Oje, na dann drück ich ma ganz FESTE!

Ich frag mich nur, was haben die Hacker davon??? Einfach Spass an der Freude???Versteh einer die Menschheit...

ist das gehackt denn sicher oder nur eine Vermutung? Falls ja sollten wohl Logfiles durchgesehen werden um den Angriffsvektor zu rekonstruieren. Was nützt es denn ein identisches System wieder aufzusetzen mit den gleichen Lücken

Falls es ein Angriff war sollten Beweise gesichert werden (die sonst mit einem Reset verloren gehen würden), der Angriff nachvollzogen werden und die fehlerhaften Softwarepakete ersetzt werden. z.B. ist der verwendete FTP-Server veraltet und es gibt z.B. in der aktuell eingesetzte Version Sicherheitslücken. z.B. http://secunia.com/advisories/33842/

Zusätzlich sollte vielleicht darüber nachgedacht werden, die Serverkonfiguration sicherer zu gestalten. Root-Server sind in ihrer Grundkonfiguration selten sicher und wenn mehrere unterschiedliche Scripte eingesetzt werden, dann sollte PHP nicht als Modul laufen sondern als CGI (mit su_exec) oder FastCGI mit entsprechenden Quotierungen inkl. Eigentümerrechten (Trennung auf Betriebssystemebene). Ein Angriff sollte normal nicht den gesamten Server kompromittieren können. Dienste gehören in entsprechende chroot-Umgebungen / Sandboxes etc.

Wobei ich in der Mailsache auch mal schauen würde was die entsprechenden Systemdienste denn machen. Neben dem neu aufsetzen bleibt ja immer die Möglichkeit der Fehleranalyse und -behebung. Vielleicht ist ja einfach auch die Mailqueue voll aufgrund irgendeines Spamscriptes ... wäre ja nicht unüblich gehackte Server zum Spamversand / Hosten von Phishing-Seiten zu missbrauchen. Aber kann sich auch um ein schlicht technisches Problem handeln.

Viel Erfolg!!!!
Die Daumen sind gedrückt!!!
LG Nebula

ist ja auch die Frage, welche Daten gegebenenfalls entwendet worden sind. Ist ja doch einiges durchaus etwas sensibel.

Hallo Franz,

Daumen drücken tu ich dir natürlich auch

Das ist natürlich mehr als ärgerlich. Der Angreifer hätte in Ruhe ein komplettes Datenbankdump ziehen können und wäre im Besitz sämtlicher Forendaten. Aber gut, wenn die Lücke bald gestopft wird.

Auch der Kernel sollte natürlich - neben allen Softwarepaketen - regelmäßig upgedated werden

gegebenenfalls sollte bei allen Usern die Vergabe eines neuen Kennworts erzwungen werden. Die Passwörter stehen in der Datenbank zwar nur als md5-Hashes und dank zusätzlichem Salt-Wert sind zumindest Rainbow-Tables nicht zu gebrauchen, ein Brute-Force Angriff auf alle Forenuser ist (mit entsprechend Zeit) unter Umständen schon bei etlichen Accounts erfolgreich.

Ne zu 1000% kann man sicher keinen Server sichern. Aber es gibt doch eine Reihe verschiedener Sicherheitsmaßnahmen, die Angriffe erschweren können oder bei möglichen Angriffen nicht gleich Root-Zugriff erlauben.

Ähm elmy sorry, aber ich hab grad das Gefühl, dass du nur für Verwirrung sorgst. Also bei mir jedenfalls. Kommt mit deinen Fachbegriffen echt nicht klar. Naja und es ist schlimm genug, dass alles zusammengebrochen ist. Und dass Franz nun schon den ganzen Tag dran sitzen muss und so. Aber wir alle wissen, dass nix im Internet komplett sicher ist. Aber irgendwie...naja wie du schreibst das klingt für mich grad sehr nach Panikmache...ich mein, ja kann alles passieren, klar. Aber ich finds grad blöd wenn da die ganz schlimmsten Möglichkeiten hier aufgezählt werden...Noch dazu so, dass es fast keiner kapieren kann...Ist schließlich nicht jeder son Experte wie du...

Zitat von Ragazza;119927

Ähm elmy sorry, aber ich hab grad das Gefühl, dass du nur für Verwirrung sorgst. Also bei mir jedenfalls. Kommt mit deinen Fachbegriffen echt nicht klar. Naja und es ist schlimm genug, dass alles zusammengebrochen ist. Und dass Franz nun schon den ganzen Tag dran sitzen muss und so. Aber wir alle wissen, dass nix im Internet komplett sicher ist. Aber irgendwie...naja wie du schreibst das klingt für mich grad sehr nach Panikmache...ich mein, ja kann alles passieren, klar. Aber ich finds grad blöd wenn da die ganz schlimmsten Möglichkeiten hier aufgezählt werden...Noch dazu so, dass es fast keiner kapieren kann...Ist schließlich nicht jeder son Experte wie du...

die Fachbegriffe waren vorallem an Franz gerichtet, der den Server ja auch administriert. Jemand der noch nie einen Server administriert hat, wird mit den Begriffen natürlich nichts anfangen können.

Im Ernst: wenn ich jeden Begriff von 0 auf erklären müsste, dann würde ich morgen noch hier sitzen und aufgrund der Länge des Textes würde ihn niemand mehr lesen wollen . Das war also mehr eine Nachricht von Serveradmin an Serveradmin, nur eben nicht als PN. Unter diesem Blickwinkel betrachtet erscheint mein Posting vielleicht etwas anders.

Ich möchte keine Panik machen, dennoch halte ich es für wichtig, dass entsprechende Konsequenzen gezogen werden (Franz hat sich ja auch schon Gedanken gemacht). Gerade wenn es sich um einen Fehler im Kernel gehandelt hat ist es doch wahrscheinlich, dass der Angreifer sehr weitreichende Rechte (root) hatte. Dass dies auch Zugriff auf die Forendaten ermöglicht liegt in der Natur der Sache, das habe ich mir nicht ausgesucht.

Offen gestanden habe ich mir überlegt, ob ich überhaupt etwas posten soll. Weder waren meine Postings böse gemeint, noch wollte ich irgendwen in Panik versetzen. Wenn das falsch rüber kam oder so empfunden wurde, tut es mir Leid - denn das war nicht meine Absicht.

Dass Franz bereits viel Zeit investiert habe ich doch in keinster weise in Abrede gestellt.

Wir sollten das sachlich diskutieren

*lach*
ich verstehe so ansatzweise, was elmx da schreibt...
da Franz aber scheinbar auch weiß, um wasses geht,
braucht keine verwirrung zu entstehen...
ist halt fachchinesisch....

drücke die Daumen für den Berg Action....LG.Ganesha

*daumendrückt*

Fuck!!!!
Du machst jetzt sicher das Richtige, Franz!

Good luck.

Gipfel

Hey Franz,

zuerst mal: ich kann mir vorstellen, wie viel Arbeit du in den letzten 24h investiert hast und das verdient natürlich meinen Respekt - ist ja schließlich auch deine Freizeit die da weg geht. In diesem Sinne also dankeschön

Zitat von Franz;119930

Das hier dient zur Info, der Thread war eigentlich nicht für ne weitreichende Diskussion gedacht - weiß Gott hab ich wirklich grad was anderes zu tun

es waren nur gut gemeinte Tipps. Auch musst du ja nicht sofort drauf antworten, ich habe vollstes Verständnis dafür, wenn du dich zuerst um den Server kümmerst

Zitat von Franz;119930

Welche Daten denn?

Tagebücher, SHG-Bereiche etc. Klar, zu 99% hatte daran der Angreifer kein Interesse.

Zitat von Franz;119930

Wir haben weder Bankdaten noch Adressen auf der Datenbank, zudem war es kein gezielter Angriff, aber das hab ich eben schon geschrieben.

klar, die Wahrscheinlichkeit ist gering. Passwörter ändern hätte nur niemand weh getan und man hätte das gute Gefühl, auf jeden Fall wieder sicher zu sein.

Zitat von Franz;119930

Ich weiß nicht, keine 2 % der weltweiten Server haben das Update gemacht, wenn die Lücke grad mal vor Kurzem bekannt wurde:

Quelle: http://news.magnus.de/software/artik…eitsluecke.html vom 17.08.2009, 17:09 Uhr

schon, aber um soetwas erfolgreich auszunutzen müssen verschiedene Faktoren zusammen kommen. Oft ist es z.B. ein Einbruch in den FTP-Server um dann eine Rechteausweitung auf "root" durchzuführen über irgendeinen Kernel-Fehler. Garantiert waren keine 98% der Server von außen direkt zu kompromittieren.

Zitat von Franz;119930

Und da aus dem Log klar zu sehen ist, was nun wirklich abgelaufen ist, da muss man sich wegen keinerlei Daten überhaupt Gedanken machen.

wenn jemand root war, kann er tun und lassen was er will. Logs gibt es da nur sehr begrenzt und auf diese hat er vollen Zugriff und kann diese löschen oder manipulieren. Ganz so ruhig würde ich das nicht sehen, wenn auch aufgrund des massenhaft durchgeführten Angriffs die Wahrscheinlichkeit gering ist, dass da etwas kopiert wurde.

Zitat von Franz;119930

Aber wer sich da zu viele Gedanken macht, der darf nicht im Netz irgendwas von sich preisgeben, am besten gar nicht Online gehen.
Es gäbe aber auch die Möglichkeit und nen bezahlten Serveradmin zu spendieren, kostet ja bloß 1000 Euro im Monat oder so

und wer sich zu wenig macht, wird irgendwann ein böses Erwachen haben ;). Im ernst: natürlich muss ein gehbarer Mittelweg gefunden werden. Mit zunehmender Sicherheit steigt natürlich der Administrationsaufwand, das sind leider oft gegensätzliche Entwurfsprinzipien. Nur darf man sich auch nicht ausruhen und sagen "passiert halt mal", denn solche Dinge geben einem immer die gute Möglichkeit, zukünftig dazu zu lernen. Das übrigens nur als ganz allgemeingültige Aussage, wie sie überall (und auch auf mich) zutrifft.

Zitat von Franz;119930

Schau emla, hätten wir nen managedServer, dann wäre es nix anderes, weil das kaum wer in der Kürze behoben hat.

doch relativ sicher schon. Denn wie gesagt steht und fällt nicht alles mit der alten Kernel Version. Es ist mehr ein Zusammenspiel verschiedener Faktoren und du kannst sicher davon ausgehen, dass Firmen (welche hunderte oder tausende Managedserver betreiben) ganze Teams von Spezialisten beschäftigen und jahrelanges know-how dazu verwenden eine möglichst sichere Serverplattform zu schaffen. Da werden dann normalerweise auch keine Standard-Kernels eingesetzt sondern entsprechend gehärtete Systeme, Einsatz von Erweiterungen wie PaX (http://de.wikipedia.org/wiki/PaX), eventuell Intrusion-Detection-Systeme etc. Auch werden gerne Mailserver etc. auf dedizierte Infrastrukturen ausgelagert ...

Das ist alles know-how, welches nicht einfach auf Root-Servern standardmäßig installiert wird. Das hängt zum einen damit zusammen, dass die Server dadurch durch den Kunden erheblich schwerer zu warten wären und zum anderen, dass im Webhosting Geschäft Know-How alles ist. Ein Image einer Serverkonfiguration gilt dort (zu recht) als Betriebsgeheimnis.

Bitte vesteh mich nicht falsch, ich sage sicher nicht, dass Root-Server die Achse des Bösen sind . Sie haben absolut ihre Berechtigung, erlauben maximale Freiheiten bei sehr überschaubaren Kosten (ManagedServer liegen dann doch in einer etwas anderen Preiskategorie). Mein Posting sollte daher nur ein paar von mir persönliche Ideen liefern, wie man zukünftig die Konfiguration noch sicherer gestalten könnte. Mir ist bewusst, dass dies natürlich immer eine Abwägung ist zwischen "wie viel Zeit kann ich investieren?" und "wie sicher muss es wirklich sein?" ist. In den meisten Fällen würde ich jedoch persönlich von einem Root-Server abraten, da es mit erheblichem Aufwand verbunden ist, diese auf ähnlichen Niveau zu betreiben, wie Hostinganbieter z.B. ihre Shared-Hosting-Server absichern. Du kannst mit relativ hoher Wahrscheinlichkeit davon ausgehen, dass bei diesem Angriff vorallem Rootserver von Strato hochgenommen wurden, aber eher nicht deren Shared-Hosting-Server. Ich kenne Netzwerke mit mehreren tausend (!) ManagedServern, bei denen in vielen Jahren nicht ein einziger Server so gehackt wurde, dass jemand Root-Rechte erlangen konnte. Das sagt ziemlich viel aus.

Auch kann man überlegen, ob nicht ein entsprechend großes Webhostingpaket reicht (da gibt es durchaus sehr leistungsfähige Angebote in denen man ganze CPU-Kerne für sich reserviert bekommt), bei denen der Hoster sowohl Backups erstellt als auch für die Systemsicherheit sorgt. Zugriff erfolgt über eine komfortable Weboberfläche und man kann ruhig schlafen, weil man sicher weiß, dass alles in guten Händen ist. Von der Leistung würde das dicke ausreichen, um ein Forum in dieser Größe zu betreiben. Das nur so als Idee, natürlich hat jede Lösung ihre ganz individuellen Vor- und Nachteile.

Ich hoffe du verstehst mein Posting nicht als Angriff, mir ist bewusst wie viel Zeit und Nerven du jetzt in die Sache investiert hast. Ich hoffe, du hast jetzt auch etwas Zeit dich zu erholen und den Stress etwas zu vergessen

Falls du magst können wir ja gerne mal überlegen, welche Optimierungsmöglichkeiten es denn gäbe. Z.B. würde ich einen anderen FTP-Server empfehlen (was sich auch mit relativ wenig Aufwand realisieren lassen sollte)