Suche Candan-Geschädigte und ihre Meinung Einstellungen

[Auge]

Hallo

Da es hier ja mehrere Benutzer gibt, die ihre Seiten bei Candan hosten, und, wie ich im Canhost "Support"-Forum lesen konnte, auch von den dortigen Problemen betroffen sind, wollte ich mal fragen, wie sich ihnen die notwendigen Konsequenzen darstellen. Ich würde die Frage zwar gerne im entsprechenden Forum stellen, aber ich kann mich dort nicht registrieren. Wahrscheinlich will man von Seiten Canhosts die Front der Beschwerdeführer nicht noch verbreitern.

Es kommt -nach der Lektüre im Canhost-Supportforum- augenscheinlich fast täglich zu erneuten Angriffen und das Reagieren darauf ist für die Kunden fast schon unmöglich. Bei Candan, so scheint es mir, wird auch nur im dunkeln Herumgestochert. Das Neuaufsetzen der Server bzw. das Einspielen von Backups sowie die Vergabe neuer Passwörter hilft offensichtlich kein bisschen.

Das Schlimmste für mich als Kunden der Sparte Canexpert ist, dass ich erstmals Mitte letzter Woche (man schaue auf das Datum dieses Postings) aus Anlass der automatischen Vergabe neuer Passworte offiziell von den Angriffen informiert wurde. Die Kunden der Sparte Canhost führen ja schon seit Wochen "Selbstgespräche" mit dem Support.

Wie sehen Eure Kosequenzen aus?

Tschö, Auge

[harlequin]

moin!

Ich verstehe es nicht ganz... Wenn es sich ausschließlich um Webserver handelt sind die Angriffszenarios überschaubar. Es gibt immer ein paar Ansatzpunkte, die man abhaken kann um was auszuschließen - und das binnen weniger Minuten bis Stunden.
Unsichere Software, wie in der Vergangenheit phpbb, php-nuke, etc. die es ermöglicht externen Code zu inkluden. Selbst wenn man dort nicht die Möglichkeit hat alles zu durchsuchen so kann man PHP recht fix 'unangenehmer' gestalten, safe-mode, open-basedir, register globals, etc.
Auch das Blocken ganzer Netze, die verdächtig sind ist eine temporäre Option.
Als Provider sollte man auch wissen welche Software auf nem Server läuft, Apache, PHP, FTP - da schaut man mal in Changelog der aktuellen Versionen (denn meist wird nicht die aktuellste Version einer Soft eingesetzt, never touch a running und so weiter). Debian z.B. hatte ein Problem mit unsicheren Schlüsseln, davon war unter anderem SSH betroffen. Ein böses Einfallstor, das aktiv genutzt wurde und wird.
Cisco hatte/hat auch hin und wieder Probleme mit dem IOS auf ihren Switchen, auch da könnte man prüfen.
Und selbst wenn alles schon zu spät ist und man als eigentlicher Admin nur noch Zuschauer ist, sind Server recht fix aufgesetzt. Virtualisierte Maschinen lassen sich wirklich fix klonen. Ja, der letzte Schritt tut weh, je nach System sogar ernsthaft. Und ja, man muss den Gang nach Canossa trotzdem gehen, den Kunden die Wahrheit verkaufen und darauf hoffen damit den Schaden zu begrenzen.

Dieter hat aber auch recht, ein Domainwechsel kann wirklich unbequem sein, bei mehreren Domains multipliziert sich das auch gerne. Da fehlen auf einmal Auth Codes für .com Domains, oder der Provider spielt auf Zeit. Letztlich einbehalten kann er die Domains allerdings nicht, egal ob noch Rechnungen offen sind oder nicht.
Aber eine Verzögerung von mehreren Wochen sind keine Seltenheit, gerade bei Providern denen die Felle davon schwimmen. Oder bei Domains die bei der Telekom liegen - die brauchen einfach länger als andere....

Ich wüsste nicht, was ich täte - ich kann zur Not meinen Provider auch physisch gängeln (was je nach Situation eine Selbstgeisselung wäre... ).
Darauf achten, dass die selbst eingesetzte Software halbwegs sicher ist hilft auch nur bedingt. Wenn das System irgendwo kompromittierbar ist und user, bzw. root Rechte erschlichen werden können fällt man wieder unters Gutdünken des/der Angreifer.

Unbefriedigend, das Ganze...
Lars

[Andreas]

Das Problem scheint ja gelöst. Zumindest tritt das Problem offensichtlich nicht mehr auf und Candan hat mir das in einer Mail auch so bestätigt.

Es wurden - so verstehe ich das - eben auch nicht die Webserver gehackt, sondern auf Routern der Traffic mitgeschnitten. So kommt man natürlich einfacher an Passwörter. Und m.E. wurden dann mit einigen (einem?) Passwort dann der ganze Server gekapert. Anders kann ich mir die großflächigen Attacken nicht erklären. Genaues dazu habe ich aber nicht erfahren.

Ich bleibe erstmal bei Canhost. Im Wesentlichen haben die ja ihre Arbeit gemacht - wenn auch ganz mies kommuniziert. Und abseits dieses Intermezzos ist Canhost zuverlässig und schnell.

Gruß

Andreas