Für mehr Hintergrund-Info ist mglw. noch dieses Interview von Interesse:
http://christian-synoradzki.de/zap-hosting-interview/
http://christian-synoradzki.de/zap-hosting-interview/
[Diskussion] Angriff auf zap-hosting.com
- Thread starter TerraX
- Start date
Der Kommentar hier auf heise trifft es genau:
Quelle: http://www.heise.de/security/news/foren/S-Wenn-wir-ehrlich-sind/forum-259761/msg-23763808/read/
Kein Mitleid mit den Kunden.
Quelle: http://www.heise.de/security/news/foren/S-Wenn-wir-ehrlich-sind/forum-259761/msg-23763808/read/
Kein Mitleid mit den Kunden.
Hast Du das Interview gelesen? Da weißt Du, wie es um das Sicherheitsniveau dieses Hosters bestellt war, z.B. "ehrenamtliche Mitarbeiter" (steuerrechtlich sehr fragwürdiges Konstrukt) und ein Firmenchef, der nebenbei studiert und nur 21h die Woche für die Firma aufwendet bei 6500 Kunden und 2 festangestellten Mitarbeitern.
Und minderjährige Supporter ehrenamtlich beschäftigt...
D
Deleted member 11740
Guest
Personenbezogene Daten bei Gameserverprovider XY durch Hacker geleaked. Mich wundert es, dass man sowas nicht öfters liest.
Aus dem Interview:
Das ist der Grund, wie das Ganze überhaupt möglich ist. Ohne die freiwilligen Helfer würde er mit 21 Stunden pro Woche nicht auskommen. Schaut man sich im Netz mal ein bisschen um, dann wird man sehen, dass generell alles, was sich ums Zocken dreht, nur durch freiwillige Helfer möglich ist. Gäbe es die nicht, hätten wir ganz andere Preise und könnten sie nicht mit ausländischen Unternehmen konkurrieren. Ich will die "Ehrenamtlichen" (so ein UNWORT!!!!) nicht abwerten. Das sind die Leute, die überhaupt über die Gameserver Bescheid wissen. Schaut man sich die Sourceserver an, findet man einen Haufen an undokumentierten Kram. Bei den anderen ist es nicht besser. Da muss man schon ein paar Jahre Erfahrung haben, um Probleme zu verstehen und effizient lösen zu können.
Einerseits kann ich die Leute teilweise verstehen, andererseits bin ich froh, dass ich mein Geld auf ehrliche Art und Weise verdiene.
Genau den gleichen Job mache ich für ein anderes Unternehmen. Das hat aber zwei Gründe:
1. Bin ich mit demjenigen gut befreundet
2. Kann ich Nutzen daraus ziehen und mein zusätzlich erlangtes Wissen an unsere Community weitergeben, auch wenn ich mich zur Zeit nicht so regelmäßig wie zuvor beteiligen kann.
Bzgl. der Lücke: Das kann jedem passieren. Wenigstens äußert sich der Provider öffentlich und informiert seine Kunden. Davon könnten sich andere Unternehmen ein Scheibchen abschneiden. Wenn man mal alle kleinen Hoster abgrast, wird man immer irgendeine Lücke finden. Die einen Nutzen Ulrich Block seinen Kernel, der Mittlerweile schon als unsicher gelten sollte, die anderen updaten ihr Plesk und das OS nicht frühzeitig. Andere wiederum lassen ihre TS3-Server, die als beliebtes Angriffsziel dienen, mit root-Rechten laufen. Dann gibt es noch welche, die das Verzeichnis mit den Rechnungen nicht via .htaccess schützen und dann auch noch das Indexing aktiviert haben (Stichwort: wget -R).
In diesem Fall hat er vergessen, ein wichtiges Update für die SolusVM einzuspielen, was am 16.06 verfügbar gewesen ist. Ich meine, wenn eine Existenz doch von etwas abhängt, dann unternimmt man doch alles, um sich selbst zu schützen. Dazu kommt noch die Verantwortung, Personenbezogene Daten vor fremden Zugriff zu schützen.
Aus dem Interview:
Das ist der Grund, wie das Ganze überhaupt möglich ist. Ohne die freiwilligen Helfer würde er mit 21 Stunden pro Woche nicht auskommen. Schaut man sich im Netz mal ein bisschen um, dann wird man sehen, dass generell alles, was sich ums Zocken dreht, nur durch freiwillige Helfer möglich ist. Gäbe es die nicht, hätten wir ganz andere Preise und könnten sie nicht mit ausländischen Unternehmen konkurrieren. Ich will die "Ehrenamtlichen" (so ein UNWORT!!!!) nicht abwerten. Das sind die Leute, die überhaupt über die Gameserver Bescheid wissen. Schaut man sich die Sourceserver an, findet man einen Haufen an undokumentierten Kram. Bei den anderen ist es nicht besser. Da muss man schon ein paar Jahre Erfahrung haben, um Probleme zu verstehen und effizient lösen zu können.
Einerseits kann ich die Leute teilweise verstehen, andererseits bin ich froh, dass ich mein Geld auf ehrliche Art und Weise verdiene.
Genau den gleichen Job mache ich für ein anderes Unternehmen. Das hat aber zwei Gründe:
1. Bin ich mit demjenigen gut befreundet
2. Kann ich Nutzen daraus ziehen und mein zusätzlich erlangtes Wissen an unsere Community weitergeben, auch wenn ich mich zur Zeit nicht so regelmäßig wie zuvor beteiligen kann.
Bzgl. der Lücke: Das kann jedem passieren. Wenigstens äußert sich der Provider öffentlich und informiert seine Kunden. Davon könnten sich andere Unternehmen ein Scheibchen abschneiden. Wenn man mal alle kleinen Hoster abgrast, wird man immer irgendeine Lücke finden. Die einen Nutzen Ulrich Block seinen Kernel, der Mittlerweile schon als unsicher gelten sollte, die anderen updaten ihr Plesk und das OS nicht frühzeitig. Andere wiederum lassen ihre TS3-Server, die als beliebtes Angriffsziel dienen, mit root-Rechten laufen. Dann gibt es noch welche, die das Verzeichnis mit den Rechnungen nicht via .htaccess schützen und dann auch noch das Indexing aktiviert haben (Stichwort: wget -R).
In diesem Fall hat er vergessen, ein wichtiges Update für die SolusVM einzuspielen, was am 16.06 verfügbar gewesen ist. Ich meine, wenn eine Existenz doch von etwas abhängt, dann unternimmt man doch alles, um sich selbst zu schützen. Dazu kommt noch die Verantwortung, Personenbezogene Daten vor fremden Zugriff zu schützen.
Last edited by a moderator:
tomasini
New Member
Von dem Hoster höre ich heute zum ersten Mal. Muss man den kennen? Und um ganz ehrlich zu sein, hier im Forum tummeln sich fast täglich Threads, die genau in die selbe Richtung gehen. Ich erachte es als wenig hilfreich, geschweige denn zielführend, auf derartige Threads großartig einzugehen, wenn keinerlei Lernbereitschaft seitens des TE erkennbar ist.
@DeaD_EyE:
Ich sehe einen wesentlichen Kritikpunkt in Deiner Argumentation. Ich habe absolut nix dagegen, wenn sich Leute in ihrer Freizeit (ehrenamtlich) zusammen tun und so ein Projekt auf die Beine stellen (vorzugsweise als e.V. wegen der Haftungsrisiken - wie mein Verein z.B., welcher aber keine Hosting-Dienste Dritten anbietet).
Entscheidend ist für mich, dass man ein solches Angebot auch entsprechend kennzeichnet und nicht als professionelles kommerzielles Produkt vermarktet wie in diesem Falle. Denn dann weiß jeder Bescheid, was Phase ist. Aber hier werden Produkte zum Vollpreis angeboten und im Hintergrund scheinbar light produziert; zum Schaden der Kunden nunmehr. Das verzerrt IMHO den Wettbewerb und macht den Markt damit kaputt.
Ich sehe einen wesentlichen Kritikpunkt in Deiner Argumentation. Ich habe absolut nix dagegen, wenn sich Leute in ihrer Freizeit (ehrenamtlich) zusammen tun und so ein Projekt auf die Beine stellen (vorzugsweise als e.V. wegen der Haftungsrisiken - wie mein Verein z.B., welcher aber keine Hosting-Dienste Dritten anbietet).
Entscheidend ist für mich, dass man ein solches Angebot auch entsprechend kennzeichnet und nicht als professionelles kommerzielles Produkt vermarktet wie in diesem Falle. Denn dann weiß jeder Bescheid, was Phase ist. Aber hier werden Produkte zum Vollpreis angeboten und im Hintergrund scheinbar light produziert; zum Schaden der Kunden nunmehr. Das verzerrt IMHO den Wettbewerb und macht den Markt damit kaputt.
D
Deleted member 11740
Guest
WTF, der Hoster schreibt hier?
Ist an mir vorbei gegangen.
Ich kenne den Hoster vom Namen her. Aber auch nur, weil ich mich halt mir Gameserver beschäftige. Mittlerweile geht es mir aber auch tierisch auf den Sack. Die Community wird immer schlimmer und die Hoster werden immer unwissender. Früher war das noch alles #neuland und viel geiler. Bessere Gemeinschaft. Man könnte fast meinen, dass wir uns zurück entwickeln.
Früher gab es auch kein Teklab, wo man die Startscripte der GS ändern konnte. Damals haben die Provider ihre WI noch selbst gecoded und das lief 10000 mal besser und war 100 mal sicherer. Gewisse FTP-Regeln für den bekanntesten FTP-Server kannten die wohl auch schon. Das vermisst man bei den heutigen Warmduschren. Hauptsache alles Klickibunti und bloß nicht die Konsole nutzen.
Ist an mir vorbei gegangen.
Ich kenne den Hoster vom Namen her. Aber auch nur, weil ich mich halt mir Gameserver beschäftige. Mittlerweile geht es mir aber auch tierisch auf den Sack. Die Community wird immer schlimmer und die Hoster werden immer unwissender. Früher war das noch alles #neuland und viel geiler. Bessere Gemeinschaft. Man könnte fast meinen, dass wir uns zurück entwickeln.
Früher gab es auch kein Teklab, wo man die Startscripte der GS ändern konnte. Damals haben die Provider ihre WI noch selbst gecoded und das lief 10000 mal besser und war 100 mal sicherer. Gewisse FTP-Regeln für den bekanntesten FTP-Server kannten die wohl auch schon. Das vermisst man bei den heutigen Warmduschren. Hauptsache alles Klickibunti und bloß nicht die Konsole nutzen.
Last edited by a moderator:
IP-Projects.de
Active Member
htaccess in Verbindung mit fail2ban ist gar nicht mal so blöd
Zum Thema Ehrenamt: Wir hatten uns hier auch schon einmal Gedanken gemacht, aber man merkt sehr schnell, dass so etwas nur bedingt funktioniert. Wenn der Mitarbeiter nicht mit Herzblut dabei ist, ist das Resultat meist Unzuverlässigkeit. Klar, ich bekomme kein Geld, also warum soll ich immer zur Verfügung stehen. Das Funktioniert sicher bei Gameservern, aber nicht bei professionellen Dienstleistungen, die eine gewisse Zuverlässigkeit fordern.
Die weitere Frage ist, ob man das überhaupt Ehrenamt nennen sollte, denn im Grunde ist es ein gewinnorientiertes Unternehmen und keine Karitative Einrichtung.
Die Kontroverse hierbei ist eigentlich eher, dass in dem Interview von einem Anbieter gesprochen wird, der beim Preisdumping nicht mitmacht, aber offensichtlich dennoch die Mitarbeiter nicht bezahlen kann.
Ich entnehme dem Interview eher, dass er den Mehrertrag durch das kreative Geschäftsmodell selbst für sich abschöpft.
Ich habe es eher so verstanden, dass das Update durchaus zeitnah eingespielt wurde, der Angreifer aber schon vorher eingedrungen ist.
D
Deleted member 11691
Guest
@s24!: Genau so war es auch... Zumindest laut Aussage vom Hoster.
@TE: Ich habe ja nur gewartet, bis das Thema hier auch landet
@TE: Ich habe ja nur gewartet, bis das Thema hier auch landet
Frage mich nur, warum das System nicht überprüft wurde, als der Fix für solusvm eingespielt wurde.
Gerade wenn ich so einen Sicherheitsrelevanten patch einspiele, überprüfe ich doch ob mein System nicht schon kompromittiert wurde.
PitbullOL
New Member
Ich finde gerade so was eine gute Warnung für alle GS Hoster und gerade die Hoster wie z.b dieser mit einem Buchstaben und Portal am ende der seinen Kunden (Root Server) verietet gleich mit fertigen Interface, zwar gut und schön aber gleich LAMP auf dem System laufen zu haben und SSH ohne jegleiche Änderung und dem Kunden sagen Ready 2 Go ist denke ich mal nicht im sinne der Sicherheit.
Ich hoffe es rüttelt auch die wach die meinen weil sie ein TUT gelesen haben ein Dedi betreiben zu können.
LG
Pitbull
Ich hoffe es rüttelt auch die wach die meinen weil sie ein TUT gelesen haben ein Dedi betreiben zu können.
LG
Pitbull
Und der Weihnachtsmann kommt dieses Jahr natürlich auch wieder zu jedem der lieb war. Mal ehrlich, es gibt genug im Netz zu finden zum Thema Abschreckung, helfen tut es leider nichts. Die meisten lesen noch nicht mal ein TUT und mieten sich einen Root/Vserver.
ps: Spreche da aus eigener Erfahrung, bin aber mittlerweile kuriert.
Vielleicht hat er das Rootkit übersehen?