Hi,
ich hab ein relativ großes Problem:
ich hab heute von Server4You eine Mail erhalten
am Tag davor hab ich ein bisschen was ausprobiert, nur leider konnte ich meinen vServer einfach nicht erreichen, egal was ich versucht hab... die Lösung war: Firewall ausschalten (gibt Extra-Menüpunkt im Server4You-Powerpanel) - die Firewall war aber nach einem Server4You-IMAGE konfiguriert!
Am Tag des Angriffs:
meine Domain ist noch nicht von meinem alten Hoster auf den neuen umgezogen, deswegen hab ich, da ich eh erst weitermachen wollte wenn die Domain umgezogen ist und vom Tag davor immer noch nicht alles funktioniert hat, einfach das Betriebssystem über ein Server4You-Image neuinstalliert, und dann aufs [x] geklickt, und gar nichts mehr auf meinem vServer gemacht - leider hab ich auch vergessen, die Firewall wieder anzuschalten
Also ist wurde mein vServer angegriffen, der:
- noch keine Domain hat
- dessen Image noch nicht bearbeitet wurde (kann man auch anders verstehen )
- außer dem Root-Benutzer noch keinen Benutzer hatte
- demnach nicht über FTP erreichbar ist, da proFTPd ja standardmäßig eingestellt ist, den Root-Benutzer nicht zuzulassen
- wenn man den Server über HTTP aufruft, kommt nur die Apache "IT works!"-Meldung
Ich möchte, bevor ich die anrufe, mich erst mal ein bisschen informieren und würde von euch gerne wissen:
- könnte es sein, das der Hacker mein Passwort erraten hat? (Server4You Standard-Passwort)
- wie hat der Hacker wahrscheinlich auf das System zugegriffen?
- die 39 € tun mir schon weh, ich will nicht das mein vServer ganz gesperrt wird, gibt es irgendwelche Superwichtigen Sicherheitslücken, die nach einer Debian-Standardinstallation auf dem System sind und die man unbedingt in Sekundenschnelle beheben muss?
Ich hoffe, ihr könnt mir weiterhelfen - ich kenn mich noch nicht so sehr mit Servern aus, eher wenig, wollte den vServer halt vor allem, weil ich darauf Teamspeak, IRC usw. zu installieren vorhatte, und weil er mit 15 GB für 8,95 € ziemlich günstig war
ich hab ein relativ großes Problem:
ich hab heute von Server4You eine Mail erhalten
Ich weiß noch, was ich an dem Tag und am Tag davor gemacht hab':Sehr geehrter Kunde,
aufgrund von illegalen Tätigkeiten über Ihr System, waren wir
gezwungen den Server zu sperren.
Illegale Tätigkeiten eines Systems meint zumeist einer oder mehrere
der folgenden Tatbestände:
- DoS Attacken die von Ihrem System ausgehen.
- Phishingseiten die auf Ihrem System gespeichert werden
- Bruteforce Attacken die von Ihrem System ausgehen.
- Spam der über Ihren Server versandt wurde.
- Urheberrechtlich geschütztes Material welches über Ihren Server
zugänglich gemacht worden ist.
Derartige illegale Tätigkeiten werden meist von Hackern ausgeführt,
nachdem diese sich Zugang zu einen fremden Server verschafft haben.
Die Erfahrung zeigt, dass die Spuren eines solchen Einbruchs selten
vollständig zu beseitigen sind und die Sicherheit des Servers danach
nicht mehr gewährleistet werden kann. Eine erneute Hacker-Attacke ist
die oft unvermeidbare Folge.
Um uns rechtlich gegen etwaige Ansprüche, auch in Zukunft,
abzusichern, können wir eine Freischaltung Ihres Systems erst
veranlassen, nachdem wir das unter der URL
www.server4you.de/downloads/kompromittiertes_system.pdf
erhältliche Fax ausgefüllt und unterschrieben erhalten haben.
Bitte lassen Sie uns daher das Fax schnellstmöglich, über die auf dem
Fax stehende Faxnummer, alternativ per Briefpost, zukommen. Wir werden
Ihren Server dann schnellstmöglich wieder entsperren.
Die Arbeiten, im Zusammenhang mit der Sperrung Ihres Systems, wurde
Ihnen mit einer Arbeitseinheit zu 39 Euro berechnet.
Des weiteren müssen wir Sie an dieser Stelle auch auf die geltenden
Gesetzte und unsere AGB's hinweisen, da bei wiederholten Auftreten
eines solchen Falls wir uns zu einer erneuten Sperrung gezwungen
sehen , ggf. ohne Möglichkeit für Sie den Server wieder in Betrieb zu
nehmen.
Sofern Sie bei der Absicherung Ihres Servers Hilfe benötigen, steht
Ihnen unser Support-Team gerne zur Verfügung, um mit Ihnen
entsprechende Arbeiten zu terminieren und ein verbindliches Angebote
hierfür zu erstellen.
------
--- LOG ---
2008-12-22 19:15 UTC : UDP Outgoing: ca. 50771 packets/s, ca. 24
MBit/s seen from xx.xx.xxx.x:50784 ('vsxxxxxxx') to xx.xxx.xxx.xxx:22
2008-12-22 19:20 UTC : UDP Outgoing: ca. 42545 packets/s, ca. 20
MBit/s seen from xx.xx.xxx.x:50784 ('vsxxxxxxx') to xx.xxx.xxx.xxx:22
2008-12-22 19:25 UTC : UDP Outgoing: ca. 26775 packets/s, ca. 12
MBit/s seen from xx.xx.xxx.x:52848 ('vsxxxxxxx') to xx.xxx.xx.xxx:80
2008-12-22 19:25 UTC : UDP Outgoing: ca. 29597 packets/s, ca. 14
MBit/s seen from xx.xx.xxx.x:48434 ('vsxxxxxxx') to xx.xx.xxx.xxx:80
2008-12-22 19:30 UTC : UDP Outgoing: ca. 52408 packets/s, ca. 25
MBit/s seen from xx.xx.xxx.x:52848 ('vsxxxxxxx') to xx.xxx.xx.xxx:80
2008-12-22 19:35 UTC : UDP Outgoing: ca. 33247 packets/s, ca. 15
MBit/s seen from xx.xx.xxx.x:52848 ('vsxxxxxxx') to xx.xxx.xx.xxx:80
2008-12-22 19:40 UTC : UDP Outgoing: ca. 61131 packets/s, ca. 29
MBit/s seen from xx.xx.xxx.x:58608 ('vsxxxxxxx') to xx.xxx.xxx.xxx:80
------
am Tag davor hab ich ein bisschen was ausprobiert, nur leider konnte ich meinen vServer einfach nicht erreichen, egal was ich versucht hab... die Lösung war: Firewall ausschalten (gibt Extra-Menüpunkt im Server4You-Powerpanel) - die Firewall war aber nach einem Server4You-IMAGE konfiguriert!
Am Tag des Angriffs:
meine Domain ist noch nicht von meinem alten Hoster auf den neuen umgezogen, deswegen hab ich, da ich eh erst weitermachen wollte wenn die Domain umgezogen ist und vom Tag davor immer noch nicht alles funktioniert hat, einfach das Betriebssystem über ein Server4You-Image neuinstalliert, und dann aufs [x] geklickt, und gar nichts mehr auf meinem vServer gemacht - leider hab ich auch vergessen, die Firewall wieder anzuschalten
Also ist wurde mein vServer angegriffen, der:
- noch keine Domain hat
- dessen Image noch nicht bearbeitet wurde (kann man auch anders verstehen )
- außer dem Root-Benutzer noch keinen Benutzer hatte
- demnach nicht über FTP erreichbar ist, da proFTPd ja standardmäßig eingestellt ist, den Root-Benutzer nicht zuzulassen
- wenn man den Server über HTTP aufruft, kommt nur die Apache "IT works!"-Meldung
Ich möchte, bevor ich die anrufe, mich erst mal ein bisschen informieren und würde von euch gerne wissen:
- könnte es sein, das der Hacker mein Passwort erraten hat? (Server4You Standard-Passwort)
- wie hat der Hacker wahrscheinlich auf das System zugegriffen?
- die 39 € tun mir schon weh, ich will nicht das mein vServer ganz gesperrt wird, gibt es irgendwelche Superwichtigen Sicherheitslücken, die nach einer Debian-Standardinstallation auf dem System sind und die man unbedingt in Sekundenschnelle beheben muss?
Ich hoffe, ihr könnt mir weiterhelfen - ich kenn mich noch nicht so sehr mit Servern aus, eher wenig, wollte den vServer halt vor allem, weil ich darauf Teamspeak, IRC usw. zu installieren vorhatte, und weil er mit 15 GB für 8,95 € ziemlich günstig war
Last edited by a moderator: