#1 15. Juni 2012 Moin, wir haben bei uns in der FH ein Webprojekt laufen und Amazon schrieb uns, dass von unserem Server DoS Attacken gemacht wurden und wir den stillegen sollen. Die Frage ist nun wie wir die Daten am besten sichern und auf nen neuen Server kriegen. Macht es Sinn bei Amazon ein Image des Servers zu ziehen und auf den neuen aufzuspielen, oder muss alles von Hand gesichert werden? + Multi-Zitat Zitieren
#2 15. Juni 2012 AW: Amazon Server wurde gehackt Wird beides dein Problem nicht beheben. Ich gehe davon aus, dass durch euer "Webprojekt" irgendwo eine Sicherheitslücke sich aufgetan hat die jemand ausnutzt und per PHP DDoS/Portscans startet. Also alle Daten einfach ziehen und schauen welche da nicht hingehört und dann Fehlersuche. kp ob ihr Zugriff auf Logs und Co habt... Sonst viel Spaß beim suchen ;9 + Multi-Zitat Zitieren
#3 15. Juni 2012 Zuletzt bearbeitet: 15. Juni 2012 AW: Amazon Server wurde gehackt Das ist der Grund warum man nicht irgendwelche FH-Schülern Server zur Verfügung stellt die über das Internet erreichbar sind. Wenn man am lernen ist kann man nun mal noch nicht sicher programmieren. Wann geht das endlich in eure Schädel? Habt wahrscheinlich noch XAMPP benutzt. Hört auf Amazon und legt das still. Lasst erst Leute über euren Code (und Server-Setup) schauen die Ahnung davon haben bevor ihr irgendetwas ans Netz packt. Allein diese Frage zeigt wie unglaublich wenig Wissen über eventuelle Zusammenhänge vorhanden ist. tl;dr: eure Fähigkeiten sind der Aufgabe nicht gewachsen. Hört sich hart an, ist aber so. + Multi-Zitat Zitieren
#4 15. Juni 2012 AW: Amazon Server wurde gehackt Deine Kritik teile ich, dennoch kann ichs mir leider nicht aussuchen. Das Projekt/Fach gehört halt zu den Studieninhalten dazu und ich weiß dass ich so gut wie null Plan hab von Webhosting und Security. Das ist aber für die Creditpoints auch nicht von belang, wir müssens machen und fertig. Dass ich mir den Exploit oder was auch immer wieder rauflutsche sollte ich da ein Image ziehen hab ich mir schon denken können, dennoch suche ich nach einer einfachen Möglichkeit das ohne großen Aufwand über die Bühne zu bringen, da ich kurz vor den Klausuren weißgott besseres zu tun habe als jetzt tagelang die Kiste wieder neu zu installieren. Falls meine Fragen dumm sind tut es mir leid, ich bin was Serverkonfiguration und PHP angeht ein Noob, da ich sonst Java progge und auch nicht vorhabe in naher Zukunft professioneller Webprogrammierer oder Serveradmin zu werden. Nochmal zum Thema: Das Projekt ist in PHP und es könnte also sein, dass nicht die Serverconfig schuld ist, sondern der PHP-Code? Demzufolge wäre das Ding gleich wieder hackbar und eine eventuelle Neuinstallation unsinnig, ohne erst die Lücke ausfindig zu machen? + Multi-Zitat Zitieren
#5 15. Juni 2012 Zuletzt bearbeitet: 15. Juni 2012 AW: Amazon Server wurde gehackt Natürlich kann das sein. Zwingt die FH euch das öffentlich zugänglich zu machen? Mit einer .htaccess wäre ansonsten vielleicht schon Ruhe. Wir können dir hier nicht helfen, weil: wir den Code nicht kennen wir deine Serverkonfiguration nicht kennen (du hast nicht mal das OS genannt) Du wirst hier nicht ohne Arbeit weiterkommen. Entweder du bildest sich dementsprechend weiter oder lässt das jemanden beurteilen / anpassen der Ahnung davon hat. Da diese Amazon-Ranges fast nur von Kiddies heimgesucht werden kann ich dir zu 95% sagen, dass es etwas simples ist. Ich kann dir aber nicht sagen wo genau der Fehler liegt. tl;dr mehr Informationen, mehr Hilfe + Multi-Zitat Zitieren
#6 15. Juni 2012 AW: Amazon Server wurde gehackt Das ist ne Seite für ein Fach einer Professorin die dann auch online gehen soll. Wir schreiben da ein CMS in PHP mit dem neue News eingepflegt werden können, es gibt nen Kalender und sowas halt. Ne .htaccess hat einer letztens committet, kurz danach kam die Abusemail von Amazon. Was in der .htaccess drin stand kann ich leider nicht mehr nachvollziehen, da ein anderer Prof den Server off genommen hat und ich auf die Amazonkonsole keinen Zugriff hab. Es läuft Ubuntu 11.04 und apache2 drauf und es sind so Sachen wie chiliproject (Projektmanagement Tool), svn und phpmyadmin installiert. SVN haben wir automatisch in den Webserver per post-commit-hook ausgecheckt, damit man gleich Änderungen sieht. Der Plan meiner Professoren ist jetzt, dass ich mich Montag hinsetzen soll, den Kram vom alten Server hole und einen neuen Server einrichte, aber wenn ich das so höre ist das ja total sinnlos wenn auch der Code schuld sein kann. Würde es unter Umständen nicht reichen root-Passwort und Passwörter der DB Benutzer zu ändern und abzuwarten was passiert? + Multi-Zitat Zitieren
#7 15. Juni 2012 Zuletzt bearbeitet: 15. Juni 2012 AW: Amazon Server wurde gehackt Nein, es reicht nicht einfach nur irgendetwas zu prüfen. Du musst alles prüfen bis du das Problem gefunden hast. Wie ist es möglich, dass du das noch immer nicht begreifen willst. Ohne Arbeit kommst du hier nicht weiter. Das ist übrigens wesentlich schwieriger, wenn du keine Logdateien bzw. den letzten Zustand des Servers hast. Ansonsten kann ich dir nur raten aktuelle Software zu verwenden. Sachen wie PhpMyAdmin kannst du gleich weglassen, das bringt mir übel als Nutzen. Das Einzige was von außen zu erreichen sein sollte ist die Website. Den SSH-Daemon auf einen anderen Port legen und auf Hosts beschränken. Ansonsten PHP so konfigurieren, dass keine Systembefehle ausgeführt werden können, sämtliche Schreibrechte in deinem Docroot (htdocs) richtig konfigurieren sodass nur da geschrieben werden kann wo es auch vorgesehen ist. Ansonsten einfach mal google anwerfen: http://www.phpbuddy.eu/php-sicherheit/server-sicherheit-php-ini.html Serverfrieden | heise Security PHP: Safe Mode - Manual PHP: Sicherheit - Manual Und am Ende verlinkte Dinge wirken relativ leicht verständlich und sollten dir weiterhelfen. Außerdem, speziell was den Code betrifft: SQL-Injection – Wikipedia Remote and Local File Inclusion Explained wobei viele Sachen schon durch die PHP-Einstellung verhindert werden können. (Was NICHT heißt, dass es im Code nicht ausgebessert werden muss.) Mehr kann ich allgemein dazu nicht sagen. Davon abgesehen habe ich die geposteten Links nur überfolgen. Sollten dennoch brauchbar sein. Wenns irgendetwas konrektes gibt kannst du ja hier nochmal fragen oder mir eine PM schreiben. 1 Person gefällt das. + Multi-Zitat Zitieren
#8 16. Juni 2012 AW: Amazon Server wurde gehackt wo bietet amazon überhaupt root server an die ec2 dinger?? + Multi-Zitat Zitieren
#9 16. Juni 2012 AW: Amazon Server wurde gehackt Trotz Google , n guter Ansatz Amlex² .. Allerdings denke ich ,wenn da jemand mit Skill dran war an der Kiste.. Ist es das Beste Amazon zu befolgen und das ding vom Netz zu nehmen und Manuell alles zu sichern.. N anderer Weg wird euch net bleiben,wenn das jemand mit Ahnung war,wirst du trotz der Suche so gut wie gar nix finden.. - Tatsache... + Multi-Zitat Zitieren
#10 16. Juni 2012 AW: Amazon Server wurde gehackt Wenn er das Ding nach den Richtlinien neu aufsetzt ist der Typ garantiert runter. Er darf halt nicht den Scheiß von der alten Box übernehmen und muss den Code fixen. + Multi-Zitat Zitieren
#11 16. Juni 2012 AW: Amazon Server wurde gehackt ist die email überhaupt echt? vielleicht ist das ein scammer/hacker/troll der probiert dass du deinen vps formatierst. ich würde erstmal nichts machen + Multi-Zitat Zitieren
#12 16. Juni 2012 AW: Amazon Server wurde gehackt Die kam von ec2-abuse@amazon.com und ist echt, leider :/ Vielen Dank für die Mühen, werd mich morgen damit beschäftigen. Wenn Fragen sind meld ich mich. + Multi-Zitat Zitieren
#13 16. Juni 2012 AW: Amazon Server wurde gehackt Nicht nur der Absender heißt das es echt ist, jenachdem wohin die Mail ging sind die Filter verdammt schlecht eingestellt und dann kann ich dir au ne Mail von "billgates@ms.com" senden Allerdings glaube ich auch eher das euer Server hacked ist. Ich gebe Alex komplett recht. Image ziehen und wo anders wieder starten wäre der Fail des Jahres. Da hast ein wenigen Tagen das gleiche Problem. Ich finde auch (Da muss man euren Profs auf die schnautze für hauen) man sollte niemanden Root-Zugang oder auch nur nen Root stellen, der davon keine Ahnung hat. Heutzutage sind nunmal fast alle Server, die von nicht"admins", administriert werden hacked. Beste möglichkeit ist, die Logs nach fremdzugriff zu durchsuchen und herrauszufinden was gemacht wurde, was nicht hätte sein dürfen Da leider die Infos von Amazon sehr dürftig sind, wünsche ich viel spaß... 1 Person gefällt das. + Multi-Zitat Zitieren
#14 16. Juni 2012 AW: Amazon Server wurde gehackt Kk hab Montag für ne Stunde Zugriff auf das Ding und werd mir dann auch die Logs runterziehen. Vielleicht lässt sich ja was finden. Die Mail hat mein Prof geforwarded, sah jedenfalls echt aus und macht auch keinen Sinn da gegenan zu gehen. Es ist dank Bachelor/Master ja leider so, dass man wegen des Zeitmangels alles nur noch oberflächlich ankratzt und alles darüber hinaus selbst erarbeitet werden muss, was auch am Zeitmangel scheitert. In "Webtechnologie" haben wir zum Beispiel mit Drupal Webseiten zusammengeklickt (die übrigens auch bei Amazon gehostet waren, Security wurde aber auch nicht behandelt), was ich in einem Softwaretechnik-Studium als ziemlich lächerlich empfinde. Würde ich ein Produktivsystem für meine Arbeit aufsetzen, hätte ich sicherlich nicht so geschludert was Sicherheit und Einarbeitung allgemein angeht, aber da kann ich mir dann auch die Zeit nehmen die ich brauche und vorallem erfahrene Leute um Hilfe bitten, was in dem Projekt halt nicht der Fall ist. Aber egal, es ist jetzt nun mal so und es ist mir definitiv eine Lehre mich mehr mit dem Thema zu beschäftigen. + Multi-Zitat Zitieren
#15 17. Juni 2012 AW: Amazon Server wurde gehackt Wichtig wäre im ssh who einzugeben um zu schaun ob offene ssh sitzungen ausser deine zu finden sind - bzw. das lastlog und syslog ansehn geht auf unbuntu console auch via tail -f /var/log/syslog oder tail -f /var/log/apache2/error.log 1 Person gefällt das. + Multi-Zitat Zitieren
#16 18. Juni 2012 Zuletzt bearbeitet: 18. Juni 2012 AW: Amazon Server wurde gehackt k, danke für den Tipp. Bin ich ja mal gespannt ob da was zu sehen ist morgen. // Hab die Logs zwar aber kann da nicht wirklich was auffälliges rauslesen, da ich auch nicht weiß wonach ich überhaupt suche. who hat ergeben dass nur ich eingeloggt war. Hab jetzt nen neuen Server aufgesetzt und die Ratschläge von Alex² wegen der php.ini befolgt, zusätzlich noch Fail2Ban installiert sowie bessere Passwörter für alles verwendet. Danke euch nochmal. + Multi-Zitat Zitieren