Server 5 kompromitiert

[Alex07]

Ja wir machen zum Glück Backups, leider ist durch eine Sicherheitslücke der Server 5 komprimitiert. Wir suchen grade die Lücke und können dsa eingrenzen. Nicht alle sind betroffen, jedoch wird das Backup von vor 2 Tagen eingespielt. Gestern Nacht ist das ganze passiert und etwa die hälfte der Webseiten sind betroffen. Es ist ganz wichtig und kurzfristig, das
a) änderungen wenn diese vorgenommen woirden sind zwischenzuspeuichern. Bitte nicht dsa Joomla komplett oder dsa CMS System komplett sichern!!!
Nur manuelle Sicherung ist hier nötig! Also
Es soll was in den letzen 2 Tagen bearbeitet worden ist, lokal gesichert werden. Zb mit einem Texteditor Notepad++
b) um 19h werden wir das Backup einspielen, alle Änderungen in der Zeit werden nicht gespeichert. Etwa 21h sollte es durch sein
c) alle passwörter bitte ändern!" dazu gehört email passwörter, DB passwörter und FTP Passwörter. Zur sicherheit auch dsa ISPCP Passwort ändern!

ALLE Daten werden wiederhergestellt, keine Sorge! Jedoch nicht was in den letzen 2 Tagen geändert worden ist.
Bitte auch alles aktualisieren ab 21h, die Joomla installation oder sonstige CMS!
Es wird noch eine Rundmail geben, wann der Vorgang abgeschlossen ist und mit Admin Tools PRO und Akeeba Backup Pro download instruktionen und klar gibt es auch Hilfe bei Problemen


Es ist das erste mal das sowas passiert ist, seit 3 Jahren und wir hoffen das sowas nicht wieder vorkommt. Damit sowas nicht mehr vorkommt bitten wir Sie ihr CMS aktuell zu halten. Dieses "überspringen" auf andere Webseiten ist eigentlich nicht Möglich, ist aber passiert. Daran wird grade geforscht wie sowas eigentlich passieren konnte. Auch werden tägliche Backups, mehrfach redundant gemacht, bis 14 Tage zurückverfolgbar. Jetzt heisst es erstmal Fehler finden und ausmerzen. Bitte helft uns dabei indem alle Passwörter geändert werden ( ab 21h)

[Alex07]

Soo, was erfreuliches ;-)
Alle Daten konnten gerettet werden der Datenbanken. Diese waren nicht betroffen, jedoch alle FTP Daten. Diese werden wieder hergestellt. Zur Sicherheit sollten alle Benutzer ihre Passwörter trotzdem ändern. Die FTP Daten werden auf den 29. zurückgesetzt. Sollte eine Komponente, Pliugin oder Modul installiert worden sein einfach drüber installieren. Keine Daten gehen verloren
Ich hasse sowas :-(

[Alex07]

ach ja der oder die angreifer kommen wohl aus italien. hmmn
ärgerlich und zeitaufwändig sowas

[catcat]

Wenn Ihr die Lücke auf den anderen Servern gestopft habt, kannste ja mal sagen, wie die reinkamen und was da gemacht wurde.
Das dürfte auch andere Hoster interessieren, schätze ich.

[Alex07]

sicherlich, weils auch heute ne lange nacht wird
server ist ja abgeschottet nach aussen. webspace 1 darf nie auf webspace 2 zugreifen dsa ist explizit verboten. weisst ja dsa apche unter "user " läuft. ist eher ein server prob. alles was da ist ist beonders sicher nach meinem ermessen, das ist eine tiefe kerbe in meiner geschichtevorallem darf ich jetzt nachher die rechte neu setzen für 50 domains. php darf nicht alles, restore schon garn net. dsa mach ich heute nacht

[catcat]

Soviel also zu Deinem "freien Tag"

[Alex07]

kakke ist das. ist man nicht da, laufen die mäuse übern server

[Alex07]

http://www.edel-host.de/download/sch...2.1.14-pro.zip
http://www.edel-host.de/download/sch...3.3.11-pro.zip
einfach bei Joomla im install manaer eigeben ( webinstallation. in den nächsten minuten ist der server wieder erreichbar
bitrte haltet eure joomla installationen sicher und aktuell. dsa poaket kostet normalerweise 85€ hier bekommt ihr es kostenlos. natürlich muss der schlüssel_geheim geändert werden auf die mail die ich euch geschickt habe

[catcat]

Irgendwie wußte ich, daß Joomla das Leck war

[Alex07]

ja scheisse ist das