Rootserver gesperrt

**HyperSurf** · 22.02.07, 21:57

Hi,

heute morgen ging mein Rootserver auf einmal offline und kam nicht wieder. Eben erhielt ich folgende Antwort auf meine Supportanfrage:

Guten Tag,

der Server wurde heute aufgrund einer Dringlichkeits-Anfrage vom BSI (Bundesamt für Sicherheit in der Informationstechnik) gesperrt.
Sie hosten auf Ihrem Server Malware - siehe hierzu auch die Ihnen weitergeleitete Mail vom heutigen Tage.

http://123.123.123.123/gift.jpg.exe ist die betroffene URL.

Die Freigabe des Servers kann erst wieder erfolgen, wenn der Wurm/Trojaner/Virus entfernt ist (bitte KVMoverIP beantragen!) und alle in der Mail genannten Kontaktpersonen:

From: auscert@auscert.org.au
To: info@meinprovider.de
Cc: auscert@auscert.org.au, emailfraud@apacs.org.uk, dfncert@cert.dfn.de, certbund@bsi.bund.de

informiert worden sind.

Offensichtlich wurde mein Server gehackt und ein Dialer (Dialer sind doch Malware?) hochgeladen.

Muss ich jetzt mit irgendwelchen Konsequenzen rechnen?
Hat jemand zufälligerweise Erfahrung mit solchen Problemen?

**artspin** · 22.02.07, 22:01

Oh man!!!!! Kann es sein, dass sich derartige Meldungen in letzter Zeit hier im Forum häufen? (Bewusst keine Antwort auf die Frage gegeben)

**hp_tux** · 22.02.07, 22:03

Hallo,

tja, wer nicht hören will, muß halt zahlen ...

Gruß

hp_tux

**HyperSurf** · 22.02.07, 22:04

Zitat von hp_tux

Hallo,

tja, wer nicht hören will, muß halt zahlen ...

Gruß

hp_tux

Toller Spruch, der mir was genau sagen soll?

**hp_tux** · 22.02.07, 22:07

Hallo,

Toller Spruch, der mir was genau sagen soll?

wenn man keine Ahnung von der Materie hat, sollte man halt keinen Root-Server betreiben.

Gruß

hp_tux

P.S. Wie es aussieht, hast Du sogar noch verdammtes Glück gehabt, daß es nur Malware ist, was auf Deinem Server gefunden wurde!

**kreol** · 22.02.07, 22:11

Zitat von HyperSurf

Muss ich jetzt mit irgendwelchen Konsequenzen rechnen?
Hat jemand zufälligerweise Erfahrung mit solchen Problemen?

Wäre schön wenn Du für Dich selbst Konsequenzen ziehst, bevor Du den Server neu aufsetzt. Also Dich in Punkto Sicherheit schlau machst.

Was auf Dich zukommen kann: Je nachdem, was über Deinen Server verteilt worden ist strafrechtliche Ahndung und zivilrechtliche Schadensersatzansprüche. Das hängt davon ab, welchen Verfolgungseifer die Geschädigten an den Tag legen. Das musst Du jetzt aber eh auf Dich zukommen lassen, für die Vergangenheit lässt sich nichts mehr ändern.

Um so mehr solltest Du vor dem Neuaufsetzen in Dich gehen. Und sichere vorher die massgeblichen Logs, vllt. lässt sich ja ermitteln, wer sich auf Deinem Server niedergelassen hat, dann kannst Du Dich Deinerseits an den Schädiger halten. Der sitzt zwar wahrscheinlich auf den Niederländischen Antillen, aber vllt. kommst Du ja an ihn ran...

Und ja: Hier gibt es üblicherweise kein Mitleid für so ein Vorkommnis. Dafür bekommen wir alle hier zuviel Spam und Malware von so Schleudern wie Deinem Server...

Kreol

**artspin** · 22.02.07, 22:14

Kündige am besten sofort den Server, schau dich nach einem Anwalt um und lies dir DANN das folgende Posting von Tomek durch!

**HyperSurf** · 22.02.07, 22:23

Zitat von kreol

Und ja: Hier gibt es üblicherweise kein Mitleid für so ein Vorkommnis. Dafür bekommen wir alle hier zuviel Spam und Malware von so Schleudern wie Deinem Server...

Ich krieg selber täglich 500 Spam-Mails...

Ich hatte den Server von der Software her eigentlich immer recht aktuell gehalten und den SSH-Zugriff auch mit einem Schlüssel versehen.
Auf dem Server habe ich nur ein einziges Programm installiert und zwar nen TS2-Server. Ansonsten wurde nur der Apacheserver und die mySQL-Datenbank genutzt.
Ob der Server gut vorkonfiguriert war kann ich nicht beurteilen. Ich habe zusammen mit einem jahrenlangen Linux-Admin diverse Änderung bzgl. der Sicherheit gemacht. Diese waren anscheinend nicht ausreichend...

Naja, der Server sollte sowieso nächste Woche weg, weil er mir für den geringen Umfang den ich genutzt habe zu teuer ist.

Von dem geplanten rootDS-Server werde ich wohl Abstand nehmen und mir ein passendes managed Hosting Angebot suchen.

Hoffentlich endet die Gesichte glimpflich...

**Max Power** · 23.02.07, 00:01

Jo selbst schuld.

Aber mal so als kleiner Tip schau dir die Mail doch nochmal ganz genau an. Irgendwie scheinst du es ja nicht so ganz verstanden zu haben

**artspin** · 23.02.07, 00:09

Bevor du die URL zum BSI nicht findest, hier ist er; kannst dir ja auch gerne mal den Wikipedia-Eintrag dazu durchlesen.

**Windoofsklicker** · 23.02.07, 06:58

Ich finde, Ihr solltet alle mal aufhören mit Steinen zu schmeißen.
Jedem der einen Server betreibt, kann sowas passieren.
Ohne zu wissen über welchen Dienst oder Weg die Kiste geknackt wurde wird hier wieder fröhlich vor sich hin gebasht.

Bevor also die übliche "Wenn du zu blöd bist, dann lass es"-Leier kommt, solltet Ihr erstmal ein paar mehr Infos haben.

my2cents...

**marce** · 23.02.07, 07:08

ein bisschen werfen darf man schon: Allein die Tatsache, dass dort was passiert ist lässt darauf schliessen, dass irgendwas nicht entsprechend abgesichert war.

Das kann eine Drittsoftware sein (fremde Scripte, die Löcher enthalten), ein nicht gepatchtes Sicherheitsloch, evtl. nicht vertrauenswürdige User auf dem System, ... - Möglichkeiten gibt es viele.

Von dem her, was der TE geschrieben hat (SSH, Apache, MySQL) würde ich mal auf eine unsaubere Webanwendung tippen (reine Vermutung) - und da darf man durchaus den mahnenden Finger heben...

**Windoofsklicker** · 23.02.07, 07:25

Klar, aber lies dir den Thread mal durch.
Bevor der Kollege mit Apache/MySQL um die Ecke kam, wurde schon fröhlich eingedroschen.

**marce** · 23.02.07, 07:32

So gesehen nicht nett, aber es ändert nichts an der Tatsache an sich...

Und seien wir mal ehrlich: _gedacht_ hat doch jeder das gleiche beim Lesen des ersten Postings im Thread?

Seit Server billiger und einfacher zu bekommen sind wie Handys oder Zeitschriften-Abos kommen Meldungen aus der Klientel der "üblichen Verdächtigen" recht oft - und da man hier meist nur aus dem Anmeldedatum und der Postingzahl nicht wirklich erkennen kann ob da jetzt Ober-Guru oder Super-Dau dran sitzt - "gehen wir mal vom schlimmsten aus..."

**Windoofsklicker** · 23.02.07, 07:35

Genau... wenn mir jemand erzählt:"Ich hatte einen Autounfall.", dann falle ich auch immer gleich über Ihn her und sage Ihm, dass er keine Ahnung vom Autofahren hat und gefälligst erstmal einen Führerschein machen soll.

Aber wir sollten nicht den Thread kapern. Das fällt eher in die, im Forum bereits geführte, Diskussion der Art und Weise des Umgangs hier.