Serverneuinstallation nach Hackerangriff

Das wichtigste auf einem Blick

Moderatoren: Moderator a.D., Moderator

Antworten
Benutzeravatar
Wawanee
Server Guru alá root
Server Guru alá root
Beiträge: 95
Registriert: So Feb 06, 2005 18:18:04
17
Nationencup: Team Mars ;)
Ziel: Ich spiele nicht
OS: Mac OSX 10.9 Mavericks
Wohnort: Thulenia ;o)
Kontaktdaten:

Serverneuinstallation nach Hackerangriff

Beitrag von Wawanee »

Wenige werden mich besser kennen. Ich bin als Serveradmin auch gerade deswegen oft eher im Hintergrund präsent und habe, wie einige vielleicht wissen, schon einiges mit diesem Server hier zu tun gehabt.

Oft ist die Serverarbeit ein reines "Basteln". Konfigurationen austesten und ändern, Softwarepakete upgraden oder ein paar Scripts aktualisieren. Doch was die letzten Tage so abgegangen ist, das bringt auch mich einigermaßen zur Weißglut und vorallem kostet mich das Nerven und Zeit.

Für die meisten User ist das natürlich lästig oder gar störend, wenn das Forum nicht erreichbar ist. Was natürlich verständlich ist. Ich möchte mich hier auch gleich in aller Form für den diesmal wirklich langen Ausfall entschuldigen.

Für mich als Serveradmin bedeutet das einen Kampf gegen Zeit, Softwareprobleme und wie in diesem Fall Hacker.

Als ich Sonntag letzter Woche ein auffälliges Verhalten des Apache2 feststellte und meine Serverüberwachung Alarm schlug, dachte ich zu erst, das sei schnell zu lösen. Die Serversoftware war am aktuellsten und wohl damit sichersten Stand und darüber hinaus ist dieser Server auch von Eye immer gut gewartet worden, sodass die Scripts keine Angriffsfläche bilden sollten.

Als ich dann aber nach der Arbeit am Sonntagabend nachhause kam, war dann nichts mehr so wirklich in Ordnung. Ich hatte den Apache2 eigentlich ausgeschaltet gehabt, nachdem ich am Nachmittag eine massive Fehlkonfiguration festgestellt hatte. Meine Arbeit verhinderte leider, dass ich mich um den Server kümmern konnte und so setzte ich mich erst zu später Abendstunde vor den Rechner. Lustigerweise ging auf einmal der Apache2 wieder. Konfigurationen wurden geändert, frisch fröhlich über meinen Server massiv Daten ausgetauscht. Mir war klar, dass das nun ein massives Problem war und ich begann den Eindringling aufzustöbern. Aus den Logs war ersichtlich, dass der Webserver mit einem sogenannten w00tw00t.at.ISC.SANS.DFind Angriff in die Knie gebracht werden sollte. Ich installierte Programme (wie fail2ban), die dies verhindern sollten. Doch inzwischen war der Hacker schon auf dem Server. Rootpasswort ändern, Rootkitsoftware entfernen, Schwachstelle aufstöbern, ging mir durch den Kopf... Doch wie so oft ist Müdigkeit kein guter Berater und ich vergaß darauf, dass der Hacker wohl auch alle wichtigen Programme durch eigene ersetzte. Schließlich hatte ich alles ausgetauscht, die Rootkitfiles entfernt und auch der Traffic am Server war auf null zurück gegangen. 7 Uhr... Zeit um wenigstens noch ein wenig Schlaf zu bekommen, nachdem ich den ganzen Tag auch wieder arbeiten musste.

Als ich gegen 11 Uhr durch eine Warnmeldung auf meinem iPhone aufgeweckt wurde, war auch schon das Schlimmste passiert. Die oder der Hacker hatten am frühen Vormittag den Server erneut übernommen, um von diesem aus andere Server anzugreifen. Dass das der absolute Worstcase für jeden Serveradmin ist, brauche ich Euch natürlich nicht zu erklären. Die Servercrew von Hetzner hat den Server natürlich dann gesperrt, was wiederum für mich sehr peinlich ist.

Nun bestand aber die Möglichkeit mir ein neues Konzept zu überlegen, wie der Server aufgebaut sein sollte. Nachdem ich die gesamte Woche viel Arbeiten musste, habe ich dann am Wochenende begonnen zu recherchieren und als dann gestern der Server entsperrt wurde, begann ich mit dem Backup und der Neuinstallation.

Inzwischen ist es 3:20 Uhr und soweit läuft auch das Forum wieder. Dazwischen liegen etliche Stunden, in denen ich eine für mich komplett neue Serverkonfiguration (FastCGI/mod_fcgid und Suexec für die Fachleute unter Euch) und eine neue Serververwaltung zusammengezimmert habe.

Ihr werdet Euch sicher denken, "Wieso erzählt er uns das alles?"...
Aus mehreren Gründen:

Erstens möchte ich auch ein wenig erklären, wieso es zu so einem langen Ausfall kam.
Zweitens möchte ich auch bekräftigen, dass mir diese Community auch am Herzen liegt und es mir deswegen auch nicht gleichgültig ist, ob der Server nun einwandfrei läuft oder nicht oder gar down ist.
Und drittens möchte ich vielleicht auch zeigen, was hinter der oft für den Normaluser so einfach zu nutzenden Webseite an Technik und Komplexen Systemen und Programmen steckt...

Es ist leider auch oft so, dass ich bei manchen Sachen selbst ein wenig überlegen muss, um dann eine richtige Lösung zu finden. Wichtig ist, dass man nicht aufgibt und eine gute Lösung findet... auch wenn das Nerven und Zeit kostet.

Nochmals entschuldige ich mich für die Unannehmlichkeiten und kündige jetzt schon kürzere Ausfälle an, in denen ich die gesamte Serverkonfiguration noch nachjustieren und Probleme beseitigen werde.

Bye

Euer

Wawa
Wer ist Wawa? Who is Wawa? ...

Meine Musik, die ich so höre... http://www.lastfm.de/user/Wawanee
Benutzeravatar
ymce
Club Fahrer
Club Fahrer
Beiträge: 1918
Registriert: Mo Jan 16, 2006 19:42:04
16
SC-Nickname: ymce
Nationencup: Team Greece
Flagge: at
Ziel: Top 1.000

Re: Serverneuinstallation nach Hackerangriff

Beitrag von ymce »

Dein Bericht zeigt in welch tollen und guten Händen unser geliebtes Skicha Forum liegt.
Was wäre es bloss ohne Dich und Deinen Einsatz dafür.
Danke Wawanee!

Lieben Gruss
ymce
Ελα, ελα, ελλαδα!
abiana
Val d'ium
Val d'ium
Beiträge: 792
Registriert: So Jan 18, 2009 19:06:25
13
Ziel: Ich spiele nicht

Re: Serverneuinstallation nach Hackerangriff

Beitrag von abiana »

Ich glaub eine Erklärung dieser Art war mal notwendig!
Als *normaler* User vergisst man oft, wie viel Arbeit- und Zeitaufwand hinter so einem Forum stecken. Noch dazu, dass dies ja alles in der Freizeit der Betreffenden erledigt werden muss.
Ich schließe mich ymce deshalb sofort an und sage mal ganz anständig:

Vielen, vielen Dank an alle emsigen Bienchen und Drohnen die im Hintergrund so fleißige Arbeit leisten!


lg
abiana
Benutzeravatar
Altvehikel
Weltmeister
Weltmeister
Beiträge: 3014
Registriert: Fr Feb 16, 2007 18:37:34
15
SC-Nickname: Altvehikel
Nationencup: Team Hungary
Flagge: hu
Ziel: Top 10.000
OS: Windows 7
Wohnort: langenlonsheim Deutschland

Re: Serverneuinstallation nach Hackerangriff

Beitrag von Altvehikel »

Hallo Wawanee,


habe noch gestern Abend über PlayersWorld an die GRIECHEN _piefke- eine Nachricht gesandt, mit der Bitte um
Erklärung was los ist, weil eben seit geraumer Zeit nichts mehr ging.
Umso mehr war ich erfreut, das Abiana von unserem eigenen Togo-Forum mir die Nachricht gab, es geht wieder.
Ich bin darüber sehr erfreut, weil wir wieder diese und jene Kontakte pflegen können.
Es war schon interessant den Werdegang der Geschichte ausführlich darzustellen, damit auch mir, einem Laien
verdeutlicht wird die Kompliziert der Vorgänge. Für mich ist das sowieso kompliziert, aber so habe auch über
diese Schiene einen kleinen Unterricht erhalten.
Gerne bedanke ich mich bei Dir für die Mühe die Du Dir gemacht hast, hoffe gleichzeitig das wir von solchen
Ausfällen künftig verschont bleiben.
Symbolisch würde ich Dir gerne bei diesem Wetter Dir dafür eine grosse Portion Eis zur Erfrischung spenden, aber
ich habe nicht die Smilies dafür, dann muss ich meine Dankesrede mit den vorhandenen ergänzen. :smt023 :smt041 :rock: Ein Hoch auf Dich.
Zuletzt geändert von Altvehikel am Mi Jul 07, 2010 09:47:51, insgesamt 1-mal geändert.
Bild
SC:Banner
SC:Banner

Rote Laternen 2014 Sotschi *OLYMPIASIEGER* 9.00.000.
Rote Laternen 2014 BEAVER Platz 2
Rote Laternen 2013 Gesamt Platz 2
Rote Laternen 2013 BORMIO Platz 2.
Benutzeravatar
Gutemine
Tabellen-Queen
Tabellen-Queen
Beiträge: 4794
Registriert: Mi Jan 11, 2006 13:20:37
16
SC-Nickname: Gutemine
Nationencup: Team Greece
Flagge: gr
Ziel: Top 2.500
OS: Windows 7
Wohnort: Schärding/Oberösterreich
Kontaktdaten:

Re: Serverneuinstallation nach Hackerangriff

Beitrag von Gutemine »

vielen dank für den bericht und die zeit und nerven, die du reingesteckt hast. ich versteh nur bahnhof aber es hört sich richtig richtig schlimm an!

nochmal ein riesengroßes DANKESCHÖN!
SC:BannerSC:Banner
SC:Banner
Team Greece@Home
Είμαστε οι καλύτεροι - Wir sind die Besten
Benutzeravatar
CamelPack
Ideallinien Fahrer
Ideallinien Fahrer
Beiträge: 1341
Registriert: Do Dez 28, 2006 12:30:11
15
SC-Nickname: CamelPack
Nationencup: Team Greece
Flagge: gr
Wohnort: Wien
Kontaktdaten:

Re: Serverneuinstallation nach Hackerangriff

Beitrag von CamelPack »

Was soll man da noch hinzufügen, eigentlich wurde schon alles gesagt. Trotzdem auch von meiner Seite ein herzliches DANKE für deinen Einsatz !

Auch deine Erläuterungen sind nicht ganz unwichtig, denke ich, denn der eine oder andere (da schließe ich mich gar nicht aus) wird sich vielleicht schon mal gedacht haben: "was ist denn so großartig zu tun, das Forum läuft ja eh von selber".
Im "Normalfall" mag das - mehr oder weniger - zutreffen, die Realität sieht halt oft anders aus, und das hat deine Schilderung aufgezeigt.

Wawanee hat geschrieben:Nochmals entschuldige ich mich für die Unannehmlichkeiten ...

Aus meiner Sicht gibt es nichts zu entschuldigen.


Meinen Respekt und Hochachtung für die gezeigte Einsatzbereitschaft hast du !

LG,
CamelPack

P.S.:
Nur zur Info:
Das Verwenden von "externen smileys" mit dem IMG-Tag scheint nicht (mehr) zu funktionieren --> "Die Größe des Bildes konnte nicht ermittelt werden."
YOUTUBE geht auch nicht.
SC:Banner
Team Greece @ Home
ομάδα της καρδιάς
Bild
Benutzeravatar
PieFKe
Weltmeister
Weltmeister
Beiträge: 4287
Registriert: Mo Dez 19, 2005 12:41:12
16
SC-Nickname: PiefkeFK
Nationencup: Team_Greece
OS: Windows XP
Wohnort: RP/D <-> Tir/A
Kontaktdaten:

Re: Serverneuinstallation nach Hackerangriff

Beitrag von PieFKe »

Wawanee hat geschrieben:[...] Ihr werdet Euch sicher denken, "Wieso erzählt er uns das alles?" [...]

Glaube kaum, dass sich das hier irgendjemand fragt. Ich bin mir sicher, jeder ist interessiert an der Info, was passiert war.



@Altvehikel, hab nix bekommen ... schick mir hier mal kurz PN wo Du das denn hingeschickt hast :? (irgendwer wird sich irgendwo ueber ne Nachricht gewundert haben, die er nicht gecheckt hat :lol:)
ομάδα της καρδιάς
Bild
Bild

Bild
Benutzeravatar
andi15101990
Ideallinien Fahrer
Ideallinien Fahrer
Beiträge: 1404
Registriert: Mo Jul 02, 2007 09:54:15
15
SC-Nickname: andi15101990
Nationencup: Team Austria
Flagge: at
Ziel: Top 2.500
OS: Windows 7
Wohnort: Steiermark

Re: Serverneuinstallation nach Hackerangriff

Beitrag von andi15101990 »

Danke für deine Arbeit und auch das du uns über den Grund des Ausfalls nicht im Dunkeln gelassen hast.

Finde es super das das Forum wieder funkt.
Bild
SC:Banner SC:Banner
Benutzeravatar
harrynator
Dirty Harry
Dirty Harry
Beiträge: 1982
Registriert: Di Dez 20, 2005 12:37:05
16
SC-Nickname: harrynator
Nationencup: Team Greece
Flagge: gr
OS: Windows 7
Wohnort: Salzburgerland
Kontaktdaten:

Re: Serverneuinstallation nach Hackerangriff

Beitrag von harrynator »

PiefkeFK hat geschrieben:
Wawanee hat geschrieben:[...] Ihr werdet Euch sicher denken, "Wieso erzählt er uns das alles?" [...]

Glaube kaum, dass sich das hier irgendjemand fragt. Ich bin mir sicher, jeder ist interessiert an der Info, was passiert war.


Yep, denk ich auch und

DANKE

für die Bemühungen.
Benutzeravatar
FanAachen
Club Fahrer
Club Fahrer
Beiträge: 1812
Registriert: Di Jan 16, 2007 19:04:36
15
SC-Nickname: FanAachen
Nationencup: Team Canada
Flagge: ca
OS: Windows 8
Wohnort: bei Aachen
Kontaktdaten:

Re: Serverneuinstallation nach Hackerangriff

Beitrag von FanAachen »

Danke wirklich für diese Wahnsinns-Arbeit, die mitten im Sommer zu erledigen war !
Bild
Benutzeravatar
Wawanee
Server Guru alá root
Server Guru alá root
Beiträge: 95
Registriert: So Feb 06, 2005 18:18:04
17
Nationencup: Team Mars ;)
Ziel: Ich spiele nicht
OS: Mac OSX 10.9 Mavericks
Wohnort: Thulenia ;o)
Kontaktdaten:

Re: Serverneuinstallation nach Hackerangriff

Beitrag von Wawanee »

Das ist halt so eine Sache mit dem Webserver... Da gibt es kein "ein bisserl" online sein, sondern es gilt "ganz oder gar nicht", sprich soweit wie möglich 100% Erreichbarkeit und ungestörtes Surfen ermöglichen.

Das an und für sich wäre ja kein Problem. Es gibt halt solche Typen im Internet, die über russische oder brasilianische IPs daher kommen, den Apache dann mit Angriffen in die Knie zwingen, um über einen Exploit an den Server zu kommen. Den Schaden, den sie anrichten, ist vielleicht physisch keiner, aber der ideele und zeitliche Schaden, der dem Administrator aufgezwungen wird, ist schon einfach unermeßlich. Nach Murphy's Law kommen auch solche Angriffe immer dann, wenn man wenig bis keine Zeit hat, sich darum zu kümmern.

Mein zweiter Server wurde auch attackiert Anfang Juni. Genau einen Tag bevor ich für mehrere Tage nach Mailand gefahren bin. Diesmal traf es wieder ähnlich ein. Genau an einem Abend, an dem ich bei der Arbeit einspringen musste und für mehrere Stunden gebunden war.

Das ist halt das Problem von einer Ein-Mann-Truppe :)

Wenigstens gehen nun soweit alle grundlegenden Services... weitere Tests und Verbesserungen werden noch folgen...

Bye

Wawa
Wer ist Wawa? Who is Wawa? ...

Meine Musik, die ich so höre... http://www.lastfm.de/user/Wawanee
Benutzeravatar
Philipp100
Weltmeister
Weltmeister
Beiträge: 4581
Registriert: Mi Nov 26, 2008 08:27:43
14
SC-Nickname: philipp1386
Nationencup: Team Malawi
Flagge: mw
OS: Windows Vista

Re: Serverneuinstallation nach Hackerangriff

Beitrag von Philipp100 »

Darum ists also nicht gegangen. Naja, wir habens überlebt. Und danke für deinen Einsatz!!!
Teamchef-Malawi: 2010-2012
MBC09: 186 (220)
SC08: 8.220 (5.721)
SC09: 4.849 (4.630)
SC10: 2.518 (1.882)
SC11: 2.656 (2.078)
SC12: 1.386 (1.474)
SC13: 1.472 (1.646)
Bild
Benutzeravatar
daKarli
Community Gott
Community Gott
Beiträge: 7500
Registriert: Mi Dez 13, 2006 22:21:58
15
SC-Nickname: daKarli / TurboSnake
Flagge: sc
Ziel: Ich spiele nicht
OS: Windows 10

Re: Serverneuinstallation nach Hackerangriff

Beitrag von daKarli »

vielen Dank Wawanee !!!
Benutzeravatar
Pfitzner
Val d'ium
Val d'ium
Beiträge: 709
Registriert: Do Jan 03, 2008 20:07:36
14
SC-Nickname: Pfitzi
Nationencup: Team Austria

Re: Serverneuinstallation nach Hackerangriff

Beitrag von Pfitzner »

Vielen Dank Wawanee !!!
BildSC:Banner
SC:Banner
Benutzeravatar
Andipov
Europameister
Europameister
Beiträge: 2528
Registriert: Mi Jan 18, 2006 22:33:10
16
SC-Nickname: andipov
Nationencup: Mexico
Flagge: mx
Ziel: Top 500
OS: Windows 7
Wohnort: Region Hannover
Kontaktdaten:

Re: Serverneuinstallation nach Hackerangriff

Beitrag von Andipov »

Vielen Dank für deinen Einsatz!!!

Eigentlich war der Zeitpunkt doch gar nicht so ungünstig, man stelle sich nur vor, sowas passiert mitten in der SC-Saison.
SC:BannerSC:Banner
Bild
Wenn dir das Leben eine Zitrone gibt,... ....dann frag nach Salz und Tequila!
Benutzeravatar
Alpha
E.T.
E.T.
Beiträge: 5929
Registriert: So Jan 06, 2008 19:23:37
14
SC-Nickname: Alpha
Nationencup: Team Switzerland
Flagge: ch
Ziel: Top 50
OS: Windows 8
Wohnort: Bremgarten AG

Re: Serverneuinstallation nach Hackerangriff

Beitrag von Alpha »

Andipov hat geschrieben:Vielen Dank für deinen Einsatz!!!

Eigentlich war der Zeitpunkt doch gar nicht so ungünstig, man stelle sich nur vor, sowas passiert mitten in der SC-Saison.


OMG das wäre stress pur gewesen für Wawanee. Besten Dank für deinen super Einsatz :prayer: :prayer: :prayer:
SC:BannerSC:Banner
SC06 ?/SC07 390/SC08 177/SC09 432/SC10 119/SC11 89/SC12 62/SC13 48/SC14 55/SC15 24/SC16 ??

Es ist nicht zu wenig Zeit, die wir haben, sondern es ist zu viel Zeit, die wir nicht nutzen.
Benutzeravatar
andre
Wengana
Wengana
Beiträge: 372
Registriert: Mo Dez 14, 2009 17:54:53
12
SC-Nickname: jody15
Nationencup: Team Montenegro
Ziel: Top 5.000

Re: Serverneuinstallation nach Hackerangriff

Beitrag von andre »

Naja sage auch mal danke :smt041
SC:Banner
Benutzeravatar
eYeWoRRy
Administrator
Administrator
Beiträge: 10070
Registriert: Sa Jan 29, 2005 00:34:53
17
SC-Nickname: eYeWoRRy
OS: Windows 10
Wohnort: Ternberg, Oberosterreich, Austria

Re: Serverneuinstallation nach Hackerangriff

Beitrag von eYeWoRRy »

Danke Wawa :)

Btw - wir brauchen einen THANK MOD :)
SC:Banner
Antworten

Zurück zu „ISCF <> News“