Vserver DDOS in den vergangen Tagen

D

djrick

Registered User
Halli Hallo!

Wie es einige schon mitbekommen haben sind jetzt 2 Fälle bekannt in denen ein Vserver bei S4Y imense Mengen an Übertraffic im Admin.Vserver.DE - Menü zeigt.

Wir sind uns noch nicht sicher ob es wirklich ein DDOS Angriff war/ist oder ob einfach die Anzeige des Trafficabrechnungsmoduls bei Server4You gestört ist.

Wir bitten deswegen alle Vserver Kunden einmal einen Blick in IHR Kundeninterface zu werfen damit es kein böses Erwachen gibt.
 
Nr. 3 meldet sich ;)

Hi,

hier meldet sich dann mal Nr 3 der Gehackten ;)

Bei uns entstand aber nur ein ausgehender Traffic von ca 10 GB bis der Server gesperrt wurde, somit also von der Sicht aus nicht weiter schlimm.
Der Server ist mittlerweile neu installiert, es müssen "nur" noch die Daten zurückgespielt werden.
 
Hallo

Da sich die Angriffe auf vserver von s4y häufen, wäre es vielleicht interessant, wenn die betroffenen ihre konfiguration vortsellen würden und die skripte, welche auf den einzelnen webs laufen - damit man die Art der Bedrohung erkennen kann.
 
So wie´s bei uns ausschaut, war phpbb schuld daran. Über eine Lücke im phpbb, die am Sonntag wohl anscheinend auch gefixt wurde, muss der Zugriff auf den Server möglich gewesen sein. Danach wurde dann udp.pl.

Das ist zumindest mein Wissensstand momentan.


Gruss
Chris
 
typisch phpbb.....

auf mamboportal.at hatten wir das zu Weihnachten

kann nur jedem raten ein Forumskript zu benutzen, welches nicht so extrem verbreitet und leider voller löcher ist. smf ist eine Alternative....
 
Danke für den Hinweis, ich hatte da kein Problem.

Ich kann allen empfehlen, mod_security zu verwenden, das filtert bei einer guten Konfiguration viele Befehle aus den Webseitenaufrufen raus.

Confixx Premium hat anscheinend auch nicht den Ruf so sicher zu sein, kann aber auch nur ein Gerücht sein.

Ich denke, ich kündige auch meinen vServer und gehe zu Vanager o.ä., das hier aufgetretene hat mich ehrlichgesagt enttäuscht.

Meiner Meinung nach sollte ein Anbieter das Interesse haben, das Grundsystem möglichst sicher zu machen. Das heißt Root Passwort != MySQL Passwort etc. und den Kunden im Falle eines Hacks unter die Arme zu greifen. Dies ist aber scheinbar bei S4Y nicht der Fall. Das mbroemme an noexec für /temp arbeitet ist schön, nur wäre es interessant, warum dies nicht schon länger der Fall ist. noexec ist sicherlich nicht ganz neu. 40€ für das abschalten sind meiner Meinung nach völlig übertrieben, dies sollte ein Freundschaftsdienst des Anbieters sein.

Mit folgender Konfiguration hatte ich keine Probleme:
SysCP, Apache2, PHP4, Squirrelmail, kein Confixx, Postfix, mod_security

Nessus hab ich auch mal über meinen Server laufen gelassen.

Martin
 
Last edited by a moderator:
Mit folgender Konfiguration hatte ich keine Probleme:
SysCP, Apache2, PHP4, Squirrelmail, kein Confixx, Postfix, mod_security
Click to expand...

Wozu hast du sonst root? :) Ich wuerd zum Beispiel nie freiwiliig ein Postfix installieren, da es exim gibt. :) Aber eben dazu heisst das Teil "Virtuell dediziert" eben damit du es selber deinen Wuenschen entsprechend konfigurieren kannst. :) Wer das nicht macht, naja der sollte entweder Shared Hosting nehmen, oder sich ernsthaft Gedanken darueber machen was er mit einem vSERVER will.

PS: MySQL Passwort und root Passwort sind bei uns seit einer Ewigkeit schon unterschiedlich. :) Und das es noexec schon lange gibt, weiss ich, nur wieso muss man sowas ueberhaupt ansprechen? Bei dediziert ist das logisch das man das aktiviert, dass sagt einem doch schon der gesunde Menschenverstand.
 
Last edited by a moderator:
Hallo,
dass MySQL Passwort != Rootpasswort mehr ist, wusste ich leider nicht, da ich nicht so oft neu installiere, ich bin auch froh darüber :D

Zu noexec: Das war auf die vServer bezogen und bei denen wäre es schon wünschenswert gewesen, wenn noexec schon seit langem aktiviert ist, denke ich. Würde bei vielen Kunden 40€ sparen ;) Ich weiß aber nicht in wie weit es Probleme mit Virtuozzo --> noexec bei der Entwicklung gibt/gab, damit kenne ich mich auch nicht wirklich aus :D

Martin
 
Last edited by a moderator:
[...] wäre es schon wünschenswert gewesen, wenn noexec schon seit langem aktiviert ist[...]
Click to expand...
IMHO wird S4Y das nicht in der Standartkonfiguration einrichten. Um noexec für temp zu deaktiveren mußt /temp ein seperates Dateisystem sein, d.h. entweder muß der gesammte Speicherplatz auf zwei vzfs Dateisysteme unterteilt werden oder eine loop back Datei wird als /temp gemaoutet. Beides hat den Nachteil das es nicht dynamisch an die Bedürfnisse der Benutzer angepasst werden kann (ich brauche z.b. nur ein paar kb in /temp, aber wer Bilder per php bearbeitet o.ä. kann mehrere 100 MB brauchen). Und einem DAU verständlich zu erklären warum von seinem 2 GB Festplattenplatz einige hundert MB für /temp reserviert sind und nicht für andere Zwecke benutzt werden können ist Marketingleuten zu umständlich.
Aber eine kurze Anleitung in der S4Y FAQ wie man /temp als noexec loop back Dateisystem einrichtet wär nett (natürlich erst wenn es geht ;))
 
hallo zusammen,

ich habe mir bisher nicht den ganzen thread durchgelesen, aber auch mein vserver wurde gehackt. das ganze geschah wohl am 31.8.05. die haben den server sofort gesperrt und es ist kein übertraffic entstanden. eigendlich bin eher dankbar dafür das s4y den server gesperrt. ich bekam halt ein ticket das besagt das der server gehackt wurde, und von ihm aus DoS attaken gefahren wurden. deshalb musste der server gesperrt werden und ich müsse 1 arbeitseinheit bezahlen. ok das muss ich nun mal glauben und ich muss auch die arbeitseinheit bezahlen, wie hoch die kosten dafür sind, keine ahnung. das ganze kann so gewesen sein, nachweisen kann ich das wohl kaum oder ?
wenn ich das forum hier so lese könnte das ja auch eine einnahmequelle sein ?

alles schön und gut, server down. nun hüllt sich s4y in stillschweigen. ich habe auf das ticket geantwortet, nichts schon über mehrere tage. s4y antwortet einfach nicht auf mein ticket. der server ist nicht ereichbar, auch nicht das confixx menü um evtl. meine daten backupen zu lassen. eine neuinstall könnte ich über das kundenmenü beantragen, dann sind aber meine persönlichen daten weg.

ich finde es absolut arm den markt mit billigprodukten zu überschwemmen, aber den kunden dann zu 100% im regen stehen zu lassen. ich würde einfach kündigen, aber wie soll ich dann jemals an meine daten kommen. es läuft auf dem server nichts wie eine standard homepage, alles billigstes html und ein teamspeak. auf den ts ist gepfiffen, ich habe kuzerhand einfach einen anderen angemietet. aber meine daten hätte ich schon gerne, natürlich auch info wie sich s4y das vorstellt. es kann doch nicht angehen den server zu sperren und mich sonst einfach zu ignorieren ?

wie gesagt, den server zu sperren war ok, ist ja zu meinem schutz offensichtlich. wobei ich sagen muss, ich nahm an das diese server gesichert sind ? aber das jetzt zu diskutieren lohnt nicht. fraglich ist was man gegen diese schier uferlose ignoranz machen kann. an der 0190 nummer hat man mich von einem zum anderen verbunden, nach einer heftigen warteschleife, im ergebnis kam null rum, nur der hinweis mich an den technischen support via ticket zu wenden. also wenn schon 0190, was ich generell verstehen kann. support muss finanziert werden, dann sollte man aber in der lage sein dem kunden was zu sagen oder?
die 0190 verweist mich an das ticketsystem, da werde ich aber ignoriert.

was macht ihr wenn ihr derartige probleme habt. ich bin etwas ratlos im moment ? der sachbearbeiter ist ein herr ******, hat jemand erfahrungen mit ihm, oder ist er nur krank und ein kollege hat keine lußt das zu machen ?



ciao stealth

EDIT: <MOD> Habe den Namen rausgenommen, bitte daran halten keine zu Posten! </MOD>
 
Last edited by a moderator:
Keine Namen hier im Forum posten! Das ist oder grenzt an Rufmord!
 
mbroemme said:
Und das es noexec schon lange gibt, weiss ich, nur wieso muss man sowas ueberhaupt ansprechen? Bei dediziert ist das logisch das man das aktiviert, dass sagt einem doch schon der gesunde Menschenverstand.
Click to expand...

Da hat ja recht aber vieleicht gibt es da einige die noch dran Lernen und denen das ncoh nicht so gesund im menschenverstand verankert ist , weil Sie das erst gaaanz kurz machen und manche sachen zuhause in einer eigenen umgebung nicht unbedingt so nachvollziehbar sind ;)

Daher sollte man es den Unwissenden doch hin und wieder nochmal sagen...
 
djrick said:
Hallo Stealth,

Bitte Regel 3 der Forenregeln beachten :)
Click to expand...

hallo jrick ,

danke für den hinweis, wir haben das schon vor einigen monaten diskutiert. da hatte ich bereits erklärt das es mir nicht möglich ist, mich an diese regel zu halten. ich habe eine behinderung für die ich nichts kann und es fällt mir extrem schwer großschreibung zu beachten. ich benötige unheimlich lange für diesen beitrag. unter beachtung von groß und kleinschreibung wäre es ein vielfaches mehr und würde mich unangemessen mehr belasten. einzelne wörter gehen, aber nur sehr schwer. einst hattet ihr gesagt das es kein problem ist. einfach mal suche benutzen und nach den beiträgen von stealth suchen, da wurde das bereits angesprochen. ich bitte also den erneuten verstoß zu verzeihen.

danke an den moderator der den namen rausgenommen hat. dabei habe ich mir wirklich nicht viel gedacht. wobei es natürlich nichts mit rufmord zutun hat, dazu gehört wohl einiges mehr. es kann gut sein das die einfach überlastet sind. eine kurze meldung so nach dem motto, hallo kunde, wir haben ihre nachricht bekommen und arbeiten an einer lösung. das würde manchmal helfen oder.

ich bin halt etwas verärgert über diese ignoranz. irgendwie ist auch der ts für mich ein wichtiges kommunikationsmittel. gerade weil ich mit dem tippen probleme habe. ich habe inzwischen ja einen neuen gebucht und der server verliert die dringlichkeit. dennoch bin ich nach wie vor an einer lösung interessiert und deshalb die frage nach eueren erfahrungen.

@cybernatic
ich gehöre zu den leuten die mit dem begriff noexec leider nichts anfangen können. da ich viel zeit habe, werde ich aber gerne recherchieren und mich dazu einlesen. danke für deinen tipp.


ciao stealth
 
ok das muss ich nun mal glauben [...] nachweisen kann ich das wohl kaum oder ? [...]meine daten hätte ich schon gerne
Click to expand...
Wenn es keine weiteren Verzögerungen gibt sollten alle S4Y vServer Kunden im Laufe des Tages die Möglichkeit haben eine Recoverykonsole zu starten. Damit kannst du per ssh deine Daten sichern und nachschauen ob in deinen Logs irgendwas verdächtiges steht was auf DoS hinweist oder ob irgendwelche verdächtigen Programme installiert sind.

wobei ich sagen muss, ich nahm an das diese server gesichert sind ?
Click to expand...
den S4Y FAQs said:
Wer ist für die Sicherheit meines vSERVER zuständig?

Sie ganz alleine. Leider können wir für eventuell bestehende und zukünftig auftretende Sicherheitslücken keine Haftung übernehmen.
Click to expand...
 
hallo hornox,

in welchem verzeichnis kann ich diese möglichen logdateien finden ?

danke für deine hilfe.
stealth
 
Meist sind die in /var/log , aber wenn du dir zum ersten Mal überhaupt Logdateien anschaust ist es unwahrscheinlich das du was relevantes findest...
 
Hallo, hab da mal wieder ein paar fragen:
1. Welche phpBB Version ist von DDOS anfällig?
2. Was ist eigentlich noexec? Ist das PHP bezogen oder was kann ich mir darunter vorstellen. Hab noch nichts davon gehört.
Wo kann man das Einstellen, wäre für die Infos danbar.
 
1. Welche phpBB Version ist von DDOS anfällig?
Click to expand...
Vermutlich alle ;), aber darum geht es hier nicht.
phpBB hat in der Vergangenheit einige Sicherheitslücken gehabt durch die Angreifer eigenen php Code auf dem Server ausführen konnten. Kurz nachdem die Lücken veröffentlicht wurden gab es die ersten Skripte die automatisch nach den anfälligen PHP Versionen gesucht haben und Code eingeschleußt haben der DoS Attacken ausgeführt haben. Die gehackten Server waren also nicht das Opfer der DDoS Angriffe sondern Mittäter.
2. Was ist eigentlich noexec? Ist das PHP bezogen oder was kann ich mir darunter vorstellen. Hab noch nichts davon gehört.
Wo kann man das Einstellen, wäre für die Infos danbar.
Click to expand...
PHP hat, je nach Einstellung, Schreibrechte in einem temporären Verzeichnis. Angreifer die belibigen Code einschleußen können nützten diese Schreibrechte aus indem sie ein eigenes Programm in das temporäre Verzeichnis kopieren und dann ausführen.
Wenn der Serveradministrator dieses temporäre Verzeichnis als eigene Partition oder als loop back device erstellt kann er es so mounten (siehe hier) das die Programme zwar normal gelesen und geschrieben werden können aber nicht ausgeführt werden können. Dadurch haben die meisten automatisierten Angriffsskripte bzw Würmer Probleme sich dauerhaft festzusetzten und der Server ist ein kleines Stück sicherer.
AFAIK braucht phpBB überhaupt kein temporäres Verzeichnis, es ist also deutlich sicherer das komplett abzustellen...
 
You must log in or register to reply here.
Back
Top