Freischaltung kompromittierter Systeme

[sunshine]

Seit gestern um 9.56 Uhr ging mein vServer nicht mehr.

Ich dachte es ist mal wieder was am hostSystem bzw. beim Provider, was bei S4y ja öffters der fall ist.

Nachdem ich mich aber im Kundeninterfase eingeloggt habe stand da vServer gesperrt.
Nach einem anruf beim Support bekam ich eine email in der behauptet wird das mein server dos atakken verschickte. (nicht mal eine Minute lang)
Das komische ist das nicht nur meine IP vom server in dem Protokoll ist
sonern auch eine andere.

Ich solle jetzt ein Fax ausfüllen mit der bezeichnung "Freischaltung kompromittierter Systeme". In diesm Fax steht unter anderem auch.:

"Ich wurde ausdrücklich darauf hingewiesen, dass ich für Administration und Sicherheit meines Servers selbst zuständig bin und hierfür die Verantwortung trage. Durch die Sperrung zugrunde liedenden Vorfall habe ich siese, mir obliegende vertragliche Pflicht nicht erfüllt. "

Mein Server hat bis jetzt nie solche aussetzer (wie z.B. dos atakken) gemacht, in der ganzen laufzeit ca. 2Jahre lang. Erst seit server4you
mir vor ca. 3 Monaten auf einen vServerX2 upgrade aufschwatzen wollten.
Den ich damal abgehlehnt habe, da ich zuerst neu vergleichen wollte.

Was soll ich eurer Meinung nach tun.

 

[miXus [tm]]

Den Server komplett neu installieren / installieren lassen und das letzte saubere Backup einspielen. Dann natürlich die Lücken schliessen! Das sollte ausreichen.

 

[sunshine]

Lücken schließen

Hab noch eine Frage:

1. Ist das normal das mit dem Faxformular. "kompromittierter Systeme"
kann ich das mit gutem Gewissen unterschreiben ?

2. Wenn ich wüßte welche Lücken? Hatte 3 Jahre keine Probleme.
der Server ist gestanden wo ich mehrmals versucht habe meine
eMail abzurufen. Genau in der Zeit des Protokolls.

Würde auch das Protokoll zur verfügung stellen.

 

[V40]

Hallo,


du solltest den Server im Rescue Modus starten und deine kompletten Logdateien sichern.
Dann kannst du den Server neu installieren (lassen).

Denn ohne die Logs wirst du die Schwachstelle nicht finden.

Da aber gerade eine größere "Aktion" lief, ich vermute mal das dein Server auch ein Teil davon war, solltest du dein Augenmerk vorallem auf die Apache Logs richten.


Ich an deiner Stelle würde, erst nach dem ich alle Logs durch habe, den Server komplett neu machen und nicht ein Backup einspielen.

Aber das ist nur meine Meinung!

 

[Thunderbyte]

2. Wenn ich wüßte welche Lücken? Hatte 3 Jahre keine Probleme.

Ich gehe mal davon aus, WEIL Du 3 Jahre keine Probleme hattest, hast Du vermutlich auch Updates etc. nicht eingespielt? Bitte korrigiere mich, wenn ich mich irre...

Thunda

 

[sunshine]

Updates

Ich habe das System öfters neu installiert und u.a. auch upgedatet. Allerdings muß ich zugeben nicht so oft.

Ich bin erst später auf dieses Forum gestoßen, werde mich nun öfters
darum kümmern.

Noch ne Frage.
Ich möchte die Logdateien sichern und auswerten. Kann da nichts passieren, wenn ich nun das System im Recovery-System starten lass.
(Also zwecks angriffe wieder ?)

P.S.: Sorry für die späte Antwort hatte Spätschicht.

 

[Thomas81]

Ich bin erst später auf dieses Forum gestoßen, werde mich nun öfters
darum kümmern.

Meiner Meinung nach sollten alle Anbieter einen Link zu diesem Forum in ihr Plesk oder Confixx intigrieren.
Schließlich ist dieses Forum ja auch die Startseite in meinem Forum.