Sperrung wegen DoS
- Thread starter thunder
- Start date
Problem ist, daß ich keinen Zugriff auf die LOGs habe, da der Server schon vom netz genommen wurde. Der Support meinte, die einzige Lösung wäre eine Neuinstallation - da der Server gehacked wurde. Was ich einsehe. Da ich kaum selbst zwischen 01 Uhr und 04 Uhr irgendwelche Pakete raussende, muss wohl der Server wohl erfolgreich gehacked worden sein.
Hoffentlich bleibe ich nicht auf den Kosten sitzen, hoffentlich.
Hoffentlich bleibe ich nicht auf den Kosten sitzen, hoffentlich.
Bist du bei S4Y?
Verwunderlich ist:
Ich habe DIESE Nacht auf die Trafficanzeige meines Vservers gschaut (Vserver Basic S4Y):
Alles normal...in den letzten 3 Tagen ein Traffic pro Tag von ca 100 MB...
Gerade schaue ich drauf, da soll ich in den letzten 3 Tagen ca 100 GB Daten gemacht haben....
Hab mal ein Ticket geschrieben. Sehr verwunderlich. Alle Logs gesichert und alle Prozesse bis auf SSHd beendet.
Verwunderlich ist:
Ich habe DIESE Nacht auf die Trafficanzeige meines Vservers gschaut (Vserver Basic S4Y):
Alles normal...in den letzten 3 Tagen ein Traffic pro Tag von ca 100 MB...
Gerade schaue ich drauf, da soll ich in den letzten 3 Tagen ca 100 GB Daten gemacht haben....
Hab mal ein Ticket geschrieben. Sehr verwunderlich. Alle Logs gesichert und alle Prozesse bis auf SSHd beendet.
Hallo!
Wie stellt sich der Anbieter denn vor wie es weitergehen soll? Eigentlich müsste man dir die Gelegenheit geben, das ganze zu untersuchen. Es kann ja nicht sein, dass der Server jetzt einfach neu installiert wird.
Im schlimmsten Fall - auch wenn das mit Kanonen auf Spatzen schiessen gleichkommt - Strafanzeige wegen Datensabotage gegen Unbekannt stellen. Dies dem Provider mitteilen mit Hinweis auf Sicherungspflicht der Logdateien.
mfG
Thorsten
Wie stellt sich der Anbieter denn vor wie es weitergehen soll? Eigentlich müsste man dir die Gelegenheit geben, das ganze zu untersuchen. Es kann ja nicht sein, dass der Server jetzt einfach neu installiert wird.
Im schlimmsten Fall - auch wenn das mit Kanonen auf Spatzen schiessen gleichkommt - Strafanzeige wegen Datensabotage gegen Unbekannt stellen. Dies dem Provider mitteilen mit Hinweis auf Sicherungspflicht der Logdateien.
mfG
Thorsten
Der Supportmitarbeiter meinte auf diese Frage, daß ein Zurückverfolgen mit ausgiebigem Durchsuchen der Logdateien verbunden wäre. Das wiederum würde selten zum Erfolg führen, daher die Neuinstallation die beste Lösung. Sicherlich aus der einen Sicht schon die bessere Lösung, jedoch weiß ich nicht, was die Ursache des Hacks war. Jetzt installiere ich alles neu - ohne meine wichtigsten Daten vorher sichern zu können, bezahle wiederum ca. 40 Euro (+ 40 Euro AE für die Sperrung) und dann erfolgt derselbe Hack wieder. Versteht ihr?
Ich hab EXAKT das gleiche Problem mit meinem Vserver. In der Nacht vom 21ten zum 22ten ca 80 GB Traffic NUR Outgoing...Anardil said:
"ifconfig" meldet aber dass ich in 50 Tagen Uptime 3 GB Traffic gemcaht hab (was auch stimmte..bis gestern...)
Und wir reden hier um 109 Euro die ich zahlen soll...
coolnes2003
Registered User
Mich würde mal interessieren, was mit den Kosten ist die entstanden sind. Wie soll man nachweißen, dass man es nicht selber war?
Ich habe auch einen Server und überlege gerade, wie man sich davor schützen kann.
Ich glaube, wenn man zur Polizei geht und eine Anzeige macht, werden diese nur Lachen. Die Polizei weiß doch nicht was das ist.
Ich habe auch einen Server und überlege gerade, wie man sich davor schützen kann.
Ich glaube, wenn man zur Polizei geht und eine Anzeige macht, werden diese nur Lachen. Die Polizei weiß doch nicht was das ist.
Last edited by a moderator:
Kurze Zwischeninformation von mir. Ich bleibe auf den Kosten sitzen. Von der Buchhaltung wurde ich mehr oder weniger "freundlich" mit dem Hinweis auf "Selbstschuld" + Hinweis auf AGB's abgewiesen.
Machtlos würde den Status jetzt wohl genau beschreiben. Ich werde jetzt Anzeige erstatten und hoffen, daß ich dadurch was erreichen kann. Den Server kann ich bis dahin nicht nutzen, da die Logfiles nicht gelöscht werden dürfen, was bei einer Neuinstallation wohl geschehen würde.
Traurig.
Machtlos würde den Status jetzt wohl genau beschreiben. Ich werde jetzt Anzeige erstatten und hoffen, daß ich dadurch was erreichen kann. Den Server kann ich bis dahin nicht nutzen, da die Logfiles nicht gelöscht werden dürfen, was bei einer Neuinstallation wohl geschehen würde.
Traurig.
Meine Anfrage verliefen ähnlich.
Ich werde die Kosten von 109 Euro auch selbst tragen und gleichzeitig die Kündigung zum nächsten Zeitpunkt in Auftrag geben.
Da dies erst im Jannuar 06 sein wird, wird der Server sich in einer reboot-Schleife tod rebooten bis er abgeschaltet wird damit genau das nicht mehr passiert
Find ich auch mehr als traurig, vorallendingen weil es nicht ein Fehler meinerseits war was an den Logdateien eindeutig belegt werden kann.
Ich werde die Kosten von 109 Euro auch selbst tragen und gleichzeitig die Kündigung zum nächsten Zeitpunkt in Auftrag geben.
Da dies erst im Jannuar 06 sein wird, wird der Server sich in einer reboot-Schleife tod rebooten bis er abgeschaltet wird damit genau das nicht mehr passiert
Find ich auch mehr als traurig, vorallendingen weil es nicht ein Fehler meinerseits war was an den Logdateien eindeutig belegt werden kann.
Meine Kosten sind 7x höher und ich werde auch entsprechend handeln. Allen Freunde, denen ich bisher einen vserver von Server4You empfohlen habe, werd ich dringend davon abraten. Ich habe keine Schuld an dem verursachten Traffic, werde pampig behandelt und selbst vom CRM-Manager "nur" auf die AGB's verwiesen. Eigentlich sollten sich Unternehmen, gerade in solchen Fällen, mit Ihren Kunden zusammensetzen und eine gemeinsame Lösung finden. Das ist nicht der Fall und das finde ich traurig.
Wer kann garantieren, daß die Sicherheitslücke behoben ist und nicht noch andere, neue Nutzer Gefahr laufen eine solche Rechnung zu bekommen? Denn wenn wir ehrlich sind, werden mit solchen Angeboten nicht nur die "Profis" angelockt ... die kleineren, unerfahrerenen User werden vor den Kopf gestossen. Ich bin tief enttäuscht von Server 4 You.
Wer kann garantieren, daß die Sicherheitslücke behoben ist und nicht noch andere, neue Nutzer Gefahr laufen eine solche Rechnung zu bekommen? Denn wenn wir ehrlich sind, werden mit solchen Angeboten nicht nur die "Profis" angelockt ... die kleineren, unerfahrerenen User werden vor den Kopf gestossen. Ich bin tief enttäuscht von Server 4 You.
DjTom-i
Member
...
Jungs,
wo ich das hier so lese... H o r r o r !!!
Wo bleiben den hier die fleißigen S4Y Mitarbeiter, die sich hier doch im Forum auch mal ab und an tummeln um den (höchstwahrscheinlich) ehrlichen Geschädigten zu helfen.
Es muß doch im Interesse des Unternehmens sein hier den Usern zu helfen die S4Y so viel Arbeit durch ihren fleissigen Support abnehmen.
Und sind wir mal ehrlich, ein wenig Kulanz tut S4Y sicher nicht weh... Bringt oder hält sicher einige Kunden die hier mitlesen oder betroffen sind.
Möge der Funk mit uns allen sein
Jungs,
wo ich das hier so lese... H o r r o r !!!
Wo bleiben den hier die fleißigen S4Y Mitarbeiter, die sich hier doch im Forum auch mal ab und an tummeln um den (höchstwahrscheinlich) ehrlichen Geschädigten zu helfen.
Es muß doch im Interesse des Unternehmens sein hier den Usern zu helfen die S4Y so viel Arbeit durch ihren fleissigen Support abnehmen.
Und sind wir mal ehrlich, ein wenig Kulanz tut S4Y sicher nicht weh... Bringt oder hält sicher einige Kunden die hier mitlesen oder betroffen sind.
Möge der Funk mit uns allen sein
Last edited by a moderator:
Ich weiß nochnichteinmal ob es sich wirklich um einen Hack handelt. Am Freitag bekam ich eine eMail, daß der Server gesperrt wurde:
Super dachte ich mir - was sagt mir jetzt die Prozessliste? Auf den Server komme ich nicht drauf, um die Logfiles zu überprüfen. Kann also nur den teuren Support anrufen, was ich dann auch tat. Dieser bestätigte mir, daß es sich um einen Hack handelt - ich weiß jedoch nicht, ob da jemals irgendjemand wirklich was geprüft hat. Seit dem sitze ich da und weiß nicht, was ich machen soll. Der Support meinte, ich sollte eine Neuinstallation beantragen. Klasse.
Als ich dann heute die oben genannte Nummer anrief erhielt ich natürlich keine Hilfe sondern nur eine böse Antwort.
Super dachte ich mir - was sagt mir jetzt die Prozessliste? Auf den Server komme ich nicht drauf, um die Logfiles zu überprüfen. Kann also nur den teuren Support anrufen, was ich dann auch tat. Dieser bestätigte mir, daß es sich um einen Hack handelt - ich weiß jedoch nicht, ob da jemals irgendjemand wirklich was geprüft hat. Seit dem sitze ich da und weiß nicht, was ich machen soll. Der Support meinte, ich sollte eine Neuinstallation beantragen. Klasse.
Als ich dann heute die oben genannte Nummer anrief erhielt ich natürlich keine Hilfe sondern nur eine böse Antwort.
Hallo!
Würde ich auf die schnelle als nicht normal identifizieren. Nur um herausfinden zu können was nun der Auslöser ist, musst du zwangsläufig Zugriff auf den Server haben.
mfG
Thorsten
PS.
Auch wenn es schwer fällt - versucht bitte sachlich zu bleiben.
Code:
28448 www-data 15 0 620 580 540 R 86.2 0.0 601:17.57 22
5634 www-data 8 0 0 0 0 Z 0.0 0.0 0:00.02 sh <defunct>mfG
Thorsten
PS.
Auch wenn es schwer fällt - versucht bitte sachlich zu bleiben.
eventuell phpbb2 hack?
Da will ich mich anschliessen.
Soweit man sehen kann an dem top Ausschnitt
läuft da ein Prozess mit Name 22 als www-data user und konsumiert
jede Menge cpu Zeit.
Weiterhin kann man eine shell sehen die unter www-data läuft.
Ich vermute bei einem netstat -anu oder -an sieht man ne menge udp verbindungen.
Ein Problem wird hier ---> geschildert : http://cert.uni-stuttgart.de/archive/bugtraq/2005/05/msg00026.html
Lies mal nach und gib mal Bescheid.
Kopf hoch.
Gruss
Klaus
Thorsten said:
Da will ich mich anschliessen.
Soweit man sehen kann an dem top Ausschnitt
läuft da ein Prozess mit Name 22 als www-data user und konsumiert
jede Menge cpu Zeit.
Weiterhin kann man eine shell sehen die unter www-data läuft.
Ich vermute bei einem netstat -anu oder -an sieht man ne menge udp verbindungen.
Ein Problem wird hier ---> geschildert : http://cert.uni-stuttgart.de/archive/bugtraq/2005/05/msg00026.html
Lies mal nach und gib mal Bescheid.
Kopf hoch.
Gruss
Klaus
Last edited by a moderator: