Server wurde gesperrt (S4Y) ?!?!? Was nun ?

[sammes]

Hallo,

ich bin ziemlich durch den Wind.

Habe heute morgen einen Email erhalten, daß mein Rootserver gesperrt wurde wegen einer ausgehenenden DOS-Attacke.

ich habe auf meinem Server ein paar Bekannte, die lediglich ihre Webseite darauf hosten. Wie kann das passieren ?

Vor einiger Zeit funktioniere das Root-Passwort nicht mehr. Ich meldete mich beim Support, die nur sagten, ich können alles neu auspielen etc. und es dann neu setzen. Dann fand ich zufällig eine Email von S4Y, die mir mitteilte, daß sie mein Root-Passwort geändert haben, turnusmäßig.

Mit diesem neuen Passwort konnt eich mich ebenfalls nicht mehr einloggen.

Und jetzt kam diese Mail, die mir miteilte, von meinem Server wäre eine DOS-Atacke ausgegangen.

Ich habe jetzt Angst, daß da irgendwas auf mich zhukommt. Ich bin Privatmensch und habe ein Kind. Von wegen Regress und so.

Der Supportmitarbeiter hatte irgendwie keine Lust mir Auskunft zu geben und wollte mir auch nicht veraten, von wem die Beschwerde über die DOS-Attacke kam, noch wer da dahinter steckt.
Was soll ich nur tun ?

Ich soll nun ein PDF auzsfüllen und denen zufaxen bezgl. Neuinstallation etc. und Entsperrung.

Die AE wurden bereits berechnet für die Sperrung.

Was passiert jetzt ? Bringt man mich jetzt um meine Existenz ???

HIer ein Auszug aus dem Log welches an der Supportmail hin:

5E: capa ipl port 10000 2 17. 172. 1 77. 218 (wohl meine server IP)
das Ganze gibt es statt mit "capa" auch noch mit:
vaire
gram
balbo-0
haleth
donnamira-5
nienna
mim
dori
floi
adaldrida
pelindur
wilibald-2

Die IP-Adresse ist anscheinend auch neuerdings auf einer Spamliste drauf (server-deny oder so, google...)

Was bedeutet das ?

Was soll ich nur tun ?

Was passiert nun ?

Was genau ist passiert ?

Über eine Antwort würde ich mich sehr freuen.

mbroemme ist doch hier im Forum, habe ich gesehen. Arbeitet er nicht bei S4Y ?
Kannst du mal schauen ?

P.S. will jetzt sowieso alles kündigen, damit so etwas in Zukunft nicht mehr passiert.
Grüße
sammes

 

[marneus]

...ausgehenenden DOS-Attacke... lediglich ihre Webseite

Dann wird hier wohl ein unsicheres bzw. nicht upgedates PHP-Skript der Übeltäter sein. Dazu müsste man dann die Logfiles analysieren.

Vor einiger Zeit funktioniere das Root-Passwort nicht mehr.

Das hätte Dir schon mehr als zu denken geben sollen. Aber mit hätte, wenn und aber kommen wir nicht (mehr) weiter.

Dann fand ich zufällig eine Email von S4Y, die mir mitteilte, daß sie mein Root-Passwort geändert haben, turnusmäßig.

Kann mir das bitte mal ein S4Y Mitarbeiter bestätigen. Das glaube ich so auf gar keinen Fall. S4Y hat dazu überhaupt nicht die Möglichkeit.

Ich habe jetzt Angst, daß da irgendwas auf mich zhukommt ... von wegen Regress und so

In der Regel wird davon abgesehen.

Was soll ich nur tun?

Entweder ratz fatz einen Admin engagieren, der Dir die Kiste neuinstalliert, absichert und up2date hält, oder die Kiste kündigen und bis zur Vertragslaufzeit nicht wieder anmachen.

HIer ein Auszug aus dem Log welches an der Supportmail hin:

Der Inhalt zeigt mir, dass Dein Rechner wohl an einem Botnetz hing.

Die IP-Adresse ist anscheinend auch neuerdings auf einer Spamliste drauf (server-deny oder so, google...)

Kein Wunder. Du müsstest Deinen Server entsprechen absichern und dann den entsprechenden Listen Mails schicken und um Delisting bitten.

Was soll ich nur tun? ... Was passiert nun? ... Was genau ist passiert?

Vor allem die Ruhe bewahren! Du brauchst definitiv prof. Hilfe, wenn Du den Server neu aufsetzen und wieder in Betrieb nehmen möchtest. Ansonsten "liebgewonnene" Daten sichern (lassen) und ein Webhostingpaket nehmen.

mbroemme ist doch hier im Forum

Der ist nur für die vServer zuständig.

--marneus

 

[sammes]

Hallo,

vielen Dank für die Antwort !

Also,

es kam eine Email von Server4You, mit Logo etc. (HTML-Mail) mit dem "neuen" Passwort drin.

Hat mich auch sehr gewundert.

Was ist denn ein Bot-Netz ???

Viele Grüße
sammes

 

[charli]

Hallo,

zuerst das Wichtigste: keine Panik.

Wie kann das passieren?

häufigster Fall: eine PHP-Anwendung (Forum, CMS usw) wurde nicht sorgfältig genug aktualisiert.
zweithäufigster Fall: ein leicht zu erratendes oder in einem Wörterbuch stehendes Paßwort.

Mit diesem neuen Passwort konnt eich mich ebenfalls nicht mehr einloggen.

Das wäre ein Grund für sofortiges Handeln gewesen.

Ich habe jetzt Angst, daß da irgendwas auf mich zukommt. Ich bin Privatmensch und habe ein Kind. Von wegen Regress und so.

Kommt darauf an, wer angegriffen wurde. Falls ein Hackerserver bombadiert wurde gibt's bestimmt keine Regreßforderung und private Serverbetreiber machen i.d.R. auch keinen Zirkus draus.

Was passiert jetzt ?

Du unterschreibst, der Server wird wieder freigeschaltet. Falls Du eine Vertragsstrafenvereinbarung unterschreiben sollst wird diese fällig falls nochmal was vorkommt.

Besser Du suchst Dir jemand im Freundeskreis der sich mit Servern wirklich auskennt oder wechselst zu Managed Server bzw Webhostingpaket.

Bringt man mich jetzt um meine Existenz?

Sehr unwahrscheinlich.

 

[marneus]

Hast Du die Mail noch? Ich wäre brennend interessiert. Wenn ja, schicke ich Dir via PM meine Mailadresse, dann könntest Du die mal an mich weiterleiten und ich leite die an die entsprechenden Stellen bei S4Y weiter.

Ein Definition für das Botnetz findest Du z.B. hier.

--marneus

 

[sammes]

HI,

klar, gerne, können wir so machen.

Ich kann mir kaum vorstellen, daß die Mail ein Fake ist.

Schick mir deine Email-Adresse.

Grüße
sammes

 

[charli]

Hallo,

Ich kann mir kaum vorstellen, daß die Mail ein Fake ist.

und alle anderen können sich nicht vorstellen, daß sie kein Fake ist.

Provider ändern die Rootpaßwörter nicht turnusmäßig und verschicken die neuen per Email.
Bei einem dedicated Server (anders beim Vserver) kann der Provider das Paßwort garnicht einfach mal ändern.

PS: Email als Dateianlage weiterleiten, nicht über "weiterleiten", sonst gehen die Header verloren und die sind das Wichtigste.

 

[Elradon]

Öhm, wurde der Server von sammes nicht neuinstalliert und bekam er nicht deswegen die neuen Daten?

 

[Thorsten]

Hallo!
Das würde nicht zur Standardprozedur passen. Dort gibt es als Email nur den Hinweis, dass das System wieder zur Verfügung steht, und man die Daten im Powerpanel findet.

mfG
Thorsten

 

[wstuermer]

Hi,

im November wurde aus Sicherheitsgründen geprüft, ob das bei der Installation generierte Passwort noch aktuell war. Wenn ja, so wurde dies geändert.


-W

 

[marneus]

Mailausgang war der 08.11.07. Dann wird das wohl stimmen. Die Mail ist über den IronPort von Intergenia gelaufen, also gehe ich wirklich davon aus, dass die Mail von S4Y gesendet wurde. Auch der Rest der Kopfzeilen spricht eindeutig dafür, dass dies keine Spoof-Mail war.

--marneus