Sicherheitsproblem bei serverloft ?

Status
Not open for further replies.

omnivagus

New Member
Vor dem T-Online-Datenskandal wurden solche Proble oft belächelt, weil man nicht glaubte oder wusste, dass es einen Markt für geklaute Daten gibt. Mir ist es persönlich relativ egal was die Leute mit ihren Daten machen, aber sobald meine Kunden und dadurch auch ich davon Betroffen bin schaue ich genauer hin. Ich habe versucht den Support von serverloft auf das Problem aufmerksam zumachen, aber ich fürchte, dass ich da nur an Aushilfen geraten bin, die mein Anliegen nicht weitergereicht haben.

Gestern habe ich mir bei serverloft einen XXL Server gemietet und bin soweit ganz zufrieden. Es gibt hier und da noch Schwierigkeiten, aber das ist normal - die haben ja im Prinzip erst angefangen. Der Server und das vorinstallierte minimal Ubuntu 8.04 lts sind einwandfrei.

Nach der Bereitstellung des Servers muss man sich auf my.serverloft.de anmelden um sein root Passwort zu erhalten. Ich wollte natürlich zunächst das Passwort für diesen Hauptzugang ändern. Denn ist man da erst mal drin kann man mit dem Server bunte Sachen anstellen. Ich weiß ja nicht, wer alles mein Passwort bei der Bestellung gesehen hat.

Ich war zunächst darüber erstaunt, dass oben rechts unter meinem Login-Namen das ursprüngliche Passwort, dass ich bei der Bestellung angegeben habe in Klartext zu lesen war. Nun, ich dachte das ist soweit nicht weiter tragisch, denn das Passwort kennt eh jeder serverloft Sales-Mitarbeiter - sehr salopp ausgedrückt.

Also ändere ich das Passwort und muss feststellen, dass es immer noch in Klartext angezeigt wird! Als Webdeveloper habe ich an dieser Stelle wirklich große Augen gemacht.

Die Problematik:
Wenn das Passwort auf einer Seite in Klartext zu lesen ist, muss man davon ausgehen, dass es in der Datenbank unverschlüsselt hinterlegt ist! Was mir ja auch nach der 4. Anfrage bestätigt wurde. Das ist ein unmöglicher Zustand. Es gibt absolut keinen Grund ein derart wichtiges Passwort unveschlüsselt abzuspeichern. Auch wenn mir der Support erklären wollte, dass das nicht anders ginge - das ist absoluter Quatsch. Selbst unter PHP ist ein Umgang mit verschlüsselten Passwörtern eine wirklich einfache Angelegenheit. Und wenn man sein Passwort vergessen hat, lässt man es sich eben zusenden, so wie es überall auch gemacht wird und fragt bei der Gelegenheit vielleicht noch nach dem Namen des Haustieres... Ein Klassischer Password Reset eben. Und da das Passwort ja nur für den Zugang zum Control Panel dient und nicht etwa für irgendwelche Serverdienste benutzt wird muss es auch nicht mit Passwörtern auf dem Server synchronisiert werden.

Der Gedanke, dass jeder serverloft Mitarbeiter der Zugang zu der Kundendatenbank hat auch Passwörter aller Kunden einsehen kann ist für mich unerträglich. Außerdem würde ich mit diesem Wissen Vertragsbruch gegenüber meinen Kunden begehen, die ich bei serverloft hosten wöllte. Viele haben klare Sicherheitsvorstellungen was das Hosting angeht. Dabei ist die Lösung eine Sache von vielleicht 2 Stunden. Ich verstehe es nicht...

Bin ich paranoid, oder betrachtet ihr das auch als ein ernsthaftes Problem? Ich meine da muss doch nur einer mal gekündigt werden, der sich darüber aufregt, sich die Passwörter schnappt und mal eben ein paar Server abschießt - z. B. durch ein klick auf "Neuinstallation". Das ist wirklich nicht bei den Haaren herbeigezogen. Wer Anwälte im Bekanntenkreis hat, weiß dass solche Dinge tagtäglich passieren.
Also ich hätte keine Lust meinen Kunden zu erklären, wie so etwas passieren konnte...
 
Last edited by a moderator:

CentY

Registered User
Irgendwie passt das gerade zu einer Diskussion in der Webhostlist:
Vertrauliche Daten auf Webserver - WHL Community Foren

Womit man sieht das wohl doch noch nicht alle Provider Passwörter verschlüsselt speichern.

Und ich sehe es im Grunde genauso wie auch was Kunden bei mir in der Firma angeht ich will deren Passwörter garnicht sehen können, damit garkein Verdacht auf mich fallen kann wenn mit den Zugangsdaten mist gebaut wurde.
 

siroques

Registered User
Mal ehrlich...
Sensible Daten auf einem shared Host bei einem großen Massenhoster zu lagern, ist meiner Meinung nach genauso verantwortungslos... :rolleyes:
 

CentY

Registered User
Es geht ja hier nicht um sensible Daten sonder schlicht um den nicht vorhandenen Schutz des verwendeten Passworts wobei dies relativ einfach durch den Hoster zu lösen wäre.
 

omnivagus

New Member
Ich vermeide es auch Zugang zu Passwörtern zu bekommen, wenn es nicht unbedingt sein muss. Was das hosten von sensiblen Daten angeht kann ich nur sagen, dass es ja nicht mal sensible Daten sein müssen. Es kann ja schon fatal enden, wenn der Mailserver nicht mehr verfügbar ist.

Aber das werde ich in der Tat überdenken. Bisher habe ich auf eigene Schränke in einem Nürnberger RZ gesetzt, aber das ist ein immenser Aufwand und selbst bei Kritischen Websites muss ich mir immer die Frage von meinen Kunden gefallen lassen, ob das so teuer sein muss... Die Antwort ist meistens ja - aber das verstehen die Leute oft erst dann, wenn etwas schief läuft...
 

CentY

Registered User
Das ist halt leider die normale Mentalität möglichst billig billig bei vielen und dann wundern sie sich wieso ihre Daten auf dem Präsentierteller liegen.

Das Verhalten von serverloft verstehe ich trotzdem nicht, ist das bei der ganzen Gruppe so? Also auch bei Plusserver und Server4you dass man die Passwörter im Klartext gezeigt bekommt?

Gerade bei Plusserver kann ich mir nicht vorstellen dass die großen Firmenkunden von sowas begeistert wären.
 

serverfreak01

New Member
Au weia. Wenn das stimmen sollte, gehen wir mal davon aus, daß Ominvagus das richtig wiedergegeben hat und tatsächlich der Support von serverloft das bestätigt hat, dann wäre das ja eine mittlere Katastrophe und sicher ein satenschutzrechtlich relevantes Problem.

Ich kenne zwar die Funktionen des Control Panel nicht, aber evtl. lassen sich da ja auch direkt die Daten der Server abziehen per Backup-Funktion oder ähnlichem.

Das ist auch eine gute Frage Centy ob das bei der ganzen Gruppe so ist. Plusserver z.B. hat ja nicht gerade kleine Firmenkunden im Bestand.
 

Whistler

Blog Benutzer
Au weia. Wenn das stimmen sollte, gehen wir mal davon aus, daß Ominvagus das richtig wiedergegeben hat und tatsächlich der Support von serverloft das bestätigt hat, dann wäre das ja eine mittlere Katastrophe und sicher ein satenschutzrechtlich relevantes Problem.

Calm down.

Wenn ich es richtig verstehe, geht es "nur" um das Paßwort zum Control Panel. Damit kann man zwar auch noch "nette" Dinge anstellen, aber nicht umsonst bedürfen die wirklich heißen Sachen (Domain-Transfer, Kündigung,...) immer noch der Schriftform.

Und vom Server selbst steht da maximal das Paßwort bei der Erstinstallation bzw. Übergabe an den Kunden. Wer das nicht sofort ändert (oder besser gleich durch Key-Auth ersetzt) dem ist sowieso nicht mehr zu helfen...

Relativ unbemerkt an die Datenträgerinhalte kommt man m.W. nur bei virtuellen Servern - oder natürlich bei einem SAN.
 

LinuxAdmin

Moderator
Gut, das Speichern von Passworten im Klartext ist eine Sache, aber bedenke auch, dass ein Mitarbeiter, der physischen Zugang zu "Deinem Server" hat, ebenso alles damit machen kann. Da ist der Unterschied nicht so groß (außer, dass die Daten wahrscheinlich leichter geklaut werden können als das jemand ins RZ einbricht).
 

omnivagus

New Member
Was mir noch einfällt:

Wenn man im Control Panel ein Ticket erstellt (was bei mir noch nicht richtig funktioniert) wird man nach allen Passwörtern gefragt - siehe Anahng. Das sind Pflichtfelder - Natürlich kann man da auch irgendeinen Mist eingeben, aber ich halte das schon für sehr, sehr bedenklich...
ticket_bei_serverloft.png
 

CentY

Registered User
Zur schnelleren Erledigung des Problems solltest du das bei Hosteurope auch immer angeben. Ich würde sowas trotzdem nicht machen, allerdings können die Supporter das Ding im schlimmsten Fall per PXE booten mit dem Rescuesystem und auch auf dein System drauf.

Begeistert bin ich trotzdem nicht von der Klartextangabe im Panel. Wie gesagt hat jemand nen Server bei Plusserver/Server4you und kann sagen ob es hier auch so ist?
 

omnivagus

New Member
Calm down.

Wenn ich es richtig verstehe, geht es "nur" um das Paßwort zum Control Panel. Damit kann man zwar auch noch "nette" Dinge anstellen, aber nicht umsonst bedürfen die wirklich heißen Sachen (Domain-Transfer, Kündigung,...)

Du irrst dich. Mit dem "nur" kann man sich ein Backup ziehen. Außerdem sind DNS-Änderungen direkt möglich. Desweiteren kann man natürlich auch die E-Mailadresse ändern und damit auch den Server in den Urpsrungszustand versetzen lassen -> alle Daten weg oder in den Recoverymodus gehen und root spielen...

Und ich finde, dass es ein erheblicher Unterschied zum physischen Zugang ist. Gestohlene Daten sind beweglich. Wenn jemand im RZ direkt großen Schaden anrichten will, kann er höchstens versuchen Feuer zu legen und dabei gefahr laufen wegen der Feuerlöschanlage zu ersticken oder er läuft mit C4 rein. Ich finde der Datenklau ist realistischer und täglicher. Ich rede ja nicht davon, dass irgendjemand es ausgerechnet auf meinen Server abgesehen hat.
 
Last edited by a moderator:

monateng

New Member
Serverloft ist neu? 1999 - 2008 ist ja noch nix !!! Wir üben noch

...Es gibt hier und da noch Schwierigkeiten, aber das ist normal - die haben ja im Prinzip erst angefangen...

Hi omnivagus,

serverloft ist intergenia AG die seit 1999 auf dem Markt mit server4you, outbox AG, PlusServer AG, etc. sind. Die intergenia AG hat im August ebay.de für Stunden lahm gelegt.
[Ungeprüft einen KK-Auftrag zu bearbeiten tut schon weh, oder?]

Sicherheitslücken, laut dem Support von Frau Krä... (bis Mitte 2007 bei Intergenia), können in ihrem System nicht vorhanden sein. Die Downtime meines damaligen Servers wurde dann mit einem technischen Problem betitelt aber nie damit das ein anderer Anwender seine Kiste Herunterfahren wollte und dabei stehts meine Heruntergefahren ist. Aber bei einem Dedizierten-Server können solche Sachen schon einmal vorkommen.
Kennwörter bei Intergenia sind immer im Klartext abgelegt. D.h. kein Umständliches herausfinden durch Bruteforce notwendig.

Aber Sicherheitslücken waren ja gestern. Hacker die den KGB-Hack durchgeführt haben, GSM-Hacks oder auch die Kunst der Täuschung sind alles Themen die wir heute nicht mehr haben.

Benachrichtige einfach Golem.de und du wirst sehen wie man dort bzw. auch in dem Rest der Pressewelt mit solchen Nachrichten umgeht.

Klaubt einer daran, dass das selbe System von T-Mobile und Telekom bei T-System sicher ist?
Ja!
Axo die haben das richtig eingestellt, was?
OK also ab zu T-System und Intergenia. Provider sind etwas feines.
 

serverloft

New Member
Falscher Alarm!!!

Hallo,

um es kurz zu machen, hier handelt es sich um einen falschen Alarm!
Das Passwort zu my.serverloft.de wird bei uns natürlich nicht im Klartext in der Datenbank gespeichert sondern ausschliesslich als md5 verschlüsselter String. Das angezeigte Passwort im Interface stammt aus der Session und handelt sich um den String, den der Nutzer zum Login eingegeben hat. Kein normaler Mitarbeiter hat Zugriff auf die Passwörter in der Datenbank und kann diese einsehen oder neu setzen.
Lediglich das erste Installations-Root-Passwort wird einmalig im Klartext in der Datenbank gespeichert. Sobald Du es aber nach dem ersten Login wie von uns empfohlen änderst, wird es in keiner Form aktualisiert. Etwas anderes hat Dir der Kollege aus dem CustomerCare auch nicht geschrieben. Es würde mich freuen, wenn Du solche Punkte vielleicht erstmal per PM mit mir klärst, bevor Du hier mit falschen Infos die Welle machst.

Viele Grüße

Tom
 

Armadillo

Registered User
@ monateng: Was hat dein Posting denn bitte mit dem Thema zu tun, außer dass du auf alten Geschichten rumturnst? Hier gehts speziell um das Passwort was im Klartext da steht, welches du nur in einem Satz erwähnst...

Wir möchten hier eine sinnvolle Diskussion führen, um serverloft auf dieses Problem aufmerksam zu machen. Deshalb wäre es sehr schön, wenn sich serverloft mal selber dazu äußert, da es ja doch sehr große Bedenken seitens der Kunden hervorruft! ;)

//EDIT: Das hat sich hiermit also auch geklärt. :D
 

Thorsten

SSF Facilitymanagement
Staff member
Hallo!
Die intergenia AG hat im August ebay.de für Stunden lahm gelegt.
Die Geschichte mit dem unbeabsichtigten Transfer der ebay Domain liest du unter heise online - 30.08.04 - eBay.de: Domain-Kapern leicht gemacht noch einmal nach. Demnach war es wohl nicht Intergenia, bei denen etwas schief gegangen ist. Ganz im Gegenteil:
Vom in Kanada sitzenden eBay-Provider Tucows hörte das DeNIC trotz zweimaliger Nachfrage nichts.
Ein übliches Verfahren bei KK Anträgen. Ist BTW eine Geschichte aus dem Jahre 2004.

Kennwörter bei Intergenia sind immer im Klartext abgelegt. D.h. kein Umständliches herausfinden durch Bruteforce notwendig.
Beweise für deine Aussage zu den Kennworten? Wohl nicht. Sei bitte etwas vorsichtiger mit solchen Aussagen. Das kann unter Umständen ganz schnell ganz unangenehm werden.

mfG
Thorsten
 

CentY

Registered User
Abgesehen davon dass Intergenia bei ebay.de garnichts getan hat, gehört dies auch überhaupt nicht hier zum Thema. Wieso bringst du das also überhaupt hier an?
 

omnivagus

New Member
Hallo Serverloft,

deine Erklärung beruhigt mich. Ich habe keine PM an dich geschickt, weil ich keine Ahnung habe wer du bist und es mich auch nicht interessiert, wer hier sonst noch angemeldet ist. Euer Support hätte die Möglichkeit gehabt mich aufzuklären.

Den Weg hierher habe ich gesucht, nachdem euer Support nicht in der Lage war mir eine klare Antwort zu geben. Mir ist jetzt auch klar, was ein Supportler meinte als er das Klarwortpasswort bestätigte: er hat wohl die ganze Zeit vom root Passwort gesprochen ich aber vom Control Panel.

Keine Sorge das hier wirft mit Sicherheit kein Schlechtes Licht auf euch. Nun weiß jeder hier, wie das bei euch läuft. Aber ich nutze hier einfach mal die Gelegenheit um, wie immer, konstruktive Kritik zu üben.

An deiner Stelle würde ich mir viel mehr über den Umgangston eures Supports gedanken machen. Manchmal, eigentlich eher oft, habe ich das Gefühl, dass ich einen 18 Jährigen nerd am Telefon habe, der mit Menschen gar nicht sprechen will und kann. Keine Frage es ist toll, dass es einen kostenlosen Support gibt und der auch trotz der "das ist ein Angebot für Profis, also keine blöden Fragen stellen-Politik" auskunftsfreudig ist. Aber das ist wie mit der Kuh, die doppelt soviel Milch abgibt als die anderen... Wenn ich völlig übermüdet (wegen dem Server) so einen - Verzeihung - Stinker dran habe, wie heute Nacht kann es schnell passieren, dass ich mir sage "ihr könnt mich mal". Ich glaube ich bin nicht der einzige, der in solchen Situationen so reagiert.

Ich mache seit einigen Tagen und Nächten am Xen rum, was du hier sicher auch gelesen hast. Klar, es ist ein Angebot für Pofis und wenn man wegen euer Netzstruktur Xen nicht im Bridge Modus betreiben kann sondern auf routing umstellen muss, dabei aber die Besonderheit eurer Netzstruktur richtig einbringen muss, ist man halt nicht Profi genug.

Glücklicherweise habe ich ausgerechnet bei eurem Konkurrenten eine sehr detailierte Erklärung dazu gefunden. Schade, dass ihr (noch) nicht solche Dokus habt. Aber vielleicht gibt es ja einen Grund dafür, dennoch schade, dass du dich nicht herablässt und einfach einen Satz hier im Forum dazu schreibst, welchen gateway man im domU eintragen muss - denn nur daran scheitert es.

Und zu guter Letzt:
Solange mein Server nicht ernsthaft eingesetzt wird versuche ich natürlich alle möglichen und unmöglichen Dinge, damit ich weiß, was im Ernstfall auf mich zukommt. Das gibt natürlich zunächst viele Fragen an den Support, aber sorry.. ich finde es völlig normal, dass man das Verhalten des Servers in ungewöhnlichen Situationen kennen will.
Nun, ich habe heute mal einen "halt -p" gemacht und mich gefragt, ob man die Kiste danach über das control panel überhaupt noch irgendwie hochfahren kann, oder vielleicht der Server grundsätzlich automatisch wieder hochfährt - wie nach einem Stromausfall z. B.

Antwort des Supports:
Ihr Server war ausgeschaltet und wurde nun wieder angeschaltet.

Leider können wir auf Ihre Anfrage nicht näher eingehen. Ich bitte um Verständnis, dass Sie sich für ein Produkt entschieden haben, welches sich ausschließlich an professionelle Anwender richtet und daher keinerlei Supportleistungen inkludiert.

Ich interpretiere die Antwort des Supports mal so:
Da hat doch tatsächlich ein Idiot den server runtergefahren und fragt sich warum der nicht mehr reagiert.
Vielleicht begreift er, dass wir solche Kunden gar nicht haben wollen und mache ihn mal darauf aufmerksam, dass wir eigentlich nur professionelle Anwender haben wollen

Ob das professionell ist zu testen wie der server nach einem halt -p reagiert muss jeder für sich entscheiden. Aber den blöden Spruch in der Support Mail hätte man sich sparen können, weil ich gar keine Frage gestellt habe! Statt des albernen Satzes hätte man einfach so antworten können:
Wenn Sie den Server runterfahren, kann dieser nur durch das Support-Team wieder hochgefahren werden. Im Control Panel ist das nicht möglich.
Wenn wir schon von Erfahrenen Anwendern Sprechen, sollten wir uns auch über einen vermeintlich erfahrenen Support unterhalten...

Leute, ich habe hoffentlich bald alle "bescheurten" Fragen (inkl. Xen) geklärt und werde gut informiert auf mit Sicherheit kommenden ungewöhnlichen Probleme im Alltagbetrieb zu reagieren wissen und werde euch wahrscheinlich nie wieder kontaktieren müssen. Es ist mir somit völlig egal was ihr da treibt, aber bedenkt eins: Die T-Com z. B. ist mit Sicherheit technisch gesehen besser aufgestellt als ihre Konkurrenz, aber sie machen sich vor allem durch ihren unerträglichen Support alles zunichte. Macht nicht den gleichen Fehler - ihr lebt von den Kunden nicht umgekehrt.

Ach und was Xen angeht.. solltet ihr in Zukunft, wie ich irgendwo aufgeschnappt habe, extra Xen-Angebote anbieten und vielleicht deshalb in dieser Sache nichts von etwas Hilfestellung zu sehen ist, kann ich euch nur sagen, dass das der falsche Weg ist. Aber wer weiß, vielleicht irre mich ja auch?!
 
Last edited by a moderator:

serverloft

New Member
Hallo,

ich habe mit gerade mal alle Tickets zu Deinem Server durchgelesen. Wenn ich das richtig gesehen habe, hast Du in den letzten 3 Tagen 9 Tickets/Replys geschrieben und einmal bei unserem kostenlosen Support angerufen. Mit einer Ausnahme sind alle schriftlichen Antworten innerhalb von ca. 60 Min erfolgt und waren durch die Bank ausführlich und freundlich. Ich kann deshalb Deine Ausführungen nicht ganz nachvollziehen. Bezüglich des Neustarts hattest Du in Deinem Ticket nicht geschrieben, dass Du den Rechner mit "halt -p" runtergefahren hast, sondern hast vielmehr folgendes geschrieben "Habe reboots/recovery probiert und zuletzt eine Neuinstallation." Danach hast Du gebeten, dass unser Support den Rechner für Dich wieder pingbar macht oder neuinstalliert. Wir haben nach ausführlicher Fehlersuche im RZ festgestellt, dass Du den Server selbst ausgeschaltet hattest und ihn dann wieder gestartet. Das hat der Kollege Dir in der Antwort mitgeteilt. Nicht mehr und nicht weniger.

Das Konzept von serverloft sagt ganz klar, dass wir keinen Support für individuelle Software-Konfigurationen leisten. XEN ist aber genau das. Natürlich kannst Du von unserem Support die notwendigen Gateways, etc. erfragen, aber die Konfiguration des Servers ist Deine Sache.

Den Bridged Modus erlauben wir nicht, da wir an jedem Switchport nur eine MAC-Adresse unterstützen. Jede andere Konfiguration würde weitreichende Nachteile für die Sicherheit unseres Netzwerkes bedeuten. Da wir ein allgemeines Interesse an XEN sehen, planen wir kurzfristig ein fertiges Images mit XEN ohne Aufpreis anzubieten.

Viele Grüße

Tom
 

omnivagus

New Member
Xen-Images - das sind doch mal gute Nachrichten. Es stimmt nicht, dass ich nur 1 mal angerufen habe. Zuletzt übrigens heute früh 3 mal zwischen ca. 5-6 uhr (bittere Uhrzeiten) es ist niemand rangegangen, bzw. das eine mal ging eine mailbox ran irgendwas mit 0152 wenn ich mich richtig erinnere. Aber das war auch besser so, denn so kam ich auch mal zum Schlafen.

Wenn ich schreibe, dass ich mit eurem Support öfters telefoniert habe, dann ist das so. Aber ich habe keine Lust solche Diskussionen hier zu führen.

Und Was das halt -p angeht, so habe ich danach eben versucht über Neuinstallation und Sonstiges den Server wieder hochzufahren. Den Hinweis mit der Neuinstallation habe ich in das Ticket geschrieben, damit der support ein evtl. offenes "Neuinstallations-Ticket" schliesst, weil ich davon ausging, dass evtl. so etwas existiert und ich vermutet habe, dass der Neuinstallationsprozess evtl. mittendrin unterbrochen worden ist.

Übrigens scheint es so, als ob nach der Beendigung des Recovery Modus der Server nicht automatisch rebootet wird. Nicht schlimm, nur man weiß es eben nicht, weil es niergends steht... Aber zu den spärlichen Informationen im Control Panel habe ich euch schon mal etwas geschrieben. Ihr solltet wirklich einen Externen mit der Gestaltung beauftragen, der nicht "Betriebsblind" ist, denn selbst "erfahrene Anwender" haben keine Lust zu raten, was sich so alles hinter einem Button verbirgt.

Aber ich finde das gehört alles nicht mehr hier rein. Das ist nicht das Support-Forum von serverloft, auch wenn so eins offensichtlich nicht schlecht wäre, denn dann könnte man solche Dinge "intern" klären.

Für mich ist die Sache erledigt. Ich habe jetzt meine Informationen und alles andere müsst ihr wissen... daher.. viel Erfolg noch.
 
Status
Not open for further replies.
Top