Hacking-Angriff auf Server mars [letztes Update: 11:39 Uhr]

Einer unserer Hosting-Server mars ist derzeit auf Grund eines Hacking-Angriffes offline, wir arbeiten daran, den Dienst schnellstmöglich wieder aufzunehmen. Weitere Informationen finden Sie zukünftig in diesem Blog-Post.

Genaue Ursachen über Ursache oder Angriffsvektor sind noch nicht bekannt.

19:17 Uhr: Anstatt das bestehende System neu zu installieren, ziehen wir alle Kundenseiten auf einen neuen Server um. Diese Maßnahme sollte zwar eigentlich nachts stattfinden, durch die Komprimitierung des Servers ziehen wir dies vor.

20:51 Uhr: Der Transfer der Webseiten auf das neue System ist abgeschlossen, alle Datenbanken wurde ebenfalls wieder eingespielt. Da der Angreifer aber alle Index-Dateien sowie Bilder ausgetauscht hat, läuft aktuell die Wiederherstellung der Kunden-Webseiten aus dem Backup. Durch den Server-Wechsel haben alle Webseiten auf dem Server „mars“ eine neue IP-Adresse erhalten. Bei einem „ping“ auf die Domain muss eine IP angezeigt werden, die mit „62.146.15.“ beginnt. Weitere Informationen zu „ping“ finden Sie in unserem Wiki.

21:12 Uhr: Das Mailsystem ist wieder online, FTP-Zugriff ebenfalls. Die Wiederherstellung der Webseiten aus dem Backup dauert derzeit noch an.

01:10 Uhr: Auf Grund von Problemen an der BackupPC-Software müssen alle vom Hack betroffenen Webs einzeln zurückgespielt werden – was nicht automatisiert möglich ist. Die Störung der Webseiten dauert also noch an.

02:53 Uhr: Die Wiederherstellung der Kunden-Webseiten ist abgeschlossen, in Kürze erhalten alle betroffenen Kunden einen Newsletter mit weiteren Informationen.

03:55 Uhr: ns2.as-dns.de ist wieder online, Rundmail wurde verschickt. Gleichzeitig die Sicherheit auf mars/venus punktuell erhöht – weitere Maßnahmen sind erst nach Einsicht in die (nur geringfügig) vorhandenen Log-Dateien möglich.

11:39 Uhr: der Weg des Angreifers ist nun nachvollzogen:

  • Upload einer PHP-Shell via FTP, das Passwort des Kunden-Accounts wurde vermutlich extern ausgespäht: der Kunde wurde inzwischen gesperrt
  • Verwenden eines Kernel-Exploits, um die Rechte des System-Accounts „root“ zu erlangen: leider ermöglichte der eingesetzte Kernel den Exploit und war nicht dagegen geschützt
  • Ausführen eines „Defacement“-Skriptes, um die ebenfalls hochgeladene index.html auf alle Accounts zu übertragen: dies geht soweit, dass die Partition, die die Dovecot-Indizes zur Performance-Steigerung enthält, ebenfalls überschrieben wurde
  • Löschen aller auffindbaren Log-Files und Rückschlüsse auf den Angreifer

Da wir jedoch zusätzliche Logs führen, die speziell geschützt sind, sowie das Skript des Angreifers nur Log-Dateien in einem bestimmten Schema gelöscht hat, konnten wir den Weg wie oben beschrieben einigermaßen nachvollziehen. Der Angreifer hat dabei eine IP-Adresse eines türkischen DSL-Anbieters verwendet, wodurch Strafanzeige o.ä. unsinnig ist – der Täter kann niemals ermittelt werden.

Post navigation


Kommentare

  • Lars Händler

    Autsch, aber das habt ihr echt wieder gut in den Griff bekommen.

Comments are closed.