10.12.2018 | 03:03 Uhr
 
Aktuelles - Blog
STRATO sperrt Webhosting-Pakete unberechtigt (08.09.2015)
Im wiederholten Fall wurden Domains von unseren Kunden, die PHP-Scripte aus unserem Haus installiert haben, von Strato UNBERECHTIGTERWEISE gesperrt. Der Vorwurf bzw. die unhaltbare Behauptung in jedem der Fälle war:

"...Nach unserer Information werden die Inhalte Ihrer Internet-Präsenz für die Verbreitung schädlicher Software ausgenutzt. Hiervon betroffen ist die folgende URL bzw. die folgende(n) Datei(en):..."


Diese Vorgänge treten seit dem Februar 2015 immer wieder auf, siehe unsere eMail an Strato.
Am Beispiel eines Falles, haben wir den Webspace im Auftrag unseren Kunden eingehend auf Schadsoftware vergeblich untersucht. Siehe unsere eMail an STRATO vom Juli 2015 (Kunden-Nr. und Kunden-Name ausgeixt):



Sehr geehrte Damen und Herren,

wir betreuen die Domain von Herrn XXX und wurden von der temporären Sperrung der Domain zum Paket mit der Nr. XXX in Kenntnis gesetzt. Scheinbar soll die Datei

xxx.php

für die Ausnutzung schädlicher Software verwendet worden sein.

Nach eingehender Untersuchung unsererseits wurde diese Datei seit dem Hochladen (11.04.2008) NICHT VERÄNDERT. Das Script loggt jegliche Absendung selbst und auch hier ist kein Missbrauch des Scripts feststellbar. Auch befindet sich auf dem gesamten Webspace keine weitere schädliche Datei, noch wurden bereits vorhandene Dateien verändert!

Deshalb sollten Sie Ihren haltlosen Vorwurf detailliert belegen und nicht kurzerhand und voreilig die Domain sperren. Die Aussage "wir wurden darüber in Kenntnis gesetzt, dass Ihr Content für die Verbreitung schädlicher Software ausgenutzt wird" scheint uns doch recht dürftig.

Die Untersuchung des Webspaces durch unser Haus haben wir nach strengen computerforensischen Vorgaben dokumentiert. Ihrerseits liegen jedoch überhaupt keine Belege für einen Hack vor bzw. sie haben diese nicht zur Verfügung gestellt.

Sollte die Domain nicht innerhalb kurzer Zeit (24 Stunden ab Absendung dieser eMail) wieder freigeschaltet sein, werde ich Herrn XXX den Wechsel zu einem anderem Webhoster empfehlen. In diesem Falle wäre dies eine ausserordentliche Kündigung ohne jegliche Fristen.

Ich bitte Sie, Herrn XXXX umgehend über Ihre weitere Vorgehensweise zu unterrichten. Herr XXX bekommt diese eMail in Kopie.



Daraufhin erhellte sich das Bild langsam: Unsere PHP-Scripts sind grundsätzlich base64-kodiert, was offensichtlich für Strato gleichbedeutend mit Schadsoftware ist. Denn auf obige Anforderung eines Beweises für den Vorwurf der Verbreitung von schädlicher Software erhielten wir diese (unverschämte) Antwort vom Strato-Abuse-Team (Auszug), welche einer technischen Disqualifizierung gleichkommt. Darüber hinaus wurde nicht einmal realisiert, dass wir nicht der Strato-Kunde sind, sondern in seinem Auftrag handelten:


"Sehr geehrte/r Herr/Frau Murr,

...Wir können Ihr Paket noch nicht entsperren, da unter Ihrem Webspace weiterhin und unverändert Schaddateien vorhanden sind...

Haben Sie sich den Inhalt der Datei angesehen ?


eval (gzinflate(base64_decode(

Bitte informieren Sie sich im Internet über die Funktion eval base64..."


Darauf antworteten wir (Auszug):


"...erstens bin ich nicht Ihr Kunde und es handelt sich nicht um mein eigenes Paket noch um meine Domain, sondern ich betreue lediglich dieses Paket und die Domain von Herrn XXX. Bitte lesen Sie Ihre eMails künftig sorgfältiger!

Zweitens: Offensichtlich müssen SIE sich informieren, was "eval (gzinflate(base64_decode(" bedeutet, denn wir haben das Script selbst programmiert. Keinesfalls handelt es sich hier um einen Schadcode, sondern um eine übliche Form der Programmierung! Das Encoding in base64 ist u.a. auch im eMail-Verkehr eine übliche Form der Übermittlung und kann jederzeit von JEDEM dekodiert werden (base64_decode...).

Gerne helfen wir Ihnen auf die Sprünge (Sie brauchen das Internet nicht zu bemühen, wie Sie uns zynisch vorgeschlagen haben):

eval: wertet die in "code" enthaltene Zeichenkette aus

gzinflat: dekrompimiert eine Zeichenkette, die mit gzindeflate() komprimiert wurde

base64_decode: dekodiert eine Zeichenkette, die mit base64_encode() kodiert wurde

Ferner liegt die Datei auf dem Webspace des Kunden seit dem 11.04.2008 in unveränderter Form, wie Sie aus dem Timestamp unschwer erkennen können (Hashwert stimmt im Übrigen mit dem Original überein). Um so verwunderlicher ist, dass Sie nun nach SIEBEN Jahren auf die Idee kommen, diese Datei enthalte schädlichen Code bzw. werde zur Verbreitung von schädlichen Code ausgenutzt.

Wir fordern Sie daher letztmalig auf, nun endlich den Beweis für Ihren Vorwurf zu erbringen. Bisher blieb es lediglich bei unhaltbaren, unqualifizierten und leeren Behauptungen mit der Folge einer unberechtigten Sperrung der Domain unseres gemeinsamen Kunden..."


Daraufhin ist Strato zurückgerudert und hat im besagten Fall die Entsperrung des Pakets vorgenommen, ohne, dass auch nur eine Datei unsererseits oder von Seiten des Kunden geändert wurde! Auch wurde dem Kunden eine Entschädigung in Form der Gutschrift einer Rechnung zugebilligt (natürlich erst nach mehrmaliger Aufforderung eine Entschädigung zu leisten. Wir dagegen erhielten weder eine Stellungnahme, noch eine Entschuldigung, um nicht zusagen keinerlei Reaktion).

Das hält Strato aber nicht davon ab, so uneinsichtig weiterzumachen, denn es wurde gestern* (07.09.2015) erneut ein Paket eines anderen Kunden mit dem gleichen unhaltbaren Vorwurf gesperrt (wie zuvor in anderen Fällen auch).

Einige unserer Kunden haben sich daraufhin von Strato abgewendet und auf unsere Empfehlung zum Webhoster all-inkl gewechselt.

Wir haben nun rechtliche Schritte gegen Strato eingeleitet, weil wir diese wiederholte , unangemessene Vorgehensweise als Rufschädigung unseres Hauses betrachten und unsere Geduld nun über Gebühr strapaziert wurde (seit Februar 2015 versuchten wir es im Guten).

Kunden, die Programme von uns installiert haben und deren Domains gesperrt werden, raten wir, ebenfalls einen Rechtsanwalt einzuschalten und einen Beweis für die Behauptung der Verbreitung schädlicher Software anzufordern. Wir bitten in diesen Fällen ebenfalls um Nachicht. Denn wir werden ab sofort zu jedem neu auftauchenden Fall gegen Strato in der beschriebenen Weise vorgehen.

Last but least: Diese Verhaltensweise ist einzigartig und uns von keinem anderen Webhoster bekannt. Unsere Scripte sind auf Tausenden von Webseiten im Einsatz (allein der Little Counter auf über 5.000 Domains), ohne dass es je zu solchen bizarren Vorwürfen kam.

Offensichtlich scheint es den Strato-Abuse-Mitarbeitern an Qualifikationen zu fehlen und es ist stark zu vermuten, dass die seit ca. Anfang des Jahres (seitdem treten diese Vorgänge auf) von Strato angewendeten Algorithmen zur Aufdeckung von Schadsoftware mangel- bzw. fehlerhaft sind. Von einem der grössten Webhoster sollte man mehr Professionalität erwarten können. Ziehen Sie Ihre Schlüsse daraus.

*P.S.: Die gestern gesperrte Domain wurde auf unsere Intervention hin heute (08.09.2015) wieder entsperrt. Eine Veränderung der Dateien wurde wie in allen anderen Fällen NICHT vorgenommen.


Einige unserer Scripts werden auch im Downloadbereich von heise.de angeboten. Die Heise-Redaktion haben wir ebenfalls über die dubiosen Strato-Vorgänge unterrichtet. Im Anschluss werden wir ein Einschreiben mit Rückschein für die Geschäftsführung von Strato auf den Weg bringen, denn wir ahnen, dass diese von dieser stümperhaften Praxis keine Kenntnis habe.
Kommentare (10) zu diesem BLOG-Eintrag