Was ist ein Bulletproof Hoster?

Ein Bulletproof Hoster ist ein Hosting-Anbieter, der Abuse-Meldungen systematisch ignoriert oder nicht bearbeitet. Das Geschäftsmodell: Kunden zahlen einen Aufpreis dafür, dass der Hoster auf Beschwerden wegen Spam, Scanning oder Malware nicht reagiert. Durch Jurisdiktion-Hopping und verschachtelte Firmenstrukturen sind solche Anbieter schwer zu belangen.

Kann ich sehen, wer auf meinen SSH-Port zugreift?

Ja. Mit endlessh-go und einem Prometheus/Grafana-Stack bekommst du detaillierte Metriken: IPs, Herkunftsländer, Verbindungsdauer und Verbindungsanzahl. Mit nsenter kannst du zusätzlich den aktuellen TCP-Verbindungsstatus direkt im Container-Netzwerk abfragen — weil Docker eigene Netzwerk-Namespaces nutzt und ss auf dem Host keine Container-Verbindungen zeigt.

Warum kommen SSH-Angriffe oft gleichzeitig aus vielen IPs?

Das ist ein Zeichen für koordinierte Botnet-Scans. Die IPs gehören zur gleichen Infrastruktur und starten synchron, um möglichst viele Ziele in kurzer Zeit zu scannen. Bei meiner Analyse kamen 76% der aktiven IPs aus einem einzigen /24-Subnetz eines Bulletproof Hosters.

Hält ein SSH-Tarpit Angreifer wirklich auf?

Kurzfristig ja, für die Dauer der Verbindung. Botnets mit tausenden IPs merken den Unterschied kaum — sie haben Inaktivitäts-Timeouts und ziehen zur nächsten IP weiter. Der eigentliche Wert eines Tarpits ist das Monitoring: Du siehst live, wer anklopft, und kannst Muster erkennen.

Kann ich eine Shodan-Abfrage ohne API-Key machen?

Ja, Shodan bietet die InternetDB API kostenlos und ohne Registrierung an. Ein einfacher GET-Request mit der IP-Adresse liefert offene Ports, Hostnamen, Tags und bekannte CVEs zurück. Endlessh Fisher hat diese Funktion direkt eingebaut.

15. März 2026 linux

SSH-Angreifer analysiert: 69 Bots, ein Bulletproof Hoster

Wolf untersucht SSH-Angreifer-Daten mit Lupe — IP-Analyse, Whois und Shodan

69 SSH-Bots gleichzeitig — wer steckt dahinter?

Morgens ins Endlessh Fisher schauen, 69 aktive Fische im Teich — und sich fragen: Wer sind die eigentlich? Ein paar Whois- und Shodan-Abfragen später hatte ich eine Antwort. 76% der IPs gehörten zu einer einzigen Firma, die zumindest keine erkennbaren Maßnahmen dagegen ergreift, dass ihre Infrastruktur für Massen-Scans genutzt wird.

DarkWolfCave.de

Was ein Tarpit sieht

Wenn du Endlessh auf deinen Servern betreibst, siehst du im Grafana-Dashboard — oder im Endlessh Fisher Angelteich — normalerweise 2–5 gleichzeitig gefangene Bots. Das ist das Grundrauschen: SSH-Angreifer, die auf Port 22 klopfen, kurz in der Banner-Phase hängen und nach 30–60 Sekunden weiterziehen.

Dann passierte etwas Unerwartetes. Über ein Wochenende schnellten die Zahlen auf allen drei Servern gleichzeitig hoch:

Server A: 69 aktive Verbindungen
Server B: 64 aktive Verbindungen
Server C: 35 aktive Verbindungen

138 Verbindungen auf drei Servern. Der Container verbrauchte dabei 0,59% CPU. Endlessh macht genau das, wofür es gebaut ist — Verbindungen halten, ohne Ressourcen zu fressen. Die Bots verbrauchen ihre eigenen.

Das “Bytes Wasted”-Panel im Grafana-Dashboard zeigte einen klaren Sprung. Die durchschnittliche Trap-Dauer lag bei 8,7 Minuten. Nicht schlecht für ein Projekt mit ~600 Zeilen Code.

ℹ️ Technischer Hinweis: Die Verbindungszahlen kamen über nsenter. Docker nutzt eigene Netzwerk-Namespaces, deshalb zeigt ss auf dem Host keine Container-Verbindungen. Das distroless Endlessh-Image hat kein ss installiert. Der funktionierende Befehl:
sudo nsenter -t $(docker inspect -f '{{.State.Pid}}' endlessh) -n ss -tn sport = :2222

Wer steckt hinter den Angreifern?

Beim Nachschlagen der aktiven IPs wird das Bild klarer. 21 habe ich untersucht — Whois, Shodan, Reverse-DNS. Drei Gruppen zeichneten sich ab.

Gruppe 1: DMZHOST / TECHOFF SRV LIMITED

16 von 21 IPs — das sind 76% — gehörten zum selben Block. Whois lieferte folgendes:

Registrant: TECHOFF SRV LIMITED Adresse: 35 Firs Avenue, London N11 3NE Abuse-Kontakt: eine Gmail-Adresse

Ein britisches Unternehmen, Abuse-Kontakt bei Gmail. Wer im Hosting-Geschäft tätig ist und Missbrauchsmeldungen über eine Gmail-Adresse abwickelt, lässt zumindest Fragen offen, wie ernsthaft solche Meldungen bearbeitet werden.

Die Subnetze verteilen sich auf drei Regionen:

2.57.122.0/24 — Niederlande
45.148.10.0/24 — Andorra (AD)
93.123.109.0/24 — Andorra (AD)

Andorra als Hosting-Standort ist nicht zufällig. Andorra ist kein EU-Mitglied und hat eigene Datenschutzregelungen. Für Behörden aus Deutschland oder den Niederlanden ist das schwerer zu erreichen als ein Rechenzentrum in Frankfurt.

Was Shodan über diese IPs sagt: Keine Dienste, keine Hostnamen, keine Reverse-DNS-Einträge. Kompromittierte Server mit ursprünglich anderem Zweck sehen normalerweise anders aus. Das Bild deutet auf dedizierte Scan-Infrastruktur hin.

Auffällig war außerdem: Alle 16 IPs starteten annähernd gleichzeitig, blieben für einen definierten Zeitraum verbunden und hörten wieder gleichzeitig auf. Ein zufälliges Botnet aus infizierten Heimrechnern verhält sich anders — dieses Muster deutet auf koordinierte, geplante Infrastruktur hin.

Gruppe 2: Host Baltic

Zwei IPs aus demselben /24-Subnetz — 91.224.92.22 und 91.224.92.50 — vom Hosting-Anbieter Host Baltic aus Kaunas, Litauen. Shodan zeigt für beide: OpenSSH 9.2 auf Debian. Reverse-DNS: srv-91-224-92-22.minehost.eu.

Das deutet auf gemietete oder kompromittierte VPS-Server hin. Im Gegensatz zur ersten Gruppe sind das Server mit echten Diensten, die für diese Zwecke gekapert oder gezielt angemietet wurden. Minehost.eu ist ein günstiger VPS-Anbieter — günstige Server, kaum Überprüfung beim Kauf.

Gruppe 3: Einzelne kompromittierte Server

Die restlichen drei IPs hatten eine andere Qualität. Keine dedizierte Scan-Infrastruktur, sondern reguläre Server mit anderen Aufgaben, die irgendwann zusätzlich für Scans genutzt wurden:

219.151.191.44 — China Telecom, Chongqing Keine Shodan-Einträge, keine Dienste. Typischer VPS in einem chinesischen Telekommunikations-Netzwerk.

157.10.52.157 — Vietnam, thichlamtruyen.vn Shodan zeigt PostgreSQL-Port offen (5432), 15 bekannte CVEs. Ein vietnamesischer Webserver, der irgendwann kompromittiert wurde und jetzt nebenbei SSH-Scanner läuft. Der Betreiber weiß das wahrscheinlich nicht.

41.93.28.4 — Tansania, mail.ternet.or.tz Reverse-DNS zeigt einen Mail-Server einer Organisation in Tansania (.or.tz steht für Non-Profit/NGO). Shodan: RabbitMQ-Port offen, 12 bekannte CVEs, darunter ältere Versionen diverser Dienste. Ein Server, der offenbar seit Längerem nicht gepatcht wurde.

114.66.38.97 — China, Yunlin Network OpenSSH 7.4 — veröffentlicht 2016, mit über 20 bekannten CVEs. FTP-Port offen. Ein klassischer “Never touch a running system”-Server.

💡 Shodan ohne Account: Die InternetDB API ist kostenlos und ohne Registrierung nutzbar: curl https://internetdb.shodan.io/157.10.52.157 liefert offene Ports, Hostnamen, Tags und bekannte CVEs für jede öffentliche IP. Endlessh Fisher hat diese Funktion direkt eingebaut.

Bulletproof Hoster: Das Geschäftsmodell

Bulletproof Hoster sind Hosting-Anbieter, die absichtlich Abuse-Meldungen ignorieren und ihren Kunden Schutz vor Sperrungen verkaufen — unabhängig davon, wofür die Server genutzt werden. Kunden zahlen einen Aufpreis dafür, dass der Hoster Beschwerden wegen Spam, Scanning oder Malware nicht bearbeitet.

TECHOFF SRV LIMITED passt in dieses Muster: Die Nutzung der Infrastruktur für koordinierte Massen-Scans lief offenbar ohne erkennbare Reaktion des Anbieters ab — anders als bei regulären Hostern, die bei solchem Missbrauch Kunden sperren.

Warum ist das so schwer zu unterbinden?

Jurisdiktion-Hopping: TECHOFF SRV LIMITED ist britisch registriert, betreibt Server in den Niederlanden und Andorra. Eine Behörde in Deutschland müsste also mit britischen, niederländischen und andorranischen Stellen koordinieren — für 768 IP-Adressen, die für gelegentliches Port-Scanning genutzt werden. Das passiert nicht.

IP-Verbrennung als Kalkulation: Drei /24-Blöcke bedeuten 768 IP-Adressen. Auf dem IPv4-Sekundärmarkt kosten /24-Blöcke Anfang 2026 zwischen 35 und 50 USD pro Adresse — der Netzwerkblock hat damit einen Marktwert von etwa 27.000–38.000 USD. Die IPs werden genutzt, bis sie auf zu vielen Blocklisten landen — dann werden neue gekauft.

Kein echter Druck über Abuse-Kanäle: Der einzige Abuse-Kontakt ist eine Gmail-Adresse — kein offizieller Kanal. Meldungen werden höchstwahrscheinlich ins Leere laufen.

Das bekannteste Beispiel aus der Geschichte: Der CyberBunker in Traben-Trarbach — ein ehemaliger NATO-Bunker, vom LG Trier 2021 verurteilter Bulletproof Hoster, der Darknet-Marktplätze und Botnet-Infrastruktur beherbergte. Das Prinzip hinter solchen Anbietern — Jurisdiktion-Hopping, fehlende Abuse-Reaktion, IP-Verbrennung — findet sich in ähnlicher Form bei vielen Hostern in diesem Segment.

VIP Support

Du wirst hier einen groben Überblick finden.
Allerdings biete ich dir auch noch etwas mehr Support an:

Du benötigst persönlichen Support
Du möchtest von Beginn an Unterstützung bei deinem Projekt
Du möchtest ein hier vorgestelltes Plugin durch mich installieren und einrichten lassen
Du würdest gerne ein von mir erstelltes Script etwas mehr an deine Bedürfnisse anpassen

Für diese Punkte und noch einiges mehr habe ich einen limitierten VIP-Tarif eingerichtet.

VIP-Patreon Tarif Discord kontaktieren

Falls der Tarif gerade nicht verfügbar ist, kontaktiere mich auf Discord!

Das Tarpit-Paradox

Endlessh hält Bots auf — aber wie wirksam ist das wirklich?

Die durchschnittliche Trap-Dauer bei meinen Servern lag bei 8,7 Minuten statt der üblichen 30–60 Sekunden. Für ein einzelnes Botnet mit tausenden IPs fällt das kaum ins Gewicht. Die Verbindungen aus dem TECHOFF-Netz liefen koordiniert über 16 IPs gleichzeitig. Ob jede davon 8 Minuten statt einer Minute in der Verbindung hängt, ändert an der Gesamtstatistik eines Scans über Millionen von Servern wenig.

Das Tarpit funktioniert wegen der RFC-4253-Konformität: Alle 10 Sekunden kommen echte Daten vom Server — gültig laut Protokoll, aber nie der erwartete Version-String. Der Scanner verhält sich nach Protokoll und wartet brav weiter. Sein Inaktivitäts-Timeout greift nie.

Solange Tarpits selten sind, haben die Betreiber keinen Grund, ihre Scanner anzupassen. Wenn plötzlich 20% aller Server einen Tarpit hätten, würden absolute Timeouts eingebaut — 5 Sekunden ohne SSH-Banner, Verbindung trennen. Das Katz-und-Maus-Spiel wäre vorbei.

Im Moment sind die Mäuse noch nicht so weit. Das ist gut für uns.

Selbst ausprobieren

Wenn du Endlessh noch nicht betreibst, findest du die komplette Einrichtung im Endlessh-Artikel — Docker, Ansible-Role, Telegraf-Integration und Grafana-Dashboard.

Wenn du die IP-Analyse komfortabler haben möchtest: Endlessh Fisher macht genau das, was ich hier manuell gemacht habe — Shodan InternetDB und AbuseIPDB per Klick direkt aus dem Tarpit-Dashboard. Bots werden dabei zu Fischen, klassifiziert nach Verweildauer. Das klingt alberner als es ist: Man schaut tatsächlich täglich nach. Der Quellcode liegt auf GitHub.

Die manuelle Analyse für 21 IPs — Whois, Shodan, Reverse-DNS — dauert etwa eine Stunde. Was dabei rauskommt, ist ein klares Bild davon, wer auf deinen Servern anklopft. Und die Antwort ist meistens nicht “Hacker in einem dunklen Keller”, sondern “automatisierte Infrastruktur einer Firma, die genau weiß was sie tut” — oder “kompromittierter Uni-Server in Tansania, dessen Betreiber es nicht weiß”.

Bücher zur digitalen Forensik und Netzwerksicherheit — plus Hardware-Key für SSH-FIDO2

SSH-Sicherheit & Netzwerk-Forensik

Bild	Produkt	Preis
Produktdaten werden geladen...

Letzte Aktualisierung: - | Infos zu Affiliate Links | Bilder von der Amazon Product Advertising API

🔗 Dieser Artikel baut auf dem Endlessh SSH Tarpit-Artikel auf — dort findest du die Einrichtung des Tarpits sowie die komplette Linux-Security-Artikelserie.

FAQ - Frequently Asked Questions DarkWolfCave

Häufig gestellte Fragen

Was ist ein Bulletproof Hoster?: Ein Bulletproof Hoster ist ein Hosting-Anbieter, der Abuse-Meldungen systematisch ignoriert oder nicht bearbeitet. Das Geschäftsmodell: Kunden zahlen einen Aufpreis dafür, dass der Hoster auf Beschwerden wegen Spam, Scanning oder Malware nicht reagiert. Durch Jurisdiktion-Hopping und verschachtelte Firmenstrukturen sind solche Anbieter schwer zu belangen.
Kann ich sehen, wer auf meinen SSH-Port zugreift?: Ja. Mit endlessh-go und einem Prometheus/Grafana-Stack bekommst du detaillierte Metriken: IPs, Herkunftsländer, Verbindungsdauer und Verbindungsanzahl. Mit nsenter kannst du zusätzlich den aktuellen TCP-Verbindungsstatus direkt im Container-Netzwerk abfragen — weil Docker eigene Netzwerk-Namespaces nutzt und ss auf dem Host keine Container-Verbindungen zeigt.
Warum kommen SSH-Angriffe oft gleichzeitig aus vielen IPs?: Das ist ein Zeichen für koordinierte Botnet-Scans. Die IPs gehören zur gleichen Infrastruktur und starten synchron, um möglichst viele Ziele in kurzer Zeit zu scannen. Bei meiner Analyse kamen 76% der aktiven IPs aus einem einzigen /24-Subnetz eines Bulletproof Hosters.
Hält ein SSH-Tarpit Angreifer wirklich auf?: Kurzfristig ja, für die Dauer der Verbindung. Botnets mit tausenden IPs merken den Unterschied kaum — sie haben Inaktivitäts-Timeouts und ziehen zur nächsten IP weiter. Der eigentliche Wert eines Tarpits ist das Monitoring: Du siehst live, wer anklopft, und kannst Muster erkennen.
Kann ich eine Shodan-Abfrage ohne API-Key machen?: Ja, Shodan bietet die InternetDB API kostenlos und ohne Registrierung an. Ein einfacher GET-Request mit der IP-Adresse liefert offene Ports, Hostnamen, Tags und bekannte CVEs zurück. Endlessh Fisher hat diese Funktion direkt eingebaut.

Peter

Tech-Enthusiast seit dem C64

Seit den 80ern mit Computern unterwegs - vom C64 bis zum Raspberry Pi. Hier dokumentiere ich meine IT-Projekte, damit du (und ich) nicht immer wieder bei Null anfangen müssen.

Docker Raspberry Pi Python Linux

Mehr über mich

War dieser Artikel hilfreich?

Kommentare

Kommentare werden geladen...