• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Server Strato gesperrt

Z

zeusel

Registered User
Hallo Ihr,

soeben wurde mein Server gesperrt folgender Grund wurde mir zunnächst genannt:

1. Anruf: Techniker sagte mein Server wurde für eine DOS Attacke missbraucht. Telefonat unterbrochen.

Ich prüfe meinen Server regelmäßig...so tat ich dann folgendes:

chkrootkir ausgeführt...nix alles sauber
Traffic und die geschickten Paketdaten geprüft: nix alles gut, sicher es gab um 18 Uhr eine kleine Anhebung der Paketdaten, aber diese waren WEIT unter den Spitzenwerten die ich in den vergangenen Tagen hatte. Ich muss dazu sagen, dass ich ein gut laufendes Fussballforum hoste und auch als Fotograf massig an Galerien eingerichtet habe so das zu bestimmten Zeiten mehr Traffic da ist.
Meines Wissens nach sollten DOS Attacken dann ja auch die Werte der Paketdaten nach oben treiben, oder?

2. Anruf bei der Technikerhotline:

Zitat: "Ja bei Plesk existiert eine Sicherheitslücke, sie haben ein Update nicht gemacht, bitte machen Sie das dann wird Ihr Server wieder freigeschalten."

Häää? Entweder bin ich jetzt total verblödet aber die technische Hotline sagte mir im Prinzip, dass mein Server OHNE jegliche Vorwarnung abgeschaltet wurde weil ich ein dämliches Plesk-Update nicht gemacht habe, dass erst seit 1.3. Online steht?
Witzig ist: ich kann gar kein Update machen...weil der Server nicht nach "außen" gehen kann... da beisst sich die Katze in den Schwanz...also was soll ich tun?

Leitung wieder unterbrochen...

3. Anruf bei der Technikhotline:

Ich kam bei den Support bei Vertragsfragen raus. Aussage:

"Ja Ihr Server wurde gesperrt wahrscheinlich wegen DOS Attacken". Nachdem ich den Herren aufklärte, dass ich NIX aber auch gar NIX verdächtiges feststellen konnte erfuhr ich glatt...das mehrere HUNDERT Kunden gesperrt wurden gestern.
Jippie...ich gewinne langsam immer mehr an Vertrauen...

Nichtsdestro trotz sollte ich nun an die Abuse Abteilung eine Nachricht schicken...per Telefon ist diese nicht zu erreichen...aha...

So meine Frage: wo kann ich noch nach Hinweisen und Beweisen suchen, ob wirklich mein Server für DOS Attacken missbraucht wurde? Wie erwähnt log-Dateien bin ich durch....Traffic geprüft...chkrootkit nix gefunden.

Any Ideas?
 
ALso bei allem was recht ist:
ich bin ja nun kein Anfänger und habe einiges an Erfahrung achte immer auf ein gepflegtes System achte auf die logs etc. aber mit welchem Recht sperrt Strato einen Server weil es eventl. passieren könnte, dass...?
Wenn etwas passiert ok...sage ich nix gegen dann muss entsprechend die Kiste vom Netz aber wenn nicht der Hauch eines Angriffs vermutet werden kann...wie will sowas Strato rechtfertigen? Mir unklar.
Danke für den Link den kannte ich aber schon ;)

Aber nochmals zu meiner Frage: wo kann ich noch nachsehen ob DOS Attacken von meinem Server ausgingen?
 
Hmm dachte eher an Apache Logs...weißt Du oder vermutest Du? Also ich wäre dankbar für fundierte Hinweise!
 
In Logs wirst du da wohl eher nicht fündig. Zumindest nicht in deinen...
Sowas würde man gut erkennen, wenn man eine Monitoringsoftware laufen hat, die so tolle Graphen erstellt ;-)
Auch bei uns in der Firma wurden zig Kunden aufgrund von solchen Attacken gesperrt.
 
In Plesks Logs unter /opt/psa/admin/logs/httpsd_access_log lässt sich aber erkennen wie oft versucht wurde sich einzuloggen. Mehrfachs POSTs auf Plesks login_up.php3
Auch der Zugriff auf agent.php lässt sich mit
zgrep "agent.php" /opt/psa/admin/logs/httpsd_access_log* auslesen.
 
Last edited by a moderator:
STRATO? Nein danke!

Uns ist nun gestern Abend selbiges passiert. Info über Serverabschaltung um 19 Uhr, Support nur bis 18 Uhr erreichbar. Um 2:50 heute früh die Mitteilung über die Sicherheitslücke.

Heute früh nach langer kostenpflichtiger Warteschleife den Support am Telefon gehabt. Ich solle mich über die serielle Konsole verbinden und das Plesk-Update machen. Würde ich ja gerne, aber es gab eine Fehlermeldung (Your host name must resolve to the correct IP address of your server, unless you are using network address translation (NAT). Please quit Parallels Products Installer, fix the host name resolution problem, and then try installing again.).
Den Support danach zu befragen brachte mir die Antwort des Supportmitarbeiters ein, "wie dumm ich denn sei" (kein Witz!). Ich habe noch 2x angerufen, beide Male wieder mit langer Warteschleife. Beim 2. Anruf sollte ich weiter verbunden werden - es wurde aber aufgelegt. Beim dritten Anruf wurde gleich aufgelegt, als ich anfing, das Problem noch mal zu schildern.

Unserer persönliche Geschäftskundenbetreuuer ist per Telefon und Fax nicht zu erreichen, wie ich nun erfahren musste, gar nicht mehr bei STRATO beschäftigt. Ich solle umgehend eine Mail mit einem neuen Betreuuer und Ansprechpartner bekommen. Was passiert? Nichts!

Nun habe ich eben beider Server gekündigt - das ist eine bodenlose Unverschämtheit wie STRATO mit langjährigen Kunden umgeht.

NIE WIEDER STRATO!
 
Warum schimpft Ihr alle über Strato? Das Problem der Sperrung ist selbstgemacht! Da seid Ihr selbst dran schuld, das es soweit kam. Der Hinweis mit der Sicherheitslücke ist schon seit (sehr) langem bekannt, auch das es ein Update bezüglich Plesk (Microupdate UND neues Release) gibt. Wenn man seine Updates regelmäßig macht, wird einem nicht der Server gesperrt. Oder soll sich Strato auch noch um euere Selbstverantwortung kümmern? Ihr habt einen Server angemietet, also seid Ihr der Serverbetreiber und damit voll und ganz verantwortlich dafür! Strato bietet euch die Infrastruktur und die Hardware, mehr nicht! Wenn Ihr selbst nichts an den Server machen wollt, dann gibts auch managed Server. Ich finde es gut, das der Server vorerst mal gesperrt wird, denn dann kann der zumindest keinen Schaden anstellen und erst dann kommt Ihr (die Kunden) mal in die Potten :)
 
Hier noch eine Info eines meiner Kunden, welche meinten Sie müssen den Server auch selbst betreuen (freut mich, hab ich Geld verdient:p):

Sehr geehrte STRATO Kundin, sehr geehrter STRATO Kunde,

eine kritische Sicherheitslücke in der Administrations-Software Plesk wird derzeit aktiv genutzt, um betroffene Server zu kompromittieren. Betroffen sind Linux- und Windows-Server mit Parallels Plesk Panel 7.6.1 - 10.3.1. Über eine SQL-Injection können Angreifer vollen administrativen Zugriff auf das System erlangen.

Die Sicherheitslücke wurde vom Hersteller Parallels in der aktuellen Version bereits behoben. Für einige ältere stellt Parallels sogar Micro-Updates bereit, um diese Sicherheitslücke zu stopfen. Prüfen Sie deshalb bitte umgehend, ob Ihr System auf dem aktuellen Stand ist. Ist Ihr System nicht auf dem aktuellen Stand, aktualisieren Sie es sofort und spielen die letzten Plesk-Updates ein. Wichtige Informationen hierzu finden Sie direkt unter: http://kb.parallels.com/en/113321


Wichtiger Hinweis: Pleskzugang temporär gesperrt

Da die Plesk-Schwachstelle zunehmend systematisch ausgenutzt wird, haben wir zum Schutz Ihres Systems und Ihrer Daten den Plesk-Port 8443 temporär durch eine lokale Firewallregel gesperrt.
iptables -N strato-block-plesk
iptables -A strato-block-plesk -j DROP
iptables -I INPUT 1 -p tcp --dport 8443 -j strato-block-plesk

Sie können diese Sperre jederzeit durch einen reboot oder folgenden Befehl aufheben.
iptables --flush strato-block-plesk

Wir empfehlen jedoch unbedingt, vorher das System zu überprüfen und Plesk gegebenenfalls auf den aktuellsten Stand zu bringen.


Die Aktualisierung erfolgt unter Linux am einfachsten über den Plesk-Autoinstaller:
- für openSUSE/CentOS
/usr/local/psa/admin/bin/autoinstaller --ignore-key-errors

- für Debian/Ubuntu
/opt/psa/admin/bin/autoinstaller --ignore-key-errors

Exemplarisch ist dessen Verwendung hier beschrieben:
http://www.strato-faq.de/artikel.html?id=2425

Weitere allgemeine Hinweise zum Einspielen der Microupdates finden Sie hier:
http://kb.parallels.com/de/9294
In unserem Kundenservicebereich versorgen wir Sie mit weitergehenden Hinweisen zu dieser Sicherheitslücke.
Bitte informieren Sie sich regelmäßig unter https://config.stratoserver.net

Ihr STRATO Server-Team.
Click to expand...
Durchlesen, das hat jeder erhalten, dann findet Ihr auch raus, wie man den Server updaten kann und dann wieder online ist. Zeitaufwand ungefähr 15 Minuten!

Nur zur Info, das der Fehler nicht erst seit 01.03.2012 bekannt ist:
NOTE: The issue has been completely fixed in the Plesk 8.6 MU#2, 9.5 MU#11, 10.3 MU#5, and later versions.
Click to expand...
 
Diese Mail kam heute Nacht um 2:50 Uhr - da war der Server schon 7 Stunden weg!

Ich habe alle Mails von STRATO durchgesehen, es gab keine Info vor dem gestrigen Tag.

Und genau nach der Anleitung wurde vorgegangen - danach kam die oben beschriebene Fehlermeldung und der pampige Support.

Nichts dagegen, wenn aus Sicherheitsgründen schnell gehandelt werden muss - aber dann muss auch die Hilfe klappen und nicht der Kunde letztendlich als Blödi hingestellt werden. Und nochwas: Wenn das Update nach der Anleitung fehlschlägt, kann man nur den Server komplett neu installieren, diese Mail kam heute Mittag:

Sehr geehrter Herr XXXXX,

vielen Dank für Ihre Anfrage, die ich Ihnen gerne beantworte.

Ihr Server ist aufgrund einer ausgehenden DoS-Attacke gesperrt worden. Wir sind uns sicher, dass Ihr Server über eine Sicherheitslücke im Plesk kompormittiert wurde und unbekannte Dritte diesen für diese Attacke missbraucht haben.

Um den entstandenen Schaden weitestgehend einzuschränken, haben wir Ihren Server kurzfristig gesperrt. Beachten Sie bitte, dass es sich bei solchen Vorgängen um Straftaten handelt. Wir sind rechtlich verpflichtet, so zu agieren.

Damit Sie nun geeignete Maßnahmen ergreifen können, haben wir Ihren Server soeben entsperrt. Die Entsperrung erfolgte mit einem Start des Rescue-Systems. Dieser Zustand eignet sich für eine Datensicherung mit anschließender Neu-Installation.

Sehen Sie bitte vor dem Beheben der Ursache dieses Vorfalls von einem vorzeitigen Reboot in das Normal-System ab, da dritten Parteien sonst weiterer Schaden entstehen würde.

Wir empfehlen Ihnen, Ihre persönlichen Daten zu sichern und dann über Ihren gesicherten Kundenservicebereich eine Neu-Installation zu beauftragen. Anschließend sollten Sie Ihre gesicherten Daten auf Manipulationen von außen untersuchen, bevor Sie diese wieder aufspielen. Achten Sie hierbei speziell auf Veränderungen Ihrer Skripte und HTML-Dateien.

Beachten Sie auch bitte, dass Back-Ups mit großer Sicherheit bereits infiziert sind und sich daher für eine Behebung dieser Ursache nicht eignen. Es ist auch sehr wichtig, dass Sie alle verwendeten Passwörter ändern.

Wenn Sie die Ursache dieses Vorgangs ohne eine Neu-Installation behoben haben, ist es noch nötig, dass Sie Ihren Server in das Normal-System booten. Loggen Sie sich hierfür in Ihrem gesicherten Kundenservicebereich auf www.strato.de ein und klicken Sie unter dem Menupunkt „Serverkonfiguration“ auf „RecoveryManager“. Von dort können Sie den Reboot durchführen.

Bitte beachten Sie, dass aus technischen Gründen einige Minuten vergehen können, bis der Server wieder im Netz erreichbar ist.

Sollten sich die Verstöße nach der Entsperrung fortsetzen, würden wir uns leider gezwungen sehen, Ihren Server erneut zu sperren.

Falls Sie Fragen diesen Vorgang betreffend haben, stehen wir Ihnen jederzeit gerne zur Verfügung.
Click to expand...
 
Last edited by a moderator:
Ich habe alle Mails von STRATO durchgesehen, es gab keine Info vor dem gestrigen Tag.
Click to expand...
Muss ja auch nicht von Strato kommen oder ?
Du als Administrator eines Dedicated Server, bist dafür verantwortlich dass deine Kiste immer uptodate ist, und keinerlei Sicherheitslücken aufweist.

Solltest du dieser Pflicht nicht nachkommen, müssen leider Provider, in dem Falle Strato, nach einer DDOS Attacke (so wie es aussieht, tätig werden.

Im schlimmsten Falle, kann es sogar noch passieren, dass du Schadensersatz-Klagen erhälst.

Nur mal zur Info, da hier sich die Strato Threads derzeit häufen: In den letzten 2 Tagen, wurde von mehreren IP-Adressen (aus dem Strato-Netz) versucht, in einen meiner Server einzudringen. Fail2Ban wurde daraufhin tätig, und hat auch gleich Abuse-Mails an Strato gesendet.

Kann also schon sein, dass dort einige Server kompromitiert sind ;(
 
wmg said:
Diese Mail kam heute Nacht um 2:50 Uhr - da war der Server schon 7 Stunden weg![...]
Und genau nach der Anleitung wurde vorgegangen - danach kam die oben beschriebene Fehlermeldung und der pampige Support.
[...] aber dann muss auch die Hilfe klappen und nicht der Kunde letztendlich als Blödi hingestellt werden.
Click to expand...

Sorry, dass du gerade eine bittere Wahrheit lernst, aber Strato ist für all das nicht verantwortlich. Die müssen dir weder ne Mail schreiben, noch dir ne Anleitung geben, wie du deinen Server gefixt bekommst und schon gar nicht müssen sie dir helfen, wenn du mit dem Ding nicht klar kommst. Du hast das Blech gemietet, sonst nichts! Das was du hier abforderst, sind Leistungen eines weit teureren Managed-Severs.

Dein Server wurde für DDoS missbraucht! Das hätte nie passieren dürfen. Das ist deine Schuld, weil du keine Updates eingespielt hast! Also mal ganz Sachte mit Angriffen auf Strato.

By the way: Der Server muss durch den Einbruch eh neu aufgesetzt werden. Oder vertraust du der Bude, wenn jemand fremdes Zugriff auf Plesk hatte?
 
Wenn dem so ist, dass der Server als DoS benutzt wurde, kann es juristisch Ärger geben.
Ich würde in jedem Fall den Server runterfahren, ein Image für die Polizei sichern und Strafanzeige stellen.

Server platt machen und ist-mir-alles-wurscht-wird-neu installiert ist da nicht die Vorgehensweise.
 
Habe ich da was verpasst ?? Ist das wieder eine Lücke oder noch die alte ?

Habe derzeit

<product id="plesk" version="10.3.1" installed-at="not-a-date-time">
<patch version="17" ......

War das mit der Lücke nicht schon Ende Jan 2012 und wurde bereits mit MU 16 behoben ? Also habe ja bereits MU 17 wie oben zu sehen.
 
PapaBaer said:
Dein Server wurde für DDoS missbraucht! Das hätte nie passieren dürfen. Das ist deine Schuld, weil du keine Updates eingespielt hast!
Click to expand...

Das wurde er definitiv nicht, da es keine cgi-bin Verzeichnisse gab bzw. Diese (wenn vorhanden) leer waren.

Strato schreibt auch selbst:
Wenn Ihr Server ... gesperrt wurde, ist die Wahrscheinlichkeit hoch, dass ein Angreifer genau diese Lücke ausgenutzt hat.
Click to expand...

Es wurden eben NICHT nur befallene Server gesperrt.

Im übrigen zahle ich viel Geld für einen Premium-Geschäftskundensupport und da erwarte ich nun einfach mal kompetente Hilfe wenn ich Fragen habe, unabhängig vom Grund meiner Fragen. DAS ist es, was mich aufregt, nicht die Serversperre.
 
Uns ist nun gestern Abend selbiges passiert. Info über Serverabschaltung um 19 Uhr, Support nur bis 18 Uhr erreichbar. Um 2:50 heute früh die Mitteilung über die Sicherheitslücke.

Heute früh nach langer kostenpflichtiger Warteschleife den Support am Telefon gehabt
Click to expand...
Du widersprichst dich in deinen Ausführungen. Wieso hast du dann nicht gleich um 03:00 Nachts angerufen, wenn du doch die 24/7 Hotline für monatlich 9,90 € hast ?
 
Das ist nicht die 24/7 Hotline, sondern der Premium-Geschäftskunden-Support mit persönlichem Ansprechpartner und Direktdurchwahl. Und wie ich auch schrieb, gibt es unseren persönlichen Betreuer nicht mehr, also ging auch keiner ans Telefon.
 
Ist zwar Offtopic und soll keine Werbung sein.
Aber ich hoste bei Edis.at ! Top Service - Preis/Leistung auch gut !
 
wmg said:
Das ist nicht die 24/7 Hotline, sondern der Premium-Geschäftskunden-Support mit persönlichem Ansprechpartner und Direktdurchwahl. Und wie ich auch schrieb, gibt es unseren persönlichen Betreuer nicht mehr, also ging auch keiner ans Telefon.
Click to expand...

Das erinnert mich an den Anruf bei meinem Supporter bei 1und1, den ich um 02:00 Uhr in der Nacht aus dem Bett geklingelt habe :D ... Die sind dort echt immer und überall erreichbar. Hat man aber keinen Premium-Support, ist man an A.... :D
 
wmg said:
Das wurde er definitiv nicht, da es keine cgi-bin Verzeichnisse gab bzw. Diese (wenn vorhanden) leer waren.
Click to expand...
Was hat denn nun cgi-bin mit DoS zu tun? Mit dieser Aussage bestätigst Du eindrucksvoll, dass Du gar nicht in der Lage bist, einen Missbrauch Deines Servers auszuschliessen. Somit ist derzeit Stratos Verdacht erheblich glaubwürdiger, als Dein Bestreiten des Verdachts...
 
You must log in or register to reply here.
Back
Top