Server entsperren?

S

sYsCoM

Registered User
Hi,
mein S4Y vServer (248078) wurde heute wegen einer Beschwerde über einen Hackangriff gesperrt. Soweit, so gut. Ich habe dann bei der Buchhaltung angerufen. Die sagten mir ich soll ein Fax schicken in dem steht ich hätte gern wieder eine Freischaltung und Neuinstallation. Dann würde das sofort ausgeführt werden. Habe ich dann auch gemacht. Ich hab dann auch recht schnell eine Mail bekommen, in der steht das die Neuinstallation beauftragt und der Server freigeschaltet wurde. Was nicht stimmt. Bei einem Ping ist der Zielhost nicht erreichbar und im Controlpanel bekomme ich bei allem was ich anklicke das der Server gesperrt ist. Ok, nicht ganz. PowerDNS und PowerDomain kann ich komischerweise anklicken und werde normal auf die Seite weitergeleitet. Alles andere, funktioniert nicht.

Jetzt, die Chronologische Abfolge:
gesperrt wurde der Server gegen 17 uhr. Das fax habe ich gegen 17.30 Uhr geschickt. Die Mail bekam ich dann ca. 15 minuten später. Ich habe dann ca. 30 Minuten gewartet, nichts ist passiert. Also habe ich nochmal die Buchhaltung angerufen. Die sagten ich solle einfach noch eine halbe Stunde warten, dann wäre der Server wieder frei. Jetzt haben wir fast 19.30.. und der Server ist nicht frei. Das blöde ist, das ich den Server wegen der E-Mail Nutzung über die Domains noch heute abend/nacht dringend brauche.

Was kann ich da jetzt tun? Wieder bei der Buchhaltung anrufen? Da würde ich mich ja nur lächerlich machen und unnötig Geld bezahlen *g* Muss ich selbst irgendwas anschubsen? Wenn ja, wüsste ich nicht wo und was.

Liebe Grüsse,
Andy
 
Hi,

ich kann da zwar nichts machen, weil der Verwaltungsablauf nunmal so festgelegt ist, aber ich kann dir zumindest zeigen warum du gesperrt bist:

root 5346 0.0 0.0 4796 1584 ? S Mar14 0:09
/usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid
root 21248 0.0 0.0 8000 2496 ? S 16:14 0:00 sshd:
sistem@pts/1 root 32611 0.0 0.0 2716
1764 /dev/pts/1 S 16:14 0:00 -bash
root 31361 0.0 0.0 864 188 /dev/pts/1 S 16:34 0:00
./sshf 100
root 24454 0.0 0.0 900 416 /dev/pts/1 S 16:36 0:00
./sshf 100
root 482 0.0 0.0 900 416 /dev/pts/1 S 16:37 0:00
./sshf 100
root 24996 0.0 0.0 892 408 /dev/pts/1 S 16:40 0:00
./sshf 100
root 1376 0.0 0.0 888 556 /dev/pts/1 S 16:41 0:00
./sshf 100
root 1633 0.0 0.0 888 556 /dev/pts/1 R 16:41 0:00
./sshf 100
root 1698 0.0 0.0 888 556 /dev/pts/1 S 16:41 0:00
./sshf 100
root 1729 0.0 0.0 888 556 /dev/pts/1 S 16:41 0:00
./sshf 100
root 10304 0.0 0.0 888 556 /dev/pts/1 S 16:42 0:00
./sshf 100
root 10466 0.0 0.0 888 404 /dev/pts/1 S 16:42 0:00
./sshf 100
root 14436 0.0 0.0 888 404 /dev/pts/1 S 16:42 0:00
./sshf 100
root 15011 0.0 0.0 888 404 /dev/pts/1 S 16:42 0:00
./sshf 100
root 26496 0.0 0.0 908 424 /dev/pts/1 S 16:43 0:00
./sshf 100
root 26595 0.0 0.0 888 404 /dev/pts/1 S 16:43 0:00
./sshf 100
root 32198 0.0 0.0 888 404 /dev/pts/1 S 16:43 0:00
./sshf 100
root 32226 0.0 0.0 884 400 /dev/pts/1 S 16:43 0:00
./sshf 100
root 1954 0.0 0.0 884 400 /dev/pts/1 S 16:43 0:00
./sshf 100
root 6852 0.0 0.0 884 400 /dev/pts/1 S 16:44 0:00
./sshf 100
root 6852 0.0 0.0 884 400 /dev/pts/1 S 16:44 0:00
./sshf 100
root 7077 0.0 0.0 888 556 /dev/pts/1 S 16:44 0:00
./sshf 100
root 7106 0.0 0.0 884 400 /dev/pts/1 S 16:44 0:00
./sshf 100
root 11942 0.0 0.0 888 556 /dev/pts/1 S 16:44 0:00
./sshf 100
root 11968 0.0 0.0 884 400 /dev/pts/1 S 16:44 0:00
./sshf 100
root 13443 0.0 0.0 888 556 /dev/pts/1 R 16:44 0:00
./sshf 100
root 22529 0.0 0.0 888 556 /dev/pts/1 R 16:45 0:00
./sshf 100
root 22657 0.0 0.0 888 556 /dev/pts/1 R 16:45 0:00
./sshf 100
root 22690 0.0 0.0 888 556 /dev/pts/1 S 16:45 0:00
./sshf 100
root 22755 0.0 0.0 888 556 /dev/pts/1 S 16:45 0:00
./sshf 100
root 1123 0.0 0.0 880 396 /dev/pts/1 S 16:45 0:00
./sshf 100
root 1153 0.0 0.0 888 556 /dev/pts/1 R 16:45 0:00
./sshf 100
root 1413 0.0 0.0 888 556 /dev/pts/1 S 16:45 0:00
./sshf 100
root 1604 0.0 0.0 880 396 /dev/pts/1 S 16:45 0:00
./sshf 100
root 4099 0.0 0.0 888 556 /dev/pts/1 R 16:45 0:00
./sshf 100
root 4291 0.0 0.0 888 556 /dev/pts/1 R 16:45 0:00
./sshf 100
root 8065 0.0 0.0 888 556 /dev/pts/1 S 16:46 0:00
./sshf 100
root 8708 0.0 0.0 888 556 /dev/pts/1 R 16:46 0:00
./sshf 100
root 10560 0.0 0.0 888 556 /dev/pts/1 S 16:46 0:00
./sshf 100
root 11010 0.0 0.0 888 556 /dev/pts/1 S 16:46 0:00
./sshf 100
root 17633 0.0 0.0 880 396 /dev/pts/1 S 16:46 0:00
./sshf 100
root 17668 0.0 0.0 888 556 /dev/pts/1 S 16:46 0:00
./sshf 100
root 17700 0.1 0.0 888 556 /dev/pts/1 R 16:46 0:00
./sshf 100
root 17733 0.0 0.0 880 396 /dev/pts/1 S 16:46 0:00
./sshf 100
root 17766 0.0 0.0 888 556 /dev/pts/1 R 16:46 0:00
./sshf 100
root 17800 0.1 0.0 888 556 /dev/pts/1 R 16:46 0:00
./sshf 100
root 17857 0.0 0.0 888 556 /dev/pts/1 R 16:46 0:00
./sshf 100
root 17894 0.0 0.0 888 556 /dev/pts/1 R 16:46 0:00
./sshf 100
root 19074 0.0 0.0 888 556 /dev/pts/1 S 16:46 0:00
./sshf 100
root 19140 0.1 0.0 888 556 /dev/pts/1 R 16:46 0:00
./sshf 100
root 19206 0.1 0.0 892 516 /dev/pts/1 R 16:46 0:00
./sshf 100
root 23268 0.0 0.0 884 444 /dev/pts/1 S 16:47 0:00
./sshf 100
root 23360 0.0 0.0 880 392 /dev/pts/1 R 16:47 0:00
./sshf 100
root 23457 0.0 0.0 892 512 /dev/pts/1 S 16:47 0:00
./sshf 100
root 23522 0.0 0.0 884 444 /dev/pts/1 R 16:47 0:00
./sshf 100
root 23648 0.3 0.0 884 444 /dev/pts/1 S 16:47 0:00
./sshf 100
root 23687 0.0 0.0 880 376 /dev/pts/1 R 16:47 0:00
./sshf 100
root 23688 0.0 0.0 880 376 /dev/pts/1 R 16:47 0:00
./sshf 100
root 23689 0.0 0.0 892 500 /dev/pts/1 S 16:47 0:00
./sshf 100
root 12069 0.0 0.0 1252 240 /dev/pts/1 T 16:32 0:00 ./pscan2
207.44

Der sah ziemlich gehackt aus :)
 
*schmunzel* ja, soweit war ich auch.
Also..das logfile hatte ich nicht, dafür vielen Dank.. nur sowas in der Art wurde bei der Hotline angedeutet. Auch wenn ich noch immer nicht weiß wie das passieren konnte. Das einzige was ich mir erklären kann, wäre nen exploit der beim Shoutcast Server möglich wäre. Aber der hätte eigentlich nur den Server lahmlegen, nicht aber nutzbar machen können. Zumindest wenn ich danach gehe, was ich bisher drüber gelesen habe.

Naja, es gibt ne neue Shoutcast Version die ich ab jetzt nutzen würde und bei der das nicht mehr gehen soll.. *G*

Ich weiß halt nur nicht, wie ich wieder an den Server kommen soll.. *sfz*
 
Hi,

das sollte gleich durchlaufen, es gab Stau in der Schlange und die Neuinstall und das Entsperren haben sich gebissen. Status ist seit 17:45 unlocked, sorry :)
 
@tty0
Genau über DEN exploit bin ich vorhin beim rumsuchen auch gestolpert. Ich hatte den Server erst letzte woche neu installiert und das einzige was ich gemacht habe war, die Domains auf eine Seite umzuleiten und eben den Shoutcast Server drauf zu packen. Und da konnte ich mir nicht erklären das der Server so arg unsicher sein kann.. Und siehe da, es lag wohl am Shoutcast. Werde dann die aktuellere Version verwenden, auch wenn ich mich davor bisher gescheut habe weil sie andere Probleme macht (keine Sicherheitslücken).

@memed (und wie ich per PM sehe auch @Maik)
Vielen Dank euch beiden, ihr seid meine persönlichen Helden der Neuzeit.. *g*
Dachte schon der Server mag es nicht das ich ihn die ganze Zeit anpinge um direkt zu sehen wann es wieder geht *g* Ist zwar noch gesperrt, aber ich hoffe dann das ich doch noch heute Abend wieder an meine Mails komme *s*
 
*S* tatsache.. er läuft wieder *luftsprünge mach*

Ihr seid Klasse.. :)
Vor allem.. war DAS jetzt schon eine Neuinstallation? DAS ging schnell.. *G*
Falls ja, wäre es schön wenn ich kurz ein "ok" bekomme.. nicht das ich da drin rumfummel und es ist noch nicht fertig.
 
sYsCoM said:
*S* tatsache.. er läuft wieder *luftsprünge mach*

Ihr seid Klasse.. :)
Vor allem.. war DAS jetzt schon eine Neuinstallation? DAS ging schnell.. *G*
Falls ja, wäre es schön wenn ich kurz ein "ok" bekomme.. nicht das ich da drin rumfummel und es ist noch nicht fertig.
Click to expand...

Wenn du eine Mail mit Zugangsdaten bekommst, dann ja. :)
 
Ah, ok.. na dann werkel ich mal los.. jetzt mit aktueller Shoutcast Version.. *g*

Und vielen vielen Dank nochmal.. :)
 
You must log in or register to reply here.
Back
Top