Hallo Kollegen,

heute ist bei uns das hier im Email Postfach gelandet:
(Diese Mail haben viele andere auch bekommen)

Sehr geehrte Damen und Herren,

hiermit fordere ich die Zahlung von 5 Bitcoins (ca. 1300€) an folgende Bitcoin-Adresse: 1NyrwLZm1L7KAAYwwaYmb764pqAXoFLSJL
Sollte die Zahlung nicht bis zum 13.05.2015 um 22.00 Uhr erfolgt sein, startet automatisch ein DDOS-Angriff auf Ihren Onlineshop, was zur Folge hat, dass dieser nichtmehr erreichbar sein wird. Um den Angriff zu beenden wäre dann eine Zahlung von 50 Bitcoins erforderlich.

Die Höhe der Forderung und die Zahlingsfrist sind NICHT VERHANDELBAR!

Bitcoins können Sie unter Anderem auf diesen Internetseiten kaufen: https://btc-e.com/
https://www.bitcoin.de/
https://www.kraken.com/

WICHTIG: Die erfassung Ihrer Zahlung erfolgt automatisch. Um eine erfolgreiche erfassung zu garantieren ist es erforderlich, dass Sie, sobald Sie die Zahlung getätigt haben, eine e-mail welche ausschließlich ihre Bitcoinadresse enthält an btcadresses@hmamail.com

Mit freundlichen Grüßen

Raul Garcia

Wie verhält man sich jetzt?

Kommt mir ein bissl wie Spam vor, aber ich denke eine DDOS Attacke kann ja heute jeder Lausbube starten.

Wie kann ich mich davor schützen? und wie können jetzt die nächsten Schritte aussehen?



Edit : Kann man das zurück verfolgen. Ich benötige nur eine Adresse

Das kann durchaus echt sein, da du aber den Startzeitpunkt kennst, kannst du dich jetzt schon mit deinen Hoster in Verbindung setzen, meistens erfolgen diese Scriptkiddie Attacken über Asien. Sobald es startet, merkbar wird soll dein Hoster die Asiaten aussperren, so ist die reele Ausfallzeit eher gering, ich nehme an das du dort eh wenig Kunden haben wirst. Wichtig ist, GIB NICHT NACH sonst kommt das jede Woche einmal.

Das ist dann wohl eine der Schattenseiten von Bitcoin.

Meine erster Gedanke war "Anzeige gegen unbekannt"
aber ich denke das wird nicht viel bringen, ist wahrscheinlich
eh alles #Neuland für die Justiz

Ich würde auch den Hoster mal vorwarnen, vielleicht hat der auch
paar Tipps...

Hatte ich mal vor ein paar Jahren.

Die DDOS Angriffe gingen dann über mehrere Wochen. D.h. als SPAM würde ich das nicht abtun sondern mich auf den DDOS vorbereiten. Ich hab damals die E-mail auch als SPAM abgetan, zum angekündigten Zeitpunkt ging der DDOS los.

Ich konnte mit Hilfe meines Hosters (Domainfactory) damals die Angriffe größtenteils abwehren. Damals waren aber mehrere Shops aus meiner Branche betroffen, alles kleiner Shops so wie meiner und ich weiß, dass andere teils mehrere Tage offline waren, insbesondere solche die bei kleinen Hostern waren.

Bei mir war der Ablauf wie folgt:
- E-mail ging ein.
- E-mail wurde von mir als SPAM ignoriert.
- DDOS ging los als ich nicht im Geschäft war, mein Shop wurde automatisch vom Hoster vom damaligen Shared Hosting auf einen High Performance Tagesserver umgezogen, diese Zusatzoption hatte ich zum Glück gebucht, sonst wäre der Shop einfach abgeschalten worden.
- Ich hab den Hoster informiert über die E-mails und die haben dann soweit möglich Gegenmaßnahmen ergriffen. Zusätzlich hab ich noch ein Zusatzskript im Shop eingefügt um DDOS Anfragen die durchkamen auf eine Mini-Fehlerseite umzuleiten um die Belastung der Datenbank niedrig zu halten.

- Ich bin abends zur Polizei und habe Strafanzeige erstattet, da haben sich dann am nächsten Tag auch zwei erstaunlich kompetente Beamte von der Kriminalpolizei gemeldet und haben soweit wie möglich versucht zu ermitteln. (Logfiles auswerten, Kommunikation mit den Erpressern usw.)
- Über mehre Wochen fanden dann täglich DDOS Angriffe statt. Ich war dann täglich in Kommunikation mit dem Hoster und der Polizei. Irgendwann haben die Angriffe dann aufgehört.

Was du machen solltest: Auf jeden Fall sofort Kontakt mit dem Hoster aufnehmen um abzuklären was man machen kann. Ob der Hoster den Angriff abwehren kann hängt natürlich vom Ausmaß ab, vermutlich aber auch davon was du für ein Paket gebucht hast, d.h. ob du einen eigenen Server hast, oder Shared Hosting.

Wenns ganz heftig wird und der Hoster überfordert ist, dann gibts inzwischen auch Anbieter wie Cloudflare die sich auf DDOS Abwehr spezialisiert haben. Das ist relativ einfach einzurichten, hab ich testweise mal mit dem kostenlosen Basispaket gemacht, DDOS Abwehr kostet aber 200 EUR im Monat.

Bereite dich auf jeden Fall auf alle Eventualitäten vor, so dass du mehre Optionen zur Verfügung hast, je nach Stärke des Angriffs.

Da ich technisch nicht genug bewandert bin kann ich zu dieser Seite nichts sagen.


-Schau das deine Backups aktuell sind.
-Wenn du einen gemieteten Server hast mit dem Hoster in Verbindung setzen.
-Strafanzeige sowieso, selbst wenn keine Attacke kommt ist es Erpressung.

Strafanzeige wird gleich gestellt. Habe schon mit der Polizei gesprochen. Fahre da in 2 Stunden vorbei.

Mit dem Hoster nehme ich ebenfalls heute Kontakt auf, das läuft bei uns über eine Agentur.

Als ob man nichts anderes zu tuen hat. Eine Schweinerei soetwas! Ich würde zugerne wissen wo das herkommt. Die Email ist ja in einem äußerst leserlichen Stil entworfen. Das kommt mir merkwürdig vor!

comandante hat geschrieben: Wie verhält man sich jetzt?

Wie die anderen schon gesagt, Strafanzeige bei der Polizei. Als das meinen Ex-Arbeitgeber traf, ging das Ganze dann recht schnell zum BKA, da es bundesweit mehrere Anbieter traf. Damals war aber noch ukash in Mode und nicht Bitcoin. Der deutsche Verursacher saß dann 2,5 Jahre später vor seinem Richter.

Wir hatten nicht gezahlt und hatten nach dem ersten Angriff Ruhe, ein Schwesterunternehmen hat gezahlt und nach zwei Monaten die nächste Forderung auf dem Tisch gehabt...

comandante hat geschrieben: Kommt mir ein bissl wie Spam vor, aber ich denke eine DDOS Attacke kann ja heute jeder Lausbube starten.

Wie kann ich mich davor schützen? und wie können jetzt die nächsten Schritte aussehen?

Geh davon aus, dass da etwas kommt. Nach den Vorfällen hatten wir uns mit professionellen Lösungsmöglichkeiten beschäftigt. Einer der Anbieter hatte uns eine nette Übersicht gezeigt, wieviel es kostet um einen DDOS-Angriff in einer bestimmten Größenordnung einzukaufen. War deutlich günstiger als ich vermutet hatte.

Gegenmaßnahmen: sprich mit deinem Hostinganbieter, was er tun kann. Das Blocken von Traffic, der nicht aus deinem Hauptkundengebiet kommt ist meist sehr hilfreich. Wenn das hauptsächlich die DACH-Region ist, hast du gute Chancen damit schon den Großteil des Angriffs los zu sein. Wenn du es technisch schaffst bzw. dein technischer Dienstleister eine kleine Captcha-Abfrage in deinem Shop aufzusetzen, kannst du die Last auch deutlich drücken. Mit einer sinnvollen Begründung lassen sich Kunden davon wenig abschrecken, deine Datenbank wird es dir aber sehr danken.

Professioneller DDOS-Schutz ist recht teuer bis unbezahlbar (2.000 Euro im Monat aufwärts, Akamai wollte eine 6-stellige Jahressumme).

robertt hat geschrieben: Wenn du es technisch schaffst bzw. dein technischer Dienstleister eine kleine Captcha-Abfrage in deinem Shop aufzusetzen, kannst du die Last auch deutlich drücken. Mit einer sinnvollen Begründung lassen sich Kunden davon wenig abschrecken, deine Datenbank wird es dir aber sehr danken.

Wie soll ein Captcha denn bei DDOS-Attacken helfen?
Der Server wird mit falschen Verbindungsanfragen geflutet.
Da bekommt keiner der angreifenden Rechner ein Captcha zu sehen.

Professioneller DDOS-Schutz ist recht teuer bis unbezahlbar (2.000 Euro im Monat aufwärts, Akamai wollte eine 6-stellige Jahressumme).

Inzwischen ist das auch etwas billiger geworden. Wie gesagt, bei Cloudflare 200 EUR/Monat ohne Bandbreiten Limit. Musste das Paket von denen mit DDOS Abwehr zum Glück noch nicht testen aber hab einiges gutes darüber gelesen. Und es ist leicht zu administrieren. Account erstellen, den DNS Eintrag für die Domain bei Hoster oder Registrar ändern fertig. Ich hatte da mehrere Jahre lang eine kleinere Webseite drüber laufen, da die auch Schutz gegen andere Angriffe und auch gegen SPAM im kostenlosen Basispaket bieten.

Falloutboy hat geschrieben:

robertt hat geschrieben: Wenn du es technisch schaffst bzw. dein technischer Dienstleister eine kleine Captcha-Abfrage in deinem Shop aufzusetzen, kannst du die Last auch deutlich drücken. Mit einer sinnvollen Begründung lassen sich Kunden davon wenig abschrecken, deine Datenbank wird es dir aber sehr danken.

Wie soll ein Captcha denn bei DDOS-Attacken helfen?
Der Server wird mit falschen Verbindungsanfragem geflutet.
Da bekommt keiner der angreifenden Rechner ein Captcha zu sehen.

Das Ziel der DDOS-Anfragen setzt im Allgemeinen auf zwei Ziele: deine Bandbreite komplett auszulasten und/oder deine Infrastruktur über die Lastgrenze zu treiben. Die Captcha-Abfrage kostet, wenn sinnvoll erstellt, keinerlei Datenbankanfragen und verbraucht nur wenig Bandbreite zur Auslieferung, ist somit resourcenmäßig sehr günstig abzuarbeiten. Wenn das also die erste Seite ist, die ein Besucher ausgeliefert bekommt, hat man automatisierte Anfragen sehr kostengünstig erledigt ohne seine Infrastruktur zu belasten und die Bandbreite nicht mit Hunderten Kilobyte an HTML-Müll zugeschüttet. Deine Server können sich dann in Ruhe um die wirklichen Kunden kümmern.

koshop hat geschrieben:

Professioneller DDOS-Schutz ist recht teuer bis unbezahlbar (2.000 Euro im Monat aufwärts, Akamai wollte eine 6-stellige Jahressumme).

Inzwischen ist das auch etwas billiger geworden. Wie gesagt, bei Cloudflare 200 EUR/Monat ohne Bandbreiten Limit. Musste das Paket von denen mit DDOS Abwehr zum Glück noch nicht testen aber hab einiges gutes darüber gelesen. Und es ist leicht zu administrieren. Account erstellen, den DNS Eintrag für die Domain bei Hoster oder Registrar ändern fertig. Ich hatte da mehrere Jahre lang eine kleinere Webseite drüber laufen, da die auch Schutz gegen andere Angriffe und auch gegen SPAM im kostenlosen Basispaket bieten.

Gerade mal quergelesen: Hauptproblem ist, das ich keine Angabe zur Dauer des Schutzes gefunden habe. Bei unseren Verandlungen war das immer die Hauptkomponente bei den Kosten. Denn es bringt nichts, wenn du für 5 Minuten ein Gigabit wegfilterst und der Angriff 24 Stunden läuft. Nicht umsonst steht da rechts noch das "Average $5.000 monthly"-Enterprise-Paket.

robertt hat geschrieben:

Falloutboy hat geschrieben:

robertt hat geschrieben: Wenn du es technisch schaffst bzw. dein technischer Dienstleister eine kleine Captcha-Abfrage in deinem Shop aufzusetzen, kannst du die Last auch deutlich drücken. Mit einer sinnvollen Begründung lassen sich Kunden davon wenig abschrecken, deine Datenbank wird es dir aber sehr danken.

Wie soll ein Captcha denn bei DDOS-Attacken helfen?
Der Server wird mit falschen Verbindungsanfragem geflutet.
Da bekommt keiner der angreifenden Rechner ein Captcha zu sehen.

Das Ziel der DDOS-Anfragen setzt im Allgemeinen auf zwei Ziele: deine Bandbreite komplett auszulasten und/oder deine Infrastruktur über die Lastgrenze zu treiben. Die Captcha-Abfrage kostet, wenn sinnvoll erstellt, keinerlei Datenbankanfragen und verbraucht nur wenig Bandbreite zur Auslieferung, ist somit resourcenmäßig sehr günstig abzuarbeiten. Wenn das also die erste Seite ist, die ein Besucher ausgeliefert bekommt, hat man automatisierte Anfragen sehr kostengünstig erledigt ohne seine Infrastruktur zu belasten und die Bandbreite nicht mit Hunderten Kilobyte an HTML-Müll zugeschüttet. Deine Server können sich dann in Ruhe um die wirklichen Kunden kümmern.

Dies kann man wenn man angegriffen wird auch kurzfristig so einrichten?

Noch ein kleiner Erfahrungswert: die professionelleren Herrschaften testen im Allgemeinen 1-2 Tage vorher für 5-10 Minuten, was eure Infrastruktur so an Leistung ab kann, um zu klären, welches DDOS-Paket man einkaufen muss. Wenn ihr eure Server überwacht, ist das ein guter Anhaltspunkt wie ernst es den Leuten ist und mit welcher Kapazität ihr es auf der anderen Seite zu tun habt.

regalboy hat geschrieben:

robertt hat geschrieben:Das Ziel der DDOS-Anfragen setzt im Allgemeinen auf zwei Ziele: deine Bandbreite komplett auszulasten und/oder deine Infrastruktur über die Lastgrenze zu treiben. Die Captcha-Abfrage kostet, wenn sinnvoll erstellt, keinerlei Datenbankanfragen und verbraucht nur wenig Bandbreite zur Auslieferung, ist somit resourcenmäßig sehr günstig abzuarbeiten. Wenn das also die erste Seite ist, die ein Besucher ausgeliefert bekommt, hat man automatisierte Anfragen sehr kostengünstig erledigt ohne seine Infrastruktur zu belasten und die Bandbreite nicht mit Hunderten Kilobyte an HTML-Müll zugeschüttet. Deine Server können sich dann in Ruhe um die wirklichen Kunden kümmern.

Dies kann man wenn man angegriffen wird auch kurzfristig so einrichten?

Wir hatten uns das damals während des Angriffes ausgedacht und umgesetzt. Hatten aber auch eigene Entwickler vor Ort sitzen. Also man kann es auch noch im Angriffsfall machen.

Besser ist es natürlich das Ganze schon mal vorzubereiten. Wichtigster Punkt dabei: es muss irgendwie gespeichert werden, wer das Captcha erfolgreich passiert hat. Bei einem Shopsystem wird man das im Allgemeinen in der jeweiligen Shop-Session mitspeichern. Kommt halt darauf an, was für ein System ihr einsetzt und wie gut man darauf zugreifen kann.

Wenn ich das hier so lese, scheint die Gegenwehr über den Hoster das Cleverste zu sein. Das sind ja keine Firmen, sondern irgendwelche Kiddies. Wenn da nach ein paar Stunden noch kein Erfolg eintritt, ziehen sie zum nächsten Weiter und verschwenden nicht ihre Zeit. Ein guter Hoster sollte IP-Bereiche zeitweise sperren können.

Zu zahlen verbietet sich eigentlich von selbst. Man verhandelt nicht mit Verbrechern.

Wir hatten vor ein paar Jahren auch mal einen Angriff, mitten im Weihnachtsgeschäft. Waren damals zum Glück noch bei der Domainfactory und die haben sehr schnell und kompetent gehandelt und die Auszeit kurz halten können. Das ganze übrigens ohne uns etwas dafür zu berechnen. Ein guter Hoster kann wirklich Gold wert sein!

Wir hatten uns das damals während des Angriffes ausgedacht und umgesetzt. Hatten aber auch eigene Entwickler vor Ort sitzen. Also man kann es auch noch im Angriffsfall machen.

Das Problem mit Captchas ist natürlich das es auch eine Menge legitime Kunden abschreckt. Bei uns lief der Angriff so ab, daß immer die gleiche URL aufgerufen wurde. Da hab ich es einfach so gemacht, das nach 2 Aufrufen kurz hintereinander die IP automatisch geblockt und auf eine Fehlerseite mit unserer Adresse und Telefonnummer umgeleitet wurde. Das hat zusätzlich ein bischen Last vom Server genommen ist aber natürlich letztendlich Pillepalle ab einem gewissen Angriffsniveau.

Hauptproblem ist, das ich keine Angabe zur Dauer des Schutzes gefunden habe.

https://www.cloudflare.com/plans
Hab mich jetzt im Detail auch nicht damit beschäftigt aber fährt man mit der Maus über "Advanced DDOS Protection" im Vergleich steht da:
"Backed by a full SLA our DDOS experts will keep you online 24/7 no matter the size, type or duration of the attack."
Also versteckte Kosten sehe ich da erstmal keine.

Am besten mal mit verschiedenen Anbietern in Verbindung setzen und dann mit dem Hoster zusammen abklären inweit der Einsatz solcher Dienste da möglich ist. Ist ja noch ein bischen Vorlaufzeit. Auf den Hoster alleine würde ich mich auf jeden Fall nicht verlassen, einen kleinen Angriff können die mit ihren Mitteln abwehren, aber heutzutage kann man ja auch größere Angriffe für wenig Geld kaufen da sollte man noch eine Option in der Hinterhand haben.

Gibt auch Hoster, die ziehen einfach den Stecker, salopp ausgedrückt um ihre restlichen Seiten zu schützen.

Ist wohl eine ganze Welle
https://www.df.eu/blog/2015/05/06/warnu ... re-kunden/

Was auch hilft, sind gut konfigurierte Server, also z.B. mit Technologien wie Caching, nginx, HHVM, ... So kann man bis zu 10x mehr Abrufe bedienen

Ist wohl eine ganze Welle
https://www.df.eu/blog/2015/05/06/warnu ... re-kunden/
Zitat von der Webseite:
"Bislang ist noch kein Angriff nach einer solchen Mail erfolgt."

Die Frist ist ja noch nicht abgelaufen. Sagen wir mal so: Was dafür spricht, dass nix passiert ist die lange Frist. Wenn man von möglichst vielen, möglichst viel Geld einsammeln will ohne was dahinter macht man das eher mit einer langen Frist. Wenn man es Ernst meint, dann lässt man da eigentlich keine Woche Zeit. Bei uns war die Vorlaufzeit damals ein paar Stunden.

Ich hoffe jetzt mal bloss das da nicht am 13. ein massiver DDOS auf Domainfactory losgeht von dem dann alle Webseiten betroffen sind, da hab ich echt kein Bock drauf.