Rootserver auf Sicherheit prüfen |
||
---|---|---|
#0
| ||
22.02.2010, 22:13
...neu hier
Beiträge: 6 |
||
|
||
23.02.2010, 23:46
Member
Beiträge: 395 |
#2
was läuft den außer dem gameserver noc auf deinem Root?
TS ? IRC ? wenn diese Unsachgemäß instaliert werden ergebn sich leicht sicherhietslücken. Hast du deinen Server auch auf dem aktuellen patch/update stand ? Sind die logfiles noch vorhanden ? __________ Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier Protecus Spenden |
|
|
||
24.02.2010, 07:40
Moderator
Beiträge: 2312 |
#3
DA deiner Aussage nach die Website zuerst gehackt wurde stellt sich auch die Frage: Iis? Mit welchen Plugins? Welche Software nutzt die Präsenz?
__________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
24.02.2010, 15:13
...neu hier
Themenstarter Beiträge: 6 |
#4
Danke für die Antworten.
an N1con: Auf dem Root liefen neben dem GameEmulator noch TS2 mit Perlmod sowie TS3. Windows Updates wurden immer installiert. Die Logfiles sind leider - soweit ich weiß nicht mehr vorhanden, da wir schon den Auftrag zum Neuinstallieren gestellt hatten um mögliche aufgespielte Trojaner los zuwerden. an HeVTiG: Die Website wurde zuerst gehackt bzw. wurde mir das als erstes Erkennbar. Auf der index.php stand nur noch 'hackt by ....'. Nach dem ich alle Passwörter geändert hatte setzte ich ein backup von der richtigen index.php wieder auf den Rootserver, sonst konnte ich keine weiteren Schäden feststellen. Es hat dann nicht lang gedauert, war auch diese wieder weg und ich wurde aus dem Remot gekickt, mit dem Fehler jemand anderes habe sich eingeloggt. 1-2 Minuten später wurde auch der andere Admin gekick - wir beide konnten uns nicht mehr einloggen, das wohl die Passworter/Benutzernamen geändert waren. Zu IIS, wir nutzen das nicht, da ich im Vorfeld gelesen hatte, es sei nicht das Gelbe vom Ei. Ich entschied mich daher für die neue XAMPP Version, bei der auch - laut Setup alle Sicherheits Risiken wie kein root für mySQL etc. behoben waren. Wie eingangs auch erwähnt, waren alle Passworter zufällige Zeichenketten mit 5 oder mehr Buchstaben. Als Homepage "Software" nutzen/nutzen wir ein von mir entwickeltes kleines CMS, das im Grunde nur aus einer News-Funktion für Admins bestand. Ich vermute aber, dass der Uploadscript der Gallery (ebenfalls von mir entwickelt) eine Mögliche Ursache war - leider vergaß ich dort die Dateiüberprüfung, sprich es war möglich auch PHP-Dateien als "Bild" hoch zuladen. Ich bin darauf gekommen, da im Hauptverzeichnis eine Datei war, die nicht von mir ist/war. Es war eine von diesen, mit den man nahezu uneingeschränkten "FTP"-Zugriff via Browser bekommt, sprich Dateien löschen/ändern/hochladen konnte. Die Datei hatte ich aber nach dem Ersten Hacken bereits gelöscht. Danke für alle weiteren und bereits geschriebenen Antworten. |
|
|
||
24.02.2010, 20:52
Moderator
Beiträge: 2312 |
#5
Au weia,
Zitat Zu IIS, wir nutzen das nicht, da ich im Vorfeld gelesen hatte, es sei nicht das Gelbe vom Ei. Ich entschied mich daher für die neue XAMPP Version, bei der auch - laut Setup alle Sicherheits Risiken wie kein root für mySQL etc. behoben waren. Wie eingangs auch erwähnt, waren alle Passworter zufällige Zeichenketten mit 5 oder mehr Buchstaben.Ob das ein guter Tausch war mag ich zu bezweifeln. Auf der XAMPP Seite steht nämlich auch: Zitat http://www.apachefriends.org/de/xampp-windows.html#1217Ich vermute einmal, dass hier, vielleicht auch in Zusammenhang mit deinem Uploadskript, der Knackpunkt ist. M.E. wärst du mit dem IIS wesentlich besser bedient geweasen, es sei denn, du benötigst zwingend irgendwelche apache add ons. Was jetzt genau passiert ist lässt sich ja nun leider nicht mehr herausfinden. Ein weitere Möglichkeit wäre es natürlich, dass du Malware auf deinem Rechner hast, was deine Passwörter mitgelesen hat. Das es evtl. nur ein anderer Admin gewesen kein kann ist ausgeschlossen? __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
24.02.2010, 21:27
...neu hier
Themenstarter Beiträge: 6 |
#6
an HeVTiG: Danke für deine Antwort.
Dass XAMPP offen ist, war mir bekannt. Doch lassen sich alle Punkte, die du oben gegnannt hast auch schließen. Versucht man nun von außen auf XAMPP zuzugreifen, kommt die Meldung "Zugriff verweigert". Ich habe mich auch für XAMPP entschlossen, da es mir von vielen Seiten als "besser als IIS" beschrieben worden ist, WENN man diese Sicherheitslücken schließt, was wir zu 100% getan haben. In wie weit die 2 Uploadscripte damit etwas zu tun haben, kann ich nicht sagen - damit hast du recht. Dass ich Maleware auf dem Rechner habe wäre theoretisch zwar möglich, ich schließe das aber aus, da ich sonst keinerlei Probleme habe. Auch nicht mit einem anderem Root, den ich allerding nicht handhabe, dort lediglich Webspace und ein paar Datenbank habe. Ein anderes Mitglied kann es nicht gewesen sein, da außer mir nur der Zugriff hat, der den ganzen Spass finaziert. Zusammen gefasst, haltet ihr IIS also für die bessere Wahl? |
|
|
||
25.02.2010, 00:03
Moderator
Beiträge: 2312 |
#7
Eine eindeutige Empfehlung würde ich nicht Richtung IIS aussprechen, solange man sich nicht damit auskennt. Ich kann nur sagen, dass ich seit mehreren Jahren einen IIS mit php betreibe und das ohne Probleme.
Allerdings hat man das so seine Malessen, wenn man apache- typische plugins o.ä. sucht, oder wenn man eine Software einsetzt, die eigentlich für den apache geschrieben wurde. Im Normalfall würde man für Internetdienste ja eh eher z.B. LAMP empfehlen oder gar mit einem anderen Webserver... Wenn du XAMPP als Fehlerquelle ausschließen kannst, dann brauchst du dir natürlich auch keine Gedanken um den IIS machen... Es klang halt nur so von deiner Beschreibung, dass die Wahrscheinlichkeit nahe liegt, dass es genau daran liegt. Zusammen mit dem Hinweis von XAMPP, dass es nicht für den produktiven Einsatz gedacht ist., Apache soll ja unter Win auch nicht so stabil laufen.. Ich meine dein Root bietet - Webdienste - Teamspeak - Remotedienste - Gameemulator an. Irgendwo hier muss ja das Tor aufgewesen sein. Und eine aktuelle Lücke im 2k8 ist mir nicht bekannt. __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
25.02.2010, 13:24
Member
Beiträge: 3716 |
#8
du sagtest ja, du hättest den hacker angeschrieben, hat der auch geantwortet, vllt hast du glück und er sagt dir, wie er es gemacht hat.
ne möglichkeit währe es zumindest. |
|
|
||
25.02.2010, 13:47
...neu hier
Themenstarter Beiträge: 6 |
#9
an virenfinder: Ich habe in der Tat mit ihm gesprochen, da er sowohl email als auch einen Skypenamen hinterließ. Verraten hat er mir das aber nicht und selbst wenn, würde ich mich darauf nicht verlassen.
XAMPP etc. ist auch wieder installiert und es gibt bislang auch keine Auffälligkeiten. Ich werde aber mein CMS Marke Eigenbau gegen ein etwas hochwertigeres austauschen. Weiterhin wohl auch mal etwas Geld in die Sicherheit investieren, es ist sonst nur schade um die Arbeit, die der Wiederaufbau verschlingt. Danke aber vorerst. |
|
|
||
25.02.2010, 14:43
Member
Beiträge: 3716 |
#10
naja gibt ja genug die das aus spaß machen. fragen kostet ja nichts, denke ich.
aber da du das schon gemacht hast, hatt sich das ja erledigt. |
|
|
||
25.02.2010, 19:52
Member
Beiträge: 395 |
#11
Tu dir und dem Rest der Spamgemeinde nen gefallen und schmeiß den runter.
A. Wie schon erwähnt unsicher/offen B: Wenn schäden durch Spam etc entstehen bist du Haftbar,d a du ein Produkt verwendet hast was für diesen Einsatz nicht vorgesehen ist. C: Schon mal den Apache im XAMPP geupdatet ??? Nee? siehe Punkt D D: Alles was im XAMPP ist gibt es auch einzeln und wird regelmäig mit Sicherheitupdates versorgt. XAMPP überspringt da mal gerne 2-8 Versionen bevor es was aktuelles gibt __________ Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier Protecus Spenden |
|
|
||
25.02.2010, 19:56
...neu hier
Themenstarter Beiträge: 6 |
#12
ich habe das schon mit Apache versucht. Allerdings ging da garnichts, weil ich mich damit einfach nicht auskenne. Ich habe die Anleitung so befolgt, wie sie in der Doku beschrieben war, aber Website hab ich da noch lange nicht gesehn.
Wo ist denn das Problem? XAMPP nutzt doch auch Apache, ob ich das alles einzeln mache, oder in einem Paket, müsste doch egal sein. |
|
|
||
25.02.2010, 20:03
Member
Beiträge: 395 |
#13
Nein, der Unterschied ist XAMPP!
Die Einzelnen Anwendungen/Dienste kanndu dann Updaten wenn sicherheitsupdates anstehen, bei XAMMP ist das nicht so einfach Möglich. Zu deinem Apache: Schau mal ob irgendwas anderes deinen Port 80 belegt. __________ Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier Protecus Spenden |
|
|
||
25.02.2010, 20:04
...neu hier
Themenstarter Beiträge: 6 |
#14
im Moment nur XAMPP
|
|
|
||
25.02.2010, 20:07
Member
Beiträge: 395 |
#15
ich installe mir den mal fix und gucke was passiert
brb __________ Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier Protecus Spenden |
|
|
||
Ich bin der Webmaster eines Gaming Projektes. Leider wurde heute unsere Website und dann der gesamte Root-Server gehackt. Vorab, den Hacker habe ich in Skype angeschrieben, da er netter Weise diese Kontaktinformation zurück ließ. Er stammt - laut Profil und Aufschrift auf der HP aus Georgien, was meine Bemühungen ihn anzuzeigen gegen Null laufen ließ.
Meine Frage geht daher eher in die Richtung, wie ich es verhindern kann, in Zukunft erneutes Opfer eines solchen Angriffs zu werden. An den Passwörtern allgemein kann es nicht liegen, jedes PW besteht aus min. 8 zufälligen Zeichen und keines wurde doppelt verwendet.
Was das Schützen eines RootServers angeht bin ich aber noch relativer Frischling.
Der Server läuft/lief auf Windows Server 2008.
Ich freue mich sehr über jede Hilfe.
mfg
Andreas