• Offizieller Beitrag

    Leider mußte ich den Server, auf dem das Forum läuft, komplett neu aufsetzen. Es hatten sich Hacker :holz: Zugriff verschafft und benutzten den Server als Spamschleuder.

    Ein kleiner dringlicher Hinweis des Hosters zwang mich zu diesem Schritt.

    Dank des MySQLDumper war das einspielen der Datenbank (1,62 Millionen Datensätze) diesmal in 1 Stunde erledigt.

    Nun geht aber die Suche nach der Sicherheitslücke ?( bzw. die weitere Abschottung des Servers los. Die Täter können aber auch über den Forumfan eingedrungen sein, deshalb bleibt der aktuell offline.

    Linux - Gurus dürfen sich gerne melden.

    PS: die aktuellen Sicherheitsupdates vom Board und Server (Suse, Apache, MySQL) sind eingespielt.

  • Boah, und ich hatte gestern mich total gewundert das es das "Kontromisslos" nicht gab, niemals existierte...!

    Also ich bin kein Linux Guru das war glaub ich Byte.

    Sirius:-)):-))

    Ja, ich habe auch Hobbys

  • Die Plesk-Seite hatte ich heute morgen noch gesehen. Jetzt funktioniert es aber auch hier wieder richtig mit dem IE 7.

    Vielleicht noch was olles im Cache drin? :neu:

    Von Plesk sehe ich lediglich noch das FavIcon oben in der Adresszeile. Die Hauptseite https://www.kontromisslos.de/www.kontromisslos.de hat dagegen das alte Kontro-Icon... bis zum automatischen Wechsel zum Portal halt...

    _________________________________________

  • Also über den Seamonkey komme ich auch ohne Probleme hier direkt ins Forum.

    Wie die Hacker hier reingekommen sind, kann man ehrlich nur erraten: Das kann von Bufferoverflow bis DDos-Attacke bis Virus / Trojaner Zugriff auf bestimmte Ports bis Sicherheitslücke bis sonstwas reichen.

    Eben wie schon erwähnt alles an Security-Patches aufspielen und abwarten, ob noch Merkwürdigkeiten auftauchen.

    Und hoffen, das sich die Cracker kein Backdoor mit eigenem Password angelegt haben, denn darüber wäre noch, falls sie sich in Systemdateien gehackt haben, ein Zugriff auf Root möglich.

    • Offizieller Beitrag

    Hi Ahas,

    also ich gehe davon aus, dass die Hacker über das CMS vom Forumfan auf den Server gekommen sind. Es wurde offensichtlich ein Mailserver installiert um Spammails zu versenden.


    Da der Server komplett neu installiert wurde, das RootPW neu ist, dürfte nichts an verdächtigen Dateien mehr vorhanden sein. Die aktuellen Updates von Suse hatte ich etwa zwei Wochen nicht mehr im Rhytmus.

    Heute früh hatte ich die aktuellen noch mal eingespielt, aber jetzt gab es schon wieder ein neues. Das ist schon bescheiden......

  • Zitat

    Zitat von Robert

    Nur das mit den DNS Eintrag stimmt irgendwie noch was nicht,


    Zitat

    DNS

    Übersetzen der IP-Adresse(n) einer Domain oder
    eines Rechners im WAN oder LAN,
    Finden des Hostnames für eine IP-Adresse

    Finden des nächsten Postverteilers u. a.

    http://de.wikipedia.org/wiki/Domain-Name-System

    Da das DNS auch mit Finden, und damit auch der Chance des Manipulierens und Komprimentierens, eines Postverteilers zu tun hat, sehe ich den Angriff mal in dieser Richtung: dem DNS

    Auf Wiki mal Punkt 7 lesen:

    7 DNS-Security

    * 7.1 Angriffe
    o 7.1.1 DNS-Spoofing
    o 7.1.2 Cache Poisoning
    o 7.1.3 DNS-Amplification-Angriff
    # 7.2 Spamabwehr

  • Und hier auch mal lesen, zusätzlich steht das hier auch mit den Backdoors, was ich schon erwähnte:

    Zitat

    Denial of Service
    aus Wikipedia, der freien Enzyklopädie


    Als Denial of Service (DoS, etwa Dienstverweigerung) bezeichnet man einen Angriff auf einen Host (Server) mit dem Ziel, einen oder mehrere seiner Dienste arbeitsunfähig zu machen. In der Regel geschieht dies durch Überlastung. Erfolgt der Angriff koordiniert von einer größeren Anzahl anderer Systeme aus, so spricht man von Verteilte Dienstblockade bzw. DDoS (Distributed Denial of Service). Normalerweise werden solche Angriffe nicht per Hand, sondern mit Backdoor-Programmen oder Ähnlichem durchgeführt, welche sich von alleine auf anderen Rechnern im Netzwerk verbreiten und dadurch dem Angreifer weitere Wirte zum Ausführen seiner Angriffe bringen.

    Weiter auf: http://de.wikipedia.org/wiki/Denial_of_Service

    • Offizieller Beitrag

    Das mit dem DNS Eintrag hat sich geklärt.

    Ich hatte vor der Serverneuinstallation noch eine Änderung der Servergrunddomain durchführen lassen. Vom Forumfan zum Kontromisslos und die DNS Einträge dauern eben so etwa 24h Weltweit.

    Jetzt läuft wie gesagt ein neu installierter Server....und der muß nun nur immer entsprechend abgesichert sein.....

  • Nun, Windows kann man an sich bügeln, das Ganze ist ein riesiger Bug und Security-Leak.

    Und bei Linux an sich ist es so, das durch die weltweite Community Leaks, wenn sie entdeckt werden, binnen kurzer Zeit gepatched werden können, da Patches sehr schnell bereit gestellt werden.

    Bei Windows ist es ja allseits bekannt, das bei deren Systemen die Bugs und damit Leaks in die Zigtausende gehen. Und Fixes bezahlst Du entweder lausig hoch in der Beratung bei der Microsoftschen Supportline oder Du wartest, bis mal irgendwann ein Service Pack rauskommt, was zudem wieder mit Bugs und damit Leaks verseucht ist,:)