Ein kurzer Überblick inkl. Entlastung von 1&1, die völlig richtig gehandelt haben.
Nachdem hier diskutiert wurde, hatte ich nach telefonischer Rücksprache mit 1&1 die Unterlassungserklärung unterzeichnet, der Server wurde im „Rescue-Modus“ wieder hochgefahren, wir konnten die Daten sichern und wieder abschalten.
Max konnte zumindest sehen, dass der Server tatsächlich gehackt worden war, 1&1 hat also komplett richtig gehandelt, indem der Server abgeschaltet wurde. Massig illegales Videozeugs lag auf dem Rechner, welches natürlich sofort der Internet-Polizei übergeben wurde. Zumal niemand hier mit Kingo Kongo und Harry Potterio was anfangen kann, die Filme waren allesamt italienische Versionen.
Was genau passiert war ist schwer zu rekonstruieren, da alle Logfiles gelöscht wurden. Ich vermute als offene Eingangstür ein von mir vor geraumer Zeit für einen gemeinnützigen Zweck installiertes Forum, welches erneut Angriffen ausgesetzt war. Mein Fehler also, da muss man schneller updaten.
Nun steht der Stress bevor einige Domains und Mail-Accounts von Freunden wiederherzustellen. Wir ha’m ja soviel Zeit. Die nächtlichen gestrigen Einbruchsversuche sollten über den Shop laufen. Hat aber glücklicherweise nicht funktioniert.
Falls Max noch technische Details hat, wird er diese sicher in den Kommentaren ergänzen. Mein Wissen ist zu dürftig, um genaueres sagen zu können, aber ich fand es bei den vielen schnellen Vermutungen wichtig zu sagen, dass den Hoster keinerlei Schuld trifft.
01
wäre schön wenn es noch nähere informationen dazu gäbe
Alle Kommentare von Tom
02
Freut mich und meine Lesezeichenleiste auch :).
Grüße
Mario
Alle Kommentare von Mario A.
03
[...] ach telefonischer Rücksprache mit 1&1 die Unterlassungserklärung unterzeichnet [...]
Bedeutet: Wird einer der Server erneut gehackt, zahlt ihr die Strafe?
Alle Kommentare von Ralf
04
Nee, das gilt nur für DEN Server, und der ist vorerst wieder abgeschaltet. Nach dem Telefonat und einigen Kommentaren hier stellte sich heraus, dass diese Absicherung durchaus sinnvoll für den Provider ist. Natürlich sehen die auch, woran es liegt und ob man selbst absichtlich Mist gebaut hat, doch liegt bei einem Root-Server die Verantwortung durchaus beim Betreiber, also bei mir/uns. Einen Weg an die Daten zu kommen ohne die Erklärung zu unterzeichnen gibt es nicht.
Alle Kommentare von Johnny
05
Welche Version des Forums hattest du denn installiert?
Alle Kommentare von Andi
06
Nähere Informationen: viel habe ich auch nicht. Die Dateien lagen allesamt in /var/spool/ - vermutlich war es also kein Forum sondern der Mailserver - ein (sicherlich sehr alter) postfix. Installiert haben sie sich iroffer, damit kann man wohl Dateien per IRC austauschen.
Alle Kommentare von Max
07
Auf Wunsch des Autors dieses Kommentars mussten wir diesen sowie alle anderen Kommentare des Autors löschen.
Alle Kommentare von gelöscht
08
Max,
ein reiner Postfix-Exploit ist eigentlich unmöglich. 2002 gab es mal sudo-Probleme, aber dazu muss ersteinmal code eingeschleußt, und lokal ausgeführt werden können. Das “große” Problem 2003 bestand “nur” in kill und ausnutzen des Port25, also Schaffung einer Art OpenRelay.
Trotzdem ist Postfix natürlich böse[TM].
Alle Kommentare von HagK
09
Bei den Fehlern die in der letzten Zeit beim phpBB vorkamen konnte schlimmstenfalls (hängt von der Version und der Konfiguration des Servers ab) jeder Shell Befehl ausgeführt werden, allerdings nur mit den Rechten des Webservers. Und der sollte normalerweise nicht als root laufen.
MfG ah
Alle Kommentare von Andi
10
naja, aber es gab auch einige phpBB-Exploits, die anschließend Kernel-Exploits nutzten. Sogar als Klick-And-Play. :-)
Also, phpBB nutzen ist mehr so wie sein Root-Paßwort ins Netz stellen. Das würde ich maximal auf nem chroot-apache laufen lassen. Alles andere ist Kopfschuß.
Alle Kommentare von Die Stimme der freien Welt
11
Also, phpBB nutzen ist mehr so wie sein Root-Paßwort ins Netz stellen.
Ähm hast du die Fehler, die mal angesehen? Das hätte jedem von uns passieren können. Wer denkt schon dran das ein einfacher ´ bei PHP schon Zugriff auf das gesammte System auslöst. Zumal der dort verwendetet Code von php.net kam. Wer weiß wie viele andere Forensysteme den gleichen Bug haben und er nur nicht bekannt ist. Bekanntheit hat eben nicht nur Vorteile.
Aber ich bin da sicher auch etwas voreingenommen, schließlich bin ich schon einge Jahre in die phpBB Community involviert.
Alle Kommentare von Andi
12
HagK, wieso ist Postfix böse? Ich bin eigentlich ein großer Freund von Postfix, insbesondere wegen der Sicherheitstruktur und der (im Vergleich zu sendmail geradezu trivialen) Konfiguration.
Ich kann die genauen Ursachen nicht mehr nachvollziehen - der Server ist bereits unten. Meine Vermutung kam lediglich daher, dass sich alle Dateien irgendwo in /var/spool/mail befanden, auf den ja eigentlich nur postfix Zugriff haben sollte.
Alle Kommentare von Max
13
Gut daß 1&1 abgeklemmt hat, exploitete Rechner gehören vom Netz bevor man beim Kunden nachfragt, nicht danach.
Zu den restlichen Kommentaren: Gibt es wirklich Alternativen zu Postfix (zumal Wietse recht sympathisch ist)? Sendmail als monolithischer root-Prozeß wohl nicht, qmail wird seit Jahren nur noch von Freaks gepatcht (und ich mag djb nicht) und exim kann zwar wahrscheinlich alles aber niemand weiß wie genau ;-)
Und zum phpBB: ich habe sehr gute Erfahrung mit punbb gemacht - schlank, gut erweiterbar und bisher zumindest öffentlich wenig angreifbar.
Alle Kommentare von el*Loco
14
@el*Loco (13): Ich finde Exim gar nicht so schlimm. Die Dokumentation ist sehr gut und (vielleicht sogar zu) ausführlich. Die Komplexität der Konfiguration von Exim ist, rein subjektiv, aber durchaus größer, als z. B. die Konfiguration von Postfix.
Und als Alternative zum phpBB kann ich das FUDForum2 empfehlen. Einfach zu installieren und der Entwickler* hat sich Gedanken zum Thema Sicherheit gemacht.
*: Ilia ist übrigens auch der Release-Manager von PHP 5.1 und generell ziemlich in dem Thema Webapp Security bewandert.
Alle Kommentare von Jochen
15
Hi Max,
Postfix hat den Vor- und Nachteil, Modular aufgebaut zu sein. Das _kann_ zu Performanceproblemen führen. Schwerer wiegt jedoch, die “einfache Konfiguration” - sprich: Postfix kümmert sich um das, was Du wahrscheinlich zu konfigurieren gemeint hast. Das geht in tausend Fällen gut, aber in der 1001ten Konfiguration fällt es dir auf die Füße, und man muss Würgarrounds erfinden. Ich weiß, Software soll einfach zu bedienen sein, aber wnn man nicht weiß, wie die Software Regeln abarbeitet, warum sie sich so oder so verhält, ist man angreifbar. Es wird jemanden geben, der weiß es und kennt die Schwachstellen.
Also eher, die Mehrheit die Postfix nutzt, weiß nicht, wie ein MTA arbeitet, erst recht nicht, wie Postfix mit seinen vielen SubDaemons arbeitet. Daher ist Postfix böse[TM].
Das alles bedeutet natürlich nicht, dass es nicht nutzbar wäre. Aber ich durfte mich schon manches mal über diesen MTA ärgern. Und sendmail: leider beim Entwicklungsstand 2000 stehengeblieben. aber es ibt ja z.B. auch QMail oder EXIM. Und nein - ihr werdet sicherlich nicht solche Konfigurationen haben, dass ihr die Features benötigt. Wenn ich mir hier jedoch die Load des Newsletterversands angucke, diesen Overhead, den qmgr verursacht, da kocht es jedesmal in mir. Rechenleistung ist nun einmal kostbar.
Alle Kommentare von HagK
16
Wo der Angreifer seine Malware ablegt deutet nicht umbedingt auf die genutzte Lücke hin. Mittlerweile sind es meistens nicht gepatchte PHP-Applikationen, oder solche mit entsprechender Vorgeschichte, über die eingedrungen wird. Postfix, sofern immer über $Distributions-Tool aktuell gehalten, halte ich mal als unwarscheinliches Einfallstor.
Die Frage die mich interessieren würde: Was für eine Distribution und welche Kernelversion habt ihr auf dem Server eingesetzt?
Alle Kommentare von one-of-foo