Druckversion des Themas

Geschrieben von: Auge 18.08.2008 - 14:05

Hallo

Da es hier ja mehrere Benutzer gibt, die ihre Seiten bei Candan hosten, und, wie ich im Canhost "Support"-Forum lesen konnte, auch von den dortigen Problemen betroffen sind, wollte ich mal fragen, wie sich ihnen die notwendigen Konsequenzen darstellen. Ich würde die Frage zwar gerne im entsprechenden Forum stellen, aber ich kann mich dort nicht registrieren. Wahrscheinlich will man von Seiten Canhosts die Front der Beschwerdeführer nicht noch verbreitern.

Es kommt -nach der Lektüre im Canhost-Supportforum- augenscheinlich fast täglich zu erneuten Angriffen und das Reagieren darauf ist für die Kunden fast schon unmöglich. Bei Candan, so scheint es mir, wird auch nur im dunkeln Herumgestochert. Das Neuaufsetzen der Server bzw. das Einspielen von Backups sowie die Vergabe neuer Passwörter hilft offensichtlich kein bisschen.

Das Schlimmste für mich als Kunden der Sparte Canexpert ist, dass ich erstmals Mitte letzter Woche (man schaue auf das Datum dieses Postings) aus Anlass der automatischen Vergabe neuer Passworte offiziell von den Angriffen informiert wurde. Die Kunden der Sparte Canhost führen ja schon seit Wochen "Selbstgespräche" mit dem Support.

Wie sehen Eure Kosequenzen aus?

Tschö, Auge

Geschrieben von: Andreas 18.08.2008 - 15:07

Hi,

ich weiß noch nicht, was ich mache. Allerdings bin ich ein sehr "markentreuer" Kunde. Wenn ich lange zufrieden bin, dann tendiere ich zum Verzeihen mancher Fehler. Was sich Canhost da in den letzten Wochen leistet, geht aber fast auf keine Kuhhaut. Ich kann da wirklich nur Frechheit zu sagen. Auf meine Supportanfrage(n) habe ich bisher auch keine zufriedenstellenden Antworten bekommen. Sehr ärgerlich.

Gruß

Andreas - noch ratlos

Geschrieben von: Auge 18.08.2008 - 15:57

Hallo

Da gehts mir grundsätzlich nicht anders. Ich bin ja auch schon vier oder fünf Jahre bei dem Verein. Und dies mit -über lange Zeit- guten Erfahrungen. Wenn ich aber am 10.08.2008 feststellen darf, dass sämtliche index.*-Dateien in sämtlichen Verzeichnissen meiner Domain am 03.08.2008 (höchstwahrscheinlich von Canexpert) auf Dateigröße 0 gesetzt wurden (ich schau da ja nicht all paar Tage nach), darüber aber in keinster Weise informiert werde, dann komme ich mir verarscht vor. Wer weiß, was dem vorausgegangen ist.

Hinzu kommt, dass man über die Jahre verschiedenen Bekannten und auch Kunden Canhost empfohlen hat und jetzt wie ein Depp ohne jegliche Information dasteht. Glücklicherweise habe ich jemanden dabei, den ich gelegentlich privat treffe, so dass ich zumindest eine Vorwarnung erhielt.


Qhaut, nicht Kuhhaut!


Geht mir leider nicht anders. Ich habe auf die Email mit dem neuen Passwort geantwortet (letzten Fr.), da es sich wegen der zeitlichen Nähe anbot und in meinem Errorlog eine Fehlermeldung auftauchte, dass ein Zend-Modul nicht gefunden werden konnte. Dies findet sich seit Mitte Juli andauernd im Log, so dass ich vermutete, es könnte mit den Angriffen zu tun haben. In der Mail sprach ich auch die "Informationspolitik" an. In der Antwort (heute (Mo.)) wird mir nur mitgeteilt, dass der von mir gemeldete Fehler nichts mit den Angriffen zu tun hat. Kein Wort zu meiner Anmerkung über die fehlenden Informationen.

Tschö, Auge


dito ...

Geschrieben von: Conny 18.08.2008 - 16:35

Moin,
nun, zunächst werde auch ich mal abwarten.
Sicher ist es ärgerlich wenn Dateien auf 0 gesetzt werden oder aus Backups restauriert um dann nicht mehr aktuell zu sein.
Ich kontrolliere aber täglich meine Seiten, folglich bekomme ich es relativ schnell mit wenn mal wieder was passiert ist.
Dann lade ich neu hoch und gut ist.
Ich glaube Canhost ist zu schnell zu groß geworden, da sind einige Sachen über den Kopf gewachsen.

Gelassen bleiben meine Herren

cu
Conny

Geschrieben von: harlequin 19.08.2008 - 8:44

moin!

Also aus meiner persönlichen Erfahrung kann ich sagen, dass wir mit Systemen, auf denen Kunden ihre Daten (egal ob Mails oder anderer Content wie Webpräsenzen) liegen haben sehr vorsichtig umgehen.
Bei Migrationen, Wartungen oder ähnlichem haben wir mindestens einen Plan ''B', vorzugsweise auch noch ein 'C' und 'D' dazu. Manche Dinge überlegen wir uns lieber dreimal, wie zum Beispiel die Einführung einer Software wie Confixx oder ähnlichem.
Denn aufgrund eigener Fahrlässigkeit verärgerte Kunden sind zurecht unangenehm und ich persönlich mag lieber zufriedene Kunden am Telefon.

Aber wenn man über einen langen Zeitraum gute Erfahrungen gemacht wird es natürlich schwerer sich zu notwendigen Entscheidungen durchzuringen. Ich meine, wenn ein Provider zu schnell wächst, ggf. noch fähige und verantwortungsbewusste Mitarbeiter den Betrieb verlassen dann bleibt oft nur eine Profitmaschine über, die wenig mit der Firma zu tun hat, die man über die Jahre kennengelernt hat... :|

Ich drücke euch auf jeden Fall die Daumen!

Geschrieben von: Andreas 19.08.2008 - 9:34

Ich habe heute morgen auf ein Ticket von vor 2 Tagen eine Antwort bekommen, die wieder nur die Standardfloskeln enthielt. Keine Details zum Hack, die für mich aber essentiell wären, um die Situation zu beurteilen. Ich habe daraufhin noch einmal verdeutlicht, was ich wissen möchte und hoffe auf eine vernünftige Antwort.

Von dieser Antwort werde ich mein weiteres Vorgehen abhängig machen.

So ein Umzug ist nur leider auch mit ziemlich viel Arbeit verbunden. Und nicht zuletzt ist es auch eine kostenfrage. Durch die vielen tarifupgrades in der Vergangenheit, habe ich einen ziemlich preisgünstigen Account (denke ich).

Ich brauche 30 Gig Traffic, 1,5 Gig Speicher, 15 Domains, ein paar Mailadressen (keine Ahnung ... 50?), Datenbanken nutze ich derzeit noch nicht habe aber 2 zur Verfügung. Subdomains solten frei einrichtbar sein, Perl und PHP muß sein, .htaccess selbst einstellbar ... ach, ich habe mir gar nicht alles angeguckt was ich brauche. Mir graust vor sowas

Früher war ich mit http.net / Knallhart sehr zufrieden und die haben ihr Angebot auch ziemlich aufgestockt.

Gruß

Andreas

Geschrieben von: db 19.08.2008 - 17:37

Ein Scherz, oder?

Hätten die auch nur den geringsten Denkansatz wie der Hack läuft, wären sie auch in der Lage ihn abzustellen. Die wissen aber offensichtlich nichts und haben Fremdhilfe geordert. Paranoia macht sich breit, wie man lesen kann vermutet das Unternehmen einen "Vernichtungskampf" gegen sich.

Domainwechsel sind immer problembehaftet! KK wird verzögert, angeblich sind noch Rechnungen offen usw.. Solch einen Schritt würde ich mir dreimal überlegen.

Es sollte nicht schwer sein sich schnell ein Serverwatch mit php zu programmieren. Ansonsten könnte man auch per ftp-client prüfen. Alternativ kann man Fremdsoftware nutzen.

http://www.aignes.com/de/index.htm

Geschrieben von: db 19.08.2008 - 17:55

http://www.serverwatch24.com/de/index.php?channel=produkte&page=produkt_free.php

Geschrieben von: harlequin 20.08.2008 - 9:57

moin!

Ich verstehe es nicht ganz... Wenn es sich ausschließlich um Webserver handelt sind die Angriffszenarios überschaubar. Es gibt immer ein paar Ansatzpunkte, die man abhaken kann um was auszuschließen - und das binnen weniger Minuten bis Stunden.
Unsichere Software, wie in der Vergangenheit phpbb, php-nuke, etc. die es ermöglicht externen Code zu inkluden. Selbst wenn man dort nicht die Möglichkeit hat alles zu durchsuchen so kann man PHP recht fix 'unangenehmer' gestalten, safe-mode, open-basedir, register globals, etc.
Auch das Blocken ganzer Netze, die verdächtig sind ist eine temporäre Option.
Als Provider sollte man auch wissen welche Software auf nem Server läuft, Apache, PHP, FTP - da schaut man mal in Changelog der aktuellen Versionen (denn meist wird nicht die aktuellste Version einer Soft eingesetzt, never touch a running und so weiter). Debian z.B. hatte ein Problem mit unsicheren Schlüsseln, davon war unter anderem SSH betroffen. Ein böses Einfallstor, das aktiv genutzt wurde und wird.
Cisco hatte/hat auch hin und wieder Probleme mit dem IOS auf ihren Switchen, auch da könnte man prüfen.
Und selbst wenn alles schon zu spät ist und man als eigentlicher Admin nur noch Zuschauer ist, sind Server recht fix aufgesetzt. Virtualisierte Maschinen lassen sich wirklich fix klonen. Ja, der letzte Schritt tut weh, je nach System sogar ernsthaft. Und ja, man muss den Gang nach Canossa trotzdem gehen, den Kunden die Wahrheit verkaufen und darauf hoffen damit den Schaden zu begrenzen.

Dieter hat aber auch recht, ein Domainwechsel kann wirklich unbequem sein, bei mehreren Domains multipliziert sich das auch gerne. Da fehlen auf einmal Auth Codes für .com Domains, oder der Provider spielt auf Zeit. Letztlich einbehalten kann er die Domains allerdings nicht, egal ob noch Rechnungen offen sind oder nicht.
Aber eine Verzögerung von mehreren Wochen sind keine Seltenheit, gerade bei Providern denen die Felle davon schwimmen. Oder bei Domains die bei der Telekom liegen - die brauchen einfach länger als andere....

Ich wüsste nicht, was ich täte - ich kann zur Not meinen Provider auch physisch gängeln (was je nach Situation eine Selbstgeisselung wäre... ).
Darauf achten, dass die selbst eingesetzte Software halbwegs sicher ist hilft auch nur bedingt. Wenn das System irgendwo kompromittierbar ist und user, bzw. root Rechte erschlichen werden können fällt man wieder unters Gutdünken des/der Angreifer.

Unbefriedigend, das Ganze...
Lars

Geschrieben von: Andreas 27.08.2008 - 14:26

Das Problem scheint ja gelöst. Zumindest tritt das Problem offensichtlich nicht mehr auf und Candan hat mir das in einer Mail auch so bestätigt.

Es wurden - so verstehe ich das - eben auch nicht die Webserver gehackt, sondern auf Routern der Traffic mitgeschnitten. So kommt man natürlich einfacher an Passwörter. Und m.E. wurden dann mit einigen (einem?) Passwort dann der ganze Server gekapert. Anders kann ich mir die großflächigen Attacken nicht erklären. Genaues dazu habe ich aber nicht erfahren.

Ich bleibe erstmal bei Canhost. Im Wesentlichen haben die ja ihre Arbeit gemacht - wenn auch ganz mies kommuniziert. Und abseits dieses Intermezzos ist Canhost zuverlässig und schnell.

Gruß

Andreas

Geschrieben von: Conny 28.08.2008 - 8:53

Moin,
ja, ich sehe das ähnlich wie Andreas,
das Abwarten hat sich wohl doch gelohnt, ich hoffe ab jetzt ist Ruhe.

cu
Conny

Geschrieben von: Andreas 31.08.2008 - 18:32

Es kotzt mich ehrlich gesagt an! Jetzt hat dieser Provider schon wieder die Passwörter geändert. Was ist das nur für ein dilletantischer Haufen. Da lobt man kurz und freut sich, dass die Fehler behoben sind und wird in der Mail auch noch frech angelogen.

Von wegen "sicheres FTP-Passwort" und FTP-Hacks. Ich habe eine Mail vom Support in welcher mir bestätigt wird, dass die FTP-Passwörter noch so narrensicher sein können, bei den aktuellen Hacks wäre das irrelevant.

Ich mache mich jetzt mal so langsam auf die Suche.

Angefressene Grüße

Andreas

Geschrieben von: Conny 01.09.2008 - 6:59

Moin,
ja, wohl zu früh gefreut.
War auch ziemlich genervt, als ich die Mail bekam und jetzt noch mal alles umstellen kann.

cu
Conny

Geschrieben von: Andreas 01.09.2008 - 14:55

Habe gerade den Support angerufen und nach einem freundlichen Gespräch den Grund für die neuerliche Passwortänderung erfahren.

Es war diesmal also kein Hacking, sondern ein Versehen beim letzten Zurücksetzen. Für Fehler habe ich Verständnis, ich mache auch welche.

Unglücklich war in diesem Fall auf jeden Fall die Infomail. Hätte man den Sachverhalt deutlich dargestellt, hätte ich mich zwar auch geärgert, aber ich hätte mir keine Sorgen über ein erneutes Hacking gemacht - und kein Supportticket geschrieben.

*seufz* Ich werde also bei Canhost bleiben, das Telefonat war in Ordnung, Hackings sind seit 2 1/2 Wochen nicht mehr aufgetreten und die Server laufen meistens zufriedenstellend (bis auf Can12 mal wieder, da ist man aktuell dran).

Hoffen wir, dass Candan etwas an der Kommunikationspolitik feilt.

Gruß

Andreas

Geschrieben von: Auge 01.09.2008 - 15:34

Hallo

Das Drama setzte sich ja, laut den Postings im Candan-"Support"-Forum, schon gestern fort. Da gucke ich, seitdem die Angriffe für mich ruchbar wurden, alle paar Tage rein. Komischerweise ist bei mir noch keine Nachricht über ein neues Passwort eingetroffen. Wahrscheinlich sind wieder nur einzelne Server betroffen, heute dieser, morgen jener ... >:-{{

Alle relevanten Domains aufgerufen: noch funktionieren die Server (can15 und can158).

Vor einem Wechsel der diversen Domains habe ich ein bisschen Bammel. Einerseits sind das nicht nur meine, andererseits teile ich die hier geäußerten Befürchtungen hinsichtlich des damit verbundenen Heckmecks. Verschlampter KK-Antrag mit damit verbundener Kündigung und Verlust der Domain an einen Grabber in den USA (obwohl diese nur umgezogen werden sollte), Dauer des Umzugs von -hier auch kolportierten- mehreren Wochen, ein Hoster, der sich wegen Angriffen nicht meldet, wobei sich herausstellt, dass der technische Support und die Pflege der Systeme von einem Schüler erledigt wurden, der nun nicht mehr zur Verfügung steht, und der auf KK-Anträge nicht reagiert, alles schon erlebt.

Klappt der Umzug nicht reibungslos und dauert ein paar Tage länger, kann ich das noch verschmerzen. Meinen Kunden kann ich das aber nicht anbieten.

Tschö, Auge