Mail von Google - Malware - hä??

[ts]

...

Passwörter ändern reicht nicht. Wenn jemand das Teil als Spamschleuder missbraucht kanns richtig teuer werden.

...

Das sollte klar sein, dass es nicht reicht nur die Passwörter zu ändern. Ist aber ein Anfang um den Mist nicht gleich wieder drauf zu haben.

[fi-ausbilden]

ohje minee.. kann aber nicht alle system umstellen. wir haben da einen root server laufen, system neu aufsetzen übersteigt aber unseren kenntnisstand. meint ihr ein managed server würde evtl. helfen?

Managed hilft nur für die Plattform und die Middleware - es sei denn, das CMS wird auch mit upgedatet. Und dann gilt noch: Nur bekannte Sicherheitslücken können durch einen Patch oder ein Update behoben werden. Wenn dann schnell reagiert wird ist die Gefahr auf einem managed-Server geringer, als wenn Ihr das selbst macht und nicht schnell genug reagiert...

[fo]

na ich werde erstmal die passwörter ändern. Die neueste joomla version ist bereits installiert, wenn der angreifer darüber reingekommen ist, siehts schlecht aus.

[SloMo]

wir haben da einen root server laufen, system neu aufsetzen übersteigt aber unseren kenntnisstand.

Dann hilft nur ein Managed Server oder ordinärer Shared Webspace. Außerdem muss das CMS regelmäßig aktualisiert werden.

Wie kommst Du eigentlich auf den Trichter, einen Rootserver ohne den blassesten Schimmer zu betreiben? Zu geizig, für die Systempflege zu bezahlen? *kopfschüttel* Naja, Lehrgeld haste ja jetzt bezahlt. Ärgerlich finde ich nur, dass wahrscheinlich auch noch viele andere Webmaster und User drunter zu leiden haben. Sind ggf. Deine User schon informiert worden, dass ihre Passwörter und Email-Adressen einem Hacker in die Hände gespielt worden sind?

[Pompom]

...wenn der angreifer darüber reingekommen ist, siehts schlecht aus.

Für Dich, denn er ist ja nun schon drin. Und, wenn er nicht ganz blöd ist, hat er sich ausreichend Backdoors offen gehalten. Suche mal auf dem Server nach installierten Rootkits.

[fo]

Ist ja nicht so, dass wir überhaupt keinen Schimmer von Linux haben, für normale Administration reichts ja aus. Neu aufsetzen wird aber dann halt schon schwierig, vielleicht nicht unmöglich, aber schwierig.

Ob die Passwörter und eMails ausgespäht wurden, ist ja mal dahin gestellt. ich hoffe doch nicht, aber jetzt alle User verrückt zu machen, kann ja nicht der richtige Weg sein!

[lloy]

wir haben da einen root server laufen, system neu aufsetzen übersteigt aber unseren kenntnisstand

Dann fahr ihn runter bis Du eine Alternative hast, auch wenn das jetzt übertrieben klingen mag. Mir wärs jedenfalls zu riskant, einen möglicherweise gehackten Server am laufen zu haben und im worst case für Spam und DDos Angriffe verantwortlich zu sein.

Wenn Du jetzt die einfach Passwörter änderst und weitermachst ohne zu wissen, wie der Angreifer reingeommen ist und was er gemacht hat, ist das wie russisches Roulette.

Selbst Leuten, die wirklich Ahnung von sowas haben (ich zähle mich da nicht dazu) ist es i.d.R. viel zu heiss, einen Server nach einem erfolgreichen Angriff weiterlaufen zu lassen.

[SloMo]

Wenn Du jetzt die einfach Passwörter änderst und weitermachst ohne zu wissen, wie der Angreifer reingeommen ist und was er gemacht hat, ist das wie russisches Roulette.

Ja, nur dass nicht er die Kanone an der Schläfe hat, sondern alle anderen. Denn der Hacker wird einen Teufel tun, den gehackten Server lahmzulegen oder zu sabotieren.

[lloy]

Ja, nur dass nicht er die Kanone an der Schläfe hat, sondern alle anderen. Denn der Hacker wird einen Teufel tun, den gehackten Server lahmzulegen oder zu sabotieren.

Stimmt, aber haftet man nicht auch in vollem Unfang für alles, was der Hacker evtl. mit der Kiste anstellt (Traffic, Schadensersatz, etc.)?

[fo]

Also wir setzen jetzt den Server neu auf. Daten backupen, System zurücksetzen in Ursprungsszustand und alles wieder neu installieren. Hoffe das schafft erstmal Abhilfe.

[ts]

Lasst mal die Kirche im Dorf. In erster Linie geht es bei dem Exploit darum Surfer zu infzieren und zu sammeln und nicht den Server als Spam Schleuder zu missbrauchen. Zweiteres ist natürlich nicht ausgeschlossen, wäre aber wenn es darum ginge sicher schon durchgeführt worden. Auf jeden Fall ist eine klare Loganalyse notwendig.
Aber wenn man nur etwas Ahnung von Linux hat, sollte man wirklich die Finger von einem Root Server lassen. Ich würde versuchen herauszufinden wie der Angreifer an die Passwörter gekommen ist. Da er den Quelltext verändert hat (zwei verschiedene Systeme) müsste er die haben. Eventuell ist Dein eigener PC oder von einem Kollegen auch infiziert und er konnte dort das Passwort ausspionieren.

[Pompom]

Also wir setzen jetzt den Server neu auf. Daten backupen, System zurücksetzen in Ursprungsszustand und alles wieder neu installieren. Hoffe das schafft erstmal Abhilfe.

Das ist genau das, was hilft, erst einmal das System wieder sauber zu bekommen.
Jedoch ist es immer notwendig, auch das Loch zu kennen, was den Angriff ermöglicht hat, denn sonst hast du die Wanzen schnell wieder im Pelz.

Da mich das mittelfristig angeödet hat, laufend HackerKracker-Wanzen jagen zu müssen, habe ich es mir abgewöhnt, die "großen" bekannten GNU GPL- Free- Share- Produkte zu installieren, wie z.B. Joomla, phpBB, Gallery??? usw. Man kommt bei den dingensen kaum hinterher, auf dem Laufenden zu sein. Bei vielen Modifikationen ist es ein Graus, alle paar Tage ein Update zu fahren und auch eine neue Version ist kein Gewähr für verstopfte Sicherheitslücken.

Seit dem lebe ich in der Beziehung bedeutend ruhiger.

Manchmal lohnt es sich, auch etwas Geld für Produkte auszugeben, wenn der kommerzielle Hersteller sicherere Software produziert.

Einen ersten Überblick über zu erwartenden Stress bringt auch eine Google-Anfrage, z.B. "security issue joomla" o.ä..

[lloy]

Ja, Joomla habe ich mir mittlerweile auch abgewöhnt.

Wenn schon Standardsoftware läuft, dann sollte man sich evtl. auch mal mod_security anschauen. Sehr feine Sache.

[fo]

Ja das ist halt der nachteil bei opensource software, viele basteln dran rum und mit jedem release gibts mehr sicherheitslücken. ist allerdings die frage, ob es überhaupt an joomla gelegen hat!

also wir kriegen das schon irgendwie auf die reihe, vielen dank für die wertvollen tipps und ratschläge!

[fi-ausbilden]

Auch wenn es o.T. ist:

OpenSource bedeutet nicht gleich mehr Sciherheitslücken. Nehmen wir da mal Firefox und vergleichen den mit dem IE.

Wichtig ist - egal ob OpenSource oder nicht - das ein Sicherheitsmanagement im Projekt integriert ist und dass eine ordentliche (ab besten externe) QS stattfindet!