Hallo liebe Katzenfreunde!

Ihr habt euch sicher schon gewundert, warum dieSchatzen.at zwei Wochen nach erfolgreichem Start wieder offline-gehen musste.

Das ganze ist so passiert

dieSchatzen.at wird genauso wie martinwaiss.com auf meinem eigenen Root-Server (mit eigener IP) gehostet und betrieben. Dieser Server ist mein Spielzeug, mein Hobby und mein Spielgarten. Von Entwicklung, über Filemanagement bis zum Hosting von verschiedenen Projekten von mir, wird alles auf diesem Server betrieben.

Aus diesem Grund war ich immer sehr vorsichtig im Umgang mit dieser Maschine, da mangelnde Sicherheit zur “Entführung” des ganzen Servers führen könnte, mit Superuser-Rechten, wodurch sozusagen alles denkbare ausführbar wird.

Trotz jeglicher Vorsicht und Sicherheitsmaßnahmen

wurde mein Server vor einer Woche spät in der Nacht von Sonntag auf Montag von Italien aus geentert und die Einbrecher haben leider Gottes die Root-Rechte erlangt. Sodurch hatten sie die absolute Kontrolle über die ganze Maschine und haben es auch genutzt.

Unter anderem wurden ganzen Strukturen mit verschiedenen Phishing-Seiten aufgesetzt und in Betrieb genommen, u.A. auch Phishingseiten für die Italienische Postbank.

Fraud Alert und Sperre

Kurz nach Inbetriebnahme der illegalen Phishingseiten wurde die italienische Bankaufsicht alarmiert und ein Fraud-Alert gegen meine IP ausgegeben.

Sobald die Meldung meinen Provider (server4you.de) erreicht hatte, wurde mein Server nach einem Kontrollcheck sofort gesperrt und Anzeige gegen unbekannten Täter erstattet. Da diese illegale Seiten auf von mir gemieteten IP und Maschine betrieben wurde, fällt logischerweise die Schuld auf mich, egal ob mir bewusst oder nicht.

Serverprovider

Löblich ist die nur die Unschuldspräsumptionsklausel, wo automatisch angenommen wird, dass ich diese illegale Tätigkeiten nicht selber und bewusst betreibe, solange der erforderliche Eingriff meinerseits rechtzeitig erfolgt und ich bereit bin eine Bestätigung zu unterzeichnen, dass ich mit dieser Tätigkeit nichts zu tun habe.

Sonst hat der Provider das Recht meinen Vertrag sofort zu kündigen, alle meine Daten ohne Ersatzanspruch zu löschen und eine Anzeige gegen mich zu erstatten.

Servermieter

Meine Möglichkeiten nach diesem Vorfall sind allerdings recht beschränkt. Entweder wird von mir keine Aktion unternommen und s4y löscht den Server und kündigt den Vertrag, oder ich verzichte auf die Daten, lasse den Server neu aufsetzen und bezahle den Aufwand oder ich lasse mir den Server im Recovery-Modus freischalten und beseitige die Infektion und setze alles selber neu auf…

Somit habe ich in der letzten Woche cca. Tausend Stunden am Server gearbeitet,

um alles zuerst zu säubern, was davon möglich ist zu noch sichern, anschliessend den ganzen Server komplett zu löschen und neu aufzusetzen und zu sichern.

Demzufolge habe ich es auch durchgeführt und alles komplett neu aufgesetzt, konfiguriert und gesichert. Alle Serverkomponenten sind auf dem aktuellsten Stand, Firewall und Backups sind neu aufgesetzt und konfiguriert und die gefährlichsten Features (vor allem PHP (SaveMode, etc.)) deaktiviert.

Neustart

Es wartet noch sehr viel Arbeit auf mich, aber das wichtigste ist fertig und betriebsbereit. In der neuen Konfiguration wird noch mehr Fokus auf Sicherheit vor Features gelegt und jeglicher Aufwand zur Risikominimierung auch ergriffen.

Die ganzen Blogs muss ich noch aufsetzen und konfigurieren und dann sind wir bald soweit wie davor. Was die Aufmachung der Blogs betrifft habe ich da auch einige Neuerung vorgenommen mit Ziel jegliche unsicheren Komponenten zu eliminieren. Bitte nicht wundern, falls die eine oder andere Multimedia- oder Interaktionsfunktion nicht gleich funktioniert, es wird alles der Reihe nach nachgezogen, aber nicht mehr auf Kosten der schwächeren Sicherheit.

Leider habe ich bei dem Einbruch durch beschädigte Backup-Dumps einige Daten verloren, die ich höchstwahrscheinlich nie mehr ersetzen kann. Das tut mir Leid, kann aber leider nichts mehr damit tun, außer daraus zu lernen.

Relaunch

Also willkommen beim Relaunch von dieSchatzen.at und hoffentlich bleiben wir diesmal dauerhaft online und können euch wieder die Scheibenwelt durch die Augen unserer Pelzlinge präsentieren.

Danke für die Geduld und den Besuch und nachträglich noch einen schönen Felloween :))

Euer IT-CCO, Miaurtin

(3 votes, average: 4.00 out of 5)
 Loading ...

Popularity: 1% [?]