16

spreeblick.de steht wieder

Ein kurzer Überblick inkl. Entlastung von 1&1, die völlig richtig gehandelt haben.

Nachdem hier diskutiert wurde, hatte ich nach telefonischer Rücksprache mit 1&1 die Unterlassungserklärung unterzeichnet, der Server wurde im „Rescue-Modus“ wieder hochgefahren, wir konnten die Daten sichern und wieder abschalten.

Max konnte zumindest sehen, dass der Server tatsächlich gehackt worden war, 1&1 hat also komplett richtig gehandelt, indem der Server abgeschaltet wurde. Massig illegales Videozeugs lag auf dem Rechner, welches natürlich sofort der Internet-Polizei übergeben wurde. Zumal niemand hier mit Kingo Kongo und Harry Potterio was anfangen kann, die Filme waren allesamt italienische Versionen.

Was genau passiert war ist schwer zu rekonstruieren, da alle Logfiles gelöscht wurden. Ich vermute als offene Eingangstür ein von mir vor geraumer Zeit für einen gemeinnützigen Zweck installiertes Forum, welches erneut Angriffen ausgesetzt war. Mein Fehler also, da muss man schneller updaten.

Nun steht der Stress bevor einige Domains und Mail-Accounts von Freunden wiederherzustellen. Wir ha’m ja soviel Zeit. Die nächtlichen gestrigen Einbruchsversuche sollten über den Shop laufen. Hat aber glücklicherweise nicht funktioniert.

Falls Max noch technische Details hat, wird er diese sicher in den Kommentaren ergänzen. Mein Wissen ist zu dürftig, um genaueres sagen zu können, aber ich fand es bei den vielen schnellen Vermutungen wichtig zu sagen, dass den Hoster keinerlei Schuld trifft.

16 Kommentare

  1. 01

    wäre schön wenn es noch nähere informationen dazu gäbe

  2. 02

    Freut mich und meine Lesezeichenleiste auch :).

    Grüße
    Mario

  3. 03

    […] ach telefonischer Rücksprache mit 1&1 die Unterlassungserklärung unterzeichnet […]

    Bedeutet: Wird einer der Server erneut gehackt, zahlt ihr die Strafe?

  4. 04

    Nee, das gilt nur für DEN Server, und der ist vorerst wieder abgeschaltet. Nach dem Telefonat und einigen Kommentaren hier stellte sich heraus, dass diese Absicherung durchaus sinnvoll für den Provider ist. Natürlich sehen die auch, woran es liegt und ob man selbst absichtlich Mist gebaut hat, doch liegt bei einem Root-Server die Verantwortung durchaus beim Betreiber, also bei mir/uns. Einen Weg an die Daten zu kommen ohne die Erklärung zu unterzeichnen gibt es nicht.

  5. 05
    Andi

    Welche Version des Forums hattest du denn installiert?

  6. 06

    Nähere Informationen: viel habe ich auch nicht. Die Dateien lagen allesamt in /var/spool/ – vermutlich war es also kein Forum sondern der Mailserver – ein (sicherlich sehr alter) postfix. Installiert haben sie sich iroffer, damit kann man wohl Dateien per IRC austauschen.

  7. 07
    Yves

    Wir haben 2 Colocations bei unterschiedlichen RZ-Betreibern“¦ und einer davon filtert schon auf Routerebene den Port 6667, weil über den der meiste Unfug aus dem IRC kommt.
    Folglich: In einem RZ ist Ruhe“¦ im anderen erfreut sich das IDS/IPS über zahlreiche, halbherzige Exploit-Versuche“¦ wobei selbst bei absolut gewissenhaften Maintaining es hier und da sehr anstrengend wird.

  8. 08

    Max,
    ein reiner Postfix-Exploit ist eigentlich unmöglich. 2002 gab es mal sudo-Probleme, aber dazu muss ersteinmal code eingeschleußt, und lokal ausgeführt werden können. Das „große“ Problem 2003 bestand „nur“ in kill und ausnutzen des Port25, also Schaffung einer Art OpenRelay.
    Trotzdem ist Postfix natürlich böse[TM].

  9. 09
    Andi

    Bei den Fehlern die in der letzten Zeit beim phpBB vorkamen konnte schlimmstenfalls (hängt von der Version und der Konfiguration des Servers ab) jeder Shell Befehl ausgeführt werden, allerdings nur mit den Rechten des Webservers. Und der sollte normalerweise nicht als root laufen.

    MfG ah

  10. 10

    naja, aber es gab auch einige phpBB-Exploits, die anschließend Kernel-Exploits nutzten. Sogar als Klick-And-Play. :-)

    Also, phpBB nutzen ist mehr so wie sein Root-Paßwort ins Netz stellen. Das würde ich maximal auf nem chroot-apache laufen lassen. Alles andere ist Kopfschuß.

  11. 11
    Andi

    Also, phpBB nutzen ist mehr so wie sein Root-Paßwort ins Netz stellen.
    Ähm hast du die Fehler, die mal angesehen? Das hätte jedem von uns passieren können. Wer denkt schon dran das ein einfacher ´ bei PHP schon Zugriff auf das gesammte System auslöst. Zumal der dort verwendetet Code von php.net kam. Wer weiß wie viele andere Forensysteme den gleichen Bug haben und er nur nicht bekannt ist. Bekanntheit hat eben nicht nur Vorteile.
    Aber ich bin da sicher auch etwas voreingenommen, schließlich bin ich schon einge Jahre in die phpBB Community involviert.

  12. 12

    HagK, wieso ist Postfix böse? Ich bin eigentlich ein großer Freund von Postfix, insbesondere wegen der Sicherheitstruktur und der (im Vergleich zu sendmail geradezu trivialen) Konfiguration.

    Ich kann die genauen Ursachen nicht mehr nachvollziehen – der Server ist bereits unten. Meine Vermutung kam lediglich daher, dass sich alle Dateien irgendwo in /var/spool/mail befanden, auf den ja eigentlich nur postfix Zugriff haben sollte.

  13. 13

    Gut daß 1&1 abgeklemmt hat, exploitete Rechner gehören vom Netz bevor man beim Kunden nachfragt, nicht danach.

    Zu den restlichen Kommentaren: Gibt es wirklich Alternativen zu Postfix (zumal Wietse recht sympathisch ist)? Sendmail als monolithischer root-Prozeß wohl nicht, qmail wird seit Jahren nur noch von Freaks gepatcht (und ich mag djb nicht) und exim kann zwar wahrscheinlich alles aber niemand weiß wie genau ;-)

    Und zum phpBB: ich habe sehr gute Erfahrung mit punbb gemacht – schlank, gut erweiterbar und bisher zumindest öffentlich wenig angreifbar.

  14. 14
    Jochen

    @13: Ich finde Exim gar nicht so schlimm. Die Dokumentation ist sehr gut und (vielleicht sogar zu) ausführlich. Die Komplexität der Konfiguration von Exim ist, rein subjektiv, aber durchaus größer, als z. B. die Konfiguration von Postfix.

    Und als Alternative zum phpBB kann ich das FUDForum2 empfehlen. Einfach zu installieren und der Entwickler* hat sich Gedanken zum Thema Sicherheit gemacht.

    *: Ilia ist übrigens auch der Release-Manager von PHP 5.1 und generell ziemlich in dem Thema Webapp Security bewandert.

  15. 15

    Hi Max,
    Postfix hat den Vor- und Nachteil, Modular aufgebaut zu sein. Das _kann_ zu Performanceproblemen führen. Schwerer wiegt jedoch, die „einfache Konfiguration“ – sprich: Postfix kümmert sich um das, was Du wahrscheinlich zu konfigurieren gemeint hast. Das geht in tausend Fällen gut, aber in der 1001ten Konfiguration fällt es dir auf die Füße, und man muss Würgarrounds erfinden. Ich weiß, Software soll einfach zu bedienen sein, aber wnn man nicht weiß, wie die Software Regeln abarbeitet, warum sie sich so oder so verhält, ist man angreifbar. Es wird jemanden geben, der weiß es und kennt die Schwachstellen.
    Also eher, die Mehrheit die Postfix nutzt, weiß nicht, wie ein MTA arbeitet, erst recht nicht, wie Postfix mit seinen vielen SubDaemons arbeitet. Daher ist Postfix böse[TM].
    Das alles bedeutet natürlich nicht, dass es nicht nutzbar wäre. Aber ich durfte mich schon manches mal über diesen MTA ärgern. Und sendmail: leider beim Entwicklungsstand 2000 stehengeblieben. aber es ibt ja z.B. auch QMail oder EXIM. Und nein – ihr werdet sicherlich nicht solche Konfigurationen haben, dass ihr die Features benötigt. Wenn ich mir hier jedoch die Load des Newsletterversands angucke, diesen Overhead, den qmgr verursacht, da kocht es jedesmal in mir. Rechenleistung ist nun einmal kostbar.

  16. 16
    one-of-foo

    Wo der Angreifer seine Malware ablegt deutet nicht umbedingt auf die genutzte Lücke hin. Mittlerweile sind es meistens nicht gepatchte PHP-Applikationen, oder solche mit entsprechender Vorgeschichte, über die eingedrungen wird. Postfix, sofern immer über $Distributions-Tool aktuell gehalten, halte ich mal als unwarscheinliches Einfallstor.

    Die Frage die mich interessieren würde: Was für eine Distribution und welche Kernelversion habt ihr auf dem Server eingesetzt?