittels

  netcat -l -p <portnummer> | tar -xpvf -

• Am Quellsystem kann man nun mittels

  tar -cpvf - <directory> | netcat <ziel-ip> <portnummer>

  die Dateisysteme auf die Zielplatte bringen.

meine Antwort an web.de:

Sehr geehrter Herr Bauch,


"WEB.DE Kundenservice" schrieb am 19.05.05 10:38:42:
> 
> Sehr geehrte Damen und Herren,

?

Warum sprechen Sie mich nicht mit meinem Namen an?


> Wenn Viren oder Wuermer ueber unserere Server verschickt werden,
> liegt das selbstverstandlich im Interesse von WEB.DE dies zu
> unterbinden.

Sofern Sie in der Lage sind, diese auch zu erkennen. Die Aktualität
der Scanner spielt hier eine wesentliche Rolle.

Genau darum geht es hier nämlich: Ist die bei mir und meinen
IT-Kollegen im Einsatz befindliche Software aktuell genug, um die
_absichtlich_ versandte und mit einem Hinweis im Betreff gekennzeichnete
virulente Mail zu erkennen oder nicht.

> > Zeigen Sie mir erst einmal die Header der betreffenden Mails, dann
> > werden wir ja sehen, wer der Urheber ist.
> 
> Der oder die uebermittelten Header wurden von uns ueberprueft.

Es würde mich schon interessieren, um welche Mail es sich gehandelt hat,
ob sie tatsächlich auch von mir versendet wurde und vor allem, welchen
Betreff sie hatte. Zeigen Sie mir also bitte die betreffenden Header.

> Das ist Ihr gutes Recht. Wir moechten allerdings auf unsere AGB
> verweisen und darauf aufmerksam machen, dass wir im 
> Wiederholungsfall berechtigt sind dieses Postfach ggfls zu schliessen. 

Einen Wiederholungsfall akzeptiere ich erst, wenn ich die Header der
betreffenden Mail gesehen habe.

> > es würde Ihnen gut zu Gesicht stehen, wenn Sie Ihrerseits den NAZI-SPAM
> > in Griff bekommen würden!
> 
> Sofern dieser Spam von unseren Servern verschickt wurde gehen wir
> gegen diese Nutzer gemaess unserer AGB vor.

Dann wird das wohl nichts. Es sei denn, der verursachende Sober.q benutzt
neuerdings die in den Mailprogrammen eingestellten Smarthosts. Schade. 
Es würde Ihnen sicher einige Bonuspunkte bringen, wenn diese Mails
aussortiert werden würden.

> > Das wär' viel besser als Ihr Gemaule wegen _absichtlichem_ Wurmversand.
> 
> Hier geht es nicht um "absichtlichen" Versand. Ist einem Nutzer ein
> initialer (absichtlicher) Versand nachzuweisen wird der Nutzer nicht
> erst gebeten sein system zu ueberpruefen, in diesem Fall wird das
> Postfach umgehend geschlossen und nach Pruefung werden rechtliche
> Schritte eingeleitet.

Doch. Hier geht es ausschließlich um absichtlichen Versand. Mal 
angenommen, Sie haben Recht. Dann wäre im Mailheader ersichtlich, daß 
der sendende Host sich nicht gegenüber dem smtp von web.de mit User und 
Passwort angemeldet hat, sondern Ihr smtp die Mail wegen der passenden 
Zieladresse angenommen und zugestellt hat.

Ein absichtlicher Versand erfordert immer Username und Passwort und 
ermöglicht es dann, an jede beliebige Zieladresse zu senden. Sowas nennt 
man Smarthost und selbst die aktuellen Würmer benutzen diese nicht.

Welche rechtlichen Schritte könnten Sie denn einleiten? Dadurch, daß
vorab geklärt wird, wer von mir eine virulente Mail erhalten möchte,
kann der Empfänger schon mal keinen Schaden davontragen.

Darüberhinaus mag mir nichts vernünftiges einfallen. Ich konsultiere
dazu aber noch meinen Anwalt.

> Fuer weitere Fragen stehe ich Ihnen gerne zur Verfuegung.

Vielen Dank dafür. Ich denke, unsere Diskussion wird noch eine Weile 
anhalten.

MfG

Stefan Krister

Ohne weiteren Kommentar:

Sehr geehrte Damen und Herren,

zu Ihren Punkten:


>
> Was geht Sie das an?
>

Wenn Viren oder Wuermer ueber unserere Server verschickt werden, liegt
das selbstverstandlich im Interesse von WEB.DE dies zu unterbinden.

> Zeigen Sie mir erst einmal die Header der betreffenden Mails, dann
> werden wir ja sehen, wer der Urheber ist.

Der oder die uebermittelten Header wurden von uns ueberprueft.

>
> Bis dahin werden Sie mein Postfach so lassen, wie es ist - klar?
>

Das ist Ihr gutes Recht. Wir moechten allerdings auf unsere AGB verweisen
und darauf aufmerksam machen, dass wir im Wiederholungsfall berechtigt
sind dieses Postfach ggfls zu schliessen.

> es würde Ihnen gut zu Gesicht stehen, wenn Sie Ihrerseits den NAZI-SPAM
> in Griff bekommen würden!

Sofern dieser Spam von unseren Servern verschickt wurde gehen wir gegen
diese Nutzer gemaess unserer AGB vor.

>
> Das wär' viel besser als Ihr Gemaule wegen _absichtlichem_ Wurmversand.


Hier geht es nicht um "absichtlichen" Versand. Ist einem Nutzer ein
initialer (absichtlicher) Versand nachzuweisen wird der Nutzer nicht erst
gebeten sein system zu ueberpruefen, in diesem Fall wird das Postfach
umgehend geschlossen und nach Pruefung werden rechtliche Schritte
eingeleitet.

Fuer weitere Fragen stehe ich Ihnen gerne zur Verfuegung.

Mit freundlichen Gruessen

Daniel Bauch
Abuse
WEB.DE AG

Neulich kam folgende Mail vom web.de Abuse-Team bei mir an:

Sehr geehrte Dame, sehr geehrter Herr,

>> 
>> Sie haben Nachrichten verschickt, deren Anlagen Viren 
>> enthielten. Bitte ueberpruefen Sie, ob Ihr Virenschutz 
>> aktualisiert wurde und lassen Sie zur Vorsicht einen 
>> kompletten Scan ueber Ihr System laufen. Nuetzliche 
>> Informationen zum Schutz vor Viren finden Sie unter 
>> http://portale.web.de/Computer/Viren_Special/viren3.html
>> 
>> Bitte beachten Sie, daß wir Ihr Postfach im Wiederholungsfall,
>> zur Ihrer eigenen Sichterheit, so wie der Sicherheit Ihrer 
>> Kommunikationspartner, sperren werden.
>> 
>> Wir bitten um eine kurze Stellungnahme Ihrerseits.
>> 
>>  
>> Mit freundlichen Gruessen
>>  
>> Ihr WEB.DE Abuse-Team

Eine Frechheit, oder?

Meine Antwort fiel deswegen nicht gerade freundlich aus:

Selbstverständlich versende ich verwurmte Mails an meine IT-Kollegen zur
Überprüfung deren Systeme. So wie auch ich von denen Gewürm erhalte, um
meine Systeme zu prüfen.

Was geht Sie das an?

Zeigen Sie mir erst einmal die Header der betreffenden Mails, dann
werden wir ja sehen, wer der Urheber ist.

Bis dahin werden Sie mein Postfach so lassen, wie es ist - klar?

Im Übrigen ist mein Gewürm mit einem eindeutigen Betreff versehen. Wer
da dann immer noch draufklickt, hat es nicht anders verdient. Zeigen Sie
mir eine Mail von meinen Mailpartnern in der eine Beschwerde über mein
Verhalten ersichtlich ist. Dann sehen wir weiter.

Ach noch was, weil's grad gut dazu passt,

es würde Ihnen gut zu Gesicht stehen, wenn Sie Ihrerseits den NAZI-SPAM
in Griff bekommen würden!

Das wär' viel besser als Ihr Gemaule wegen _absichtlichem_ Wurmversand.

MfG

Stefan Krister

Tja und nun sind 2 Tage vergangen. Außer den Mails vom Autoresponder (je 62k "FAQ zum Thema Spam") hat sich web.de noch nicht weiter geäußert.

Mal sehen, was das noch wird. Die erste Mahnmail ging gerade eben hier raus.