Server4You nimmt VPS offline die Eggdrop/PsyBnc installiert haben

[ReVoLt]

Heute abend 20:20 bekomm ich eine Mail von S4Y:

Sehr geehrter Kunde,

aus aktuellem Anlass müssen wir den Betrieb von IRC Bot's aller Art mit sofortiger Wirkung verbieten. Diese Maßnahme wurde im Hinblick auf die Sicherheit unseres Netzwerks notwendig.
Wir haben Ihren Server aufgrund auffälliger Netzwerkverbindungen zu so genannten Botnetzwerken, als aktiven IRC-Bot erkannt und diesen daher gesperrt. Anbei Informationen zu der vermuteten Datei, die hierbei gestartet wurde.

Filename: /tmp/upxCLKWBQDARHL
Bottyp: Eggdrop - IRC bot - Eggheads.org - Main Index

Wahrscheinlicher Installationszeitpunkt: (unknown, file deleted)

Wahrscheinlicher Einbruchsvektor: Direkter SSH-Login (schwaches Passwort)

Username: revolt

Das Problem der Eggdrop existiert schon lange nicht mehr, nur die TMP Datei.
Naja nicht gerade sehr Kundenfreundlich sowas ohne Rundmail durchzuziehen und einfach deswegen Server ohne Vorwarnung vom Netz zu nehmen.

Der ganze Spass kostet mich die übliche entsperrgebühr

MfG
ReVoLt

**EDIT: Der Server wurde nicht gehackt
**EDIT2: https://www.server4you.de/de/vserver_features/weitere_software.html Die werben ja sogar dann falsch

 

[Fritz]

https://www.server4you.de/de/vserver_features/weitere_software.html Die werben ja sogar dann falsch

Meinst Du etwa, weil da steht: BELIEBIGE EIGENE PROGRAMME INSTALLIERBAR - Volle Freiheit: Auf Ihrem vSERVER können Sie installieren, was Sie möchten?

Naja erstens, ist so eine Werbeaussage sachlich und technisch genau so falsch wie das berühmte 'Unbegrenzter Datentransfer' in einigen Serverangeboten, und zweitens geht Sicherheit über alles, noch bevor man die Werbeflyer ändern kann.
Du musst die volle Freiheit relativ mit Webspacepaketen vergleichen, bei denen Du nicht mal den Indianer durch den Lighty ersetzen kannst.

Gruß Fritz

 

[Centro]

Hallo Fritz,
mal abgesehen das du reell gesehen schon recht hast was S4Y in Sachen Traffic etc. macht.

In Sachen der Abschaltung liegst du glaub ich komplett daneben.

Volle Freiheit ist volle Freiheit, das heist solange du dich im legalen Rahmen bewegst ALLES! - Einer Änderung dieser Art muss man glaub ich schriftlich zustimmen und das in den AGBs ändern, bzw. anpassen!

Is mal ne rießen Sauerei oder nen verspäteter Aprilscherz. Der Bot lief garnicht, war nur noch in den TMPs zu finden, und ein Bouncer der ne Verbindung zum IRC Server hält is schon sehr sicherheitsrelevant!

So far, is natürlich nur ne Laienaussage und kein RA aber ich wünsch Revolt mal alles gute und ne Gutschrift der 38 € !

Greetz Centro

 

[ReVoLt]

Gute Nachrichten...

Nach einiger Telefoniererei und mehreren Gesprächen mit 2 sehr netten Supportern wurde mein vServer wieder frei geschaltet.

Das Überwachungsscript das S4Y benutzt hatte die temporäre Datei meines MoonEdit servers als DDoS Bot erkannt.

Um Mißverständnisse zu beseitigen: normale Psy und Eggs sind weiterhin gestattet, zumindest nach der Aussage des Service Technikers.

Das ganze ließ sich relativ schnell klären und lief ohne größere Probleme.

Kann also nur sagen "TOP-Service und das von 20:20 - 23:00"

Von mir ein klares: *thumbs up*

 

[Fritz]

Hallo ReVoLt,
das finde ich prima von Dir, dass Du vom guten Ausgang der Geschichte noch berichtet hast.
Meistens wird in den Foren schnell gemeckert, und über HappyEnds liest man seltener.
Gruß Fritz

P.S. @Centro, ich glaube Du hast meinen Kommentar überbewertet

 

[memed]

Hi,

nochmal kurz die Fakten:
- es werden IRC Drohnen (Trojaner!) gesucht, nicht IRC Eggdrops/Userprogramme
- es werden nur shared Ressourcen nach vorher umfangreich ausgetesteten Mustern durchsucht, kein Mensch schnüffelt in persönlichen Daten
- es wird zum Schutz aller (andere Kunden, Provider, betroffener Kunde) bei begründetem Verdacht die VE runtergefahren
- es entstehen keine unmittelbaren Kosten (keine Gebühren, kostenlose Entsperrung, 0800er), nur durch die Downtime kann ein Nachteil entstehen
- ausgenommen akut gefährliche Funde (ua. DoS, Phishing), wird nur zu bestimmten Zeiten gesperrt, eine Entsperrung am gleichen Tag sollte möglich sein
- es gab bis dato *zwei* false positives bei über 1,3 Mrd (ja, 9 Nullen) geprüften Prozessen (1x dieser hier und ein drüber gestülptes Gentoo, das bei einem emerge die Binary in /var/tmp/ startet und dann löscht)

Das Besondere hierbei ist, dass dieses Vorgehen rechtlich nicht nur geprüft, sondern mit den Behörden abgestimmt ist und hiermit zielgerichtet gegen Bot-Netzwerke vorgegangen wird. Das grundsätzliche Know-How ist nicht von Plusserver geheim gehalten worden, ob und wie es andere Provider auch umsetzen kann ich aber nicht sagen.

Bitte meldet euch, wenn noch Fragen offen sind.

Gruß M