Strato hat Zugriff auf meinen V-Server

[_Nick_]

Hallo,

sicherlich bin ich nicht der Einzige der solch eine Mail (ganz unten) von Strato erhielt, bezüglich der kritischen Plesk-Lücke mit der agent.php Sache.

Es ist so dass ich auf meinem V-Server ein OpenSuse 11.1 mit Evergreen updates laufen habe und OpenSuse in dieser Version nur bis Plesk 10.1.1 unterstützt wird. Updates auf höhere Plesk-Versionen sind also nicht möglich aber kritische Sicherheitsupdates kommen mit dem Microupdates rein, So auch das MU 22 im Februar.

Wie in der Mail mitgeteilt (siehe unten), hat mir Strato nun Port 8443 zur Sicherheitsprävention gesperrt. Obwohl meine Plesk-Version mit dem MU 22 bereits gefixt wurde. Grundsätzlich mag es ja gute Sache sein mich schützen zu wollen aber ich finde es nicht gut wenn Dritte Zugriff auf meinen Server haben.

Was mich aber viel mehr interessiert, wie kann es sein das Strato meine Firewallregeln bearbeiten kann? Von den Standardbenutzern existiert kein einziger mehr und die Passwörter wurden nach dem Setup natürlich auch alle geändert.

Ich bin ein wenig ratlos, wie kann ich Strato denn solche Eingriffe verbieten?

Sehr geehrte STRATO Kundin, sehr geehrter STRATO Kunde,

eine kritische Sicherheitslücke in der Administrations-Software Plesk wird derzeit
aktiv genutzt, um betroffene Server zu kompromittieren. Betroffen sind Linux- und
Windows-Server mit Parallels Plesk Panel 7.6.1 - 10.3.1. Über eine SQL-Injection
können Angreifer vollen administrativen Zugriff auf das System erlangen.

Die Sicherheitslücke wurde vom Hersteller Parallels in der aktuellen Version bereits
behoben. Für einige ältere stellt Parallels sogar Micro-Updates bereit, um diese
Sicherheitslücke zu stopfen. Prüfen Sie deshalb bitte umgehend, ob Ihr System auf
dem aktuellen Stand ist. Ist Ihr System nicht auf dem aktuellen Stand,
aktualisieren Sie es sofort und spielen die letzten Plesk-Updates ein. Wichtige
Informationen hierzu finden Sie direkt unter: http://kb.parallels.com/en/113321


Wichtiger Hinweis: Pleskzugang temporär gesperrt

Da die Plesk-Schwachstelle zunehmend systematisch ausgenutzt wird, haben wir zum
Schutz Ihres Systems und Ihrer Daten den Plesk-Port 8443 temporär durch eine
lokale Firewallregel gesperrt.
iptables -N strato-block-plesk
iptables -A strato-block-plesk -j DROP
iptables -I INPUT 1 -p tcp --dport 8443 -j strato-block-plesk

Sie können diese Sperre jederzeit durch einen reboot oder folgenden Befehl aufheben.
iptables --flush strato-block-plesk

Wir empfehlen jedoch unbedingt, vorher das System zu überprüfen und Plesk
gegebenenfalls auf den aktuellsten Stand zu bringen.


Die Aktualisierung erfolgt unter Linux am einfachsten über den Plesk-Autoinstaller:
- für openSUSE/CentOS
/usr/local/psa/admin/bin/autoinstaller --ignore-key-errors

- für Debian/Ubuntu
/opt/psa/admin/bin/autoinstaller --ignore-key-errors

Exemplarisch ist dessen Verwendung hier beschrieben:
http://www.strato-faq.de/artikel.html?id=2425

Weitere allgemeine Hinweise zum Einspielen der Microupdates finden Sie hier:
http://kb.parallels.com/de/9294
In unserem Kundenservicebereich versorgen wir Sie mit weitergehenden Hinweisen zu
dieser Sicherheitslücke.
Bitte informieren Sie sich regelmäßig unter https://config.stratoserver.net

Ihr STRATO Server-Team.

Auszug aus besagter Mail

 

[Silent]

Ich persönlich fände es krass, wenn der Provider keine Kontrolle über seine Kunden hätte.
Strato hat vermutlich über die Management Console deine Einstellungen angepasst. Das sind eben Sicherheitsmaßnahmen von der STRATO AG.

 

[GwenDragon]

Was mich aber viel mehr interessiert, wie kann es sein das Strato meine Firewallregeln bearbeiten kann? Von den Standardbenutzern existiert kein einziger mehr und die Passwörter wurden nach dem Setup natürlich auch alle geändert.

Ich bin ein wenig ratlos, wie kann ich Strato denn solche Eingriffe verbieten?

Weil Strato als Dienstleister dafür sorgen darf, dass die Betriebssicherheit gewährleistet bleibt, dürfen die die Firewallregeln sicherlich ändern.
Dass kein Standardbenutzer mehr existiert und die Passwörter geändert wurden ist ärgerlich.

Zudem musst du mal in die AGB schauen, da steht drin, was der Dienstleister darf.

 

[_Nick_]

Ich persönlich fände es krass, wenn der Provider keine Kontrolle über seine Kunden hätte.
Strato hat vermutlich über die Management Console deine Einstellungen angepasst. Das sind eben Sicherheitsmaßnahmen von der STRATO AG.

Aber ohne das System zu kennen, einfach einzugreifen finde ich unverantwortlich, zumal die Lücke bereits zuvor durch das MU gefixt wurde. Der Eingriff des Providers ist also in dem Fall Blödsinn.

Dass kein Standardbenutzer mehr existiert und die Passwörter geändert wurden ist ärgerlich.

Was ist denn das für eine Aussage? Es ist doch Sicherheitstechnisch immer besser neue Benutzer anzulegen und die Standardpasswörter zu ändern als die, die man nach dem Setup zugewiesen bekommt.

 

[tomasini]

Das ist ein vServer. Vom Hostsystem aus hat man deshalb Zugang auf alle VMs, die auf dem System laufen.

Nach dem ProFTPD-Fuckup letztes Jahr wurde man bei Strato aufgrund des jüngsten Plesk-Exploits wohl etwas nervös und wurde diesmal bereits "proaktiv" tätig.

 

[Silent]

GwenDragon hat den Text vermutlich falsch aufgefasst.
Du meinst nähmlich, dass Du nach dem Setup jegliche Passwörter geändert hast.

Vielleicht hat STRATO einfach mal alles gesperrt, was Plesk installiert hat?
Zumindest kann man die E-Mail so auffassen...

 

[GwenDragon]

Das mit dem Standardbenutzer habe ich wohl falsch verstanden.
Sicherlich ist es vonnöten Zugangspasswörter zu ändern. Was aber kaum hilft, wenn das System nicht mehr sauber ist.

Was das Eingreifen von Strato anbelangt, ist das wenig sinnvoll ohne Überprüfung, ob wirklich kein Update vorlag, zu sperren.
Das ist wohl Übervorsicht.

 

[d4f]

Ein Wechsel der Passwoerter waere nicht notwendig gewesen, sie sind alle mit Salt gehasht.
Als root einloggen kann sich der Provider schlicht mit "vzctl enter <Vserver-ID>" auf dem Hostserver; dein vServer ist 'nur' ein paar Programme die drauf laufen.

Was das Eingreifen von Strato anbelangt, ist das wenig sinnvoll ohne Überprüfung, ob wirklich kein Update vorlag, zu sperren.

Wenn man davon ausgeht dass vermutlich 99% der Kunden keine regelmaessigen Updates installieren und 50% nicht mal wissen wie man die Befehle ausfuehrt.... eher Erfahrung als Vorsicht.

 

[_Nick_]

Ein Wechsel der Passwoerter waere nicht notwendig gewesen, sie sind alle mit Salt gehasht.

Ich hab mich vielleicht bisschen ungeschickt ausgedrückt, die Passwörter wurden nach der ersten Installation des Server geändert, nicht erst jetzt nach dem Zugriff.

Aber danke für die Aufklärung mit dem virtuellen Server, mir was bisher nicht wirklich klar dass der Provider so weitreichende Eingriffsmöglichkeiten besitzt. Ich hab mir das eher so vorgestellt, dass alle virtuellen Maschinen abgeschottet in irgendwelchen Containerfiles liegen. Ähnlich wie bei einer VBox oder VmWare.

Da muss ich mich wohl mal mit beschäftigen.

 

[catwiesel]

Hier das gleiche in grün.....

Server Strato gesperrt

Hallo Ihr, soeben wurde mein Server gesperrt folgender Grund wurde mir zunnächst genannt: 1. Anruf: Techniker sagte mein Server wurde für eine DOS Attacke missbraucht. Telefonat unterbrochen. Ich prüfe meinen Server regelmäßig...so tat ich dann folgendes: chkrootkir ausgeführt...nix...

serversupportforum.de

 

[catwiesel]

Was mich aber viel mehr interessiert, wie kann es sein das Strato meine Firewallregeln bearbeiten kann?

Gar nicht, einfach nur den Port zur VM gesperrt und zwar vom Hostsystem aus.

 

[d4f]

Hach wie schoen dass jeder die explizite Email von Strato auch liest...

Sie können diese Sperre jederzeit durch einen reboot oder folgenden Befehl aufheben.
iptables --flush strato-block-plesk

Das sieht NICHT nach einer host-seitigen Sperre sondern aus der VM raus aus.
(Naja strikt genommen ist beides hostseitig da es der gleiche Kernel ist...)

 

[Huschi]

Da diese Lücke bereits seit über 3 Wochen massenhaft und automatisiert ausgenutzt wurde, halte ich diesen Schritt von Strato seine Kunden so zu schützen, absolut für angebracht.
Insbesondere die gewählte Methode, so dass jeder Admin seine Maschine wieder entsperren kann.
Auch die massenhaften Emails in der große Aufklärung betrieben worden ist (und Strato war damit deutlich schneller als die Konkurrenz) ist erwähnenswert.

Ausnahmsweise bekommt Strato für sein Verhalten in diesem Fall von mir ein:
Lobenswert!!!

huschi.