Moin
Vorab, wer seine Server nicht bei MyLoc hat, ist meines Wissens nach nicht betroffen !
Folgendes...
Durch einen Zufall bin ich auf eine Sicherheitslücke im Debian Image von MyLoc gestoßen.
Der Fehler tritt nicht bei Images die über Debian.org gezogen worden sind auf. (Von anderen Hostern habe ich keine Infos.)
Das Image, welches nach meinem Erkenntnisstand nur über einen Netzwerkboot abgreifbar ist enthält eine Massive Sicherheitslücke.
Mit dieser Lücke ist es möglich, den Server, ohne Root Zugriff vollkommen zu steuern.
Mir ist keine Möglichkeit bekannt die Lücke zu fixxen.
Das ganze äußert sich so.
2 V-Server von mir, die auf meinem per V-Sphere virtualisierten Root laufen, wurden ins selbe Netz gehangen. (5.199.135.XXX.) und dann gleich konfiguriert. Sprich Apache, Teamspeak, MySQL, PMA, Screen & natürlich SSH. Beide hatten unterschiedliche Passwörter (Stärke von 8 Zeichen) und hatten ansonsten keine anderen Nutzer.
Einige Zeit später wird mir vom Webtropia Intrusion Detection System gemeldet, das mein V-Server der mit dem von Webtropia modifizierten Image bespielt worden ist, eine ausgehende DoS Attacke auf einen anderen Webserver starten würde. Hingegen der V-Server der mit dem ""originalen"" Debian Image bespielt worden ist hat in diesem Sinne nichts zu vermelden.
Das ganze Testsystem ist natürlich nicht einfach so aufgebaut worden, sondern da 2 mal ! (man muss hierzu sagen, das der Server nach dem ersten mal neu aufgespielt worden war ...) ein V-Server eine DoS Attacke startet, obwohl er soweit abgesichert war, und niemand unbefugtes Zugriff hatte. (@John_Trust:) Daher habe ich das ganze so aufgebaut, und siehe da ... Ihr wisst was ich meine.
Nunja, wie dem auch sei. Ich bitte hiermit alle Personen die ihren Rootserver bei MyLoc haben und ihn als Hostmaschine nutzen, ihre V-Server zu überprüfen ob die Images aus dem Netzwerk von Webtropia stammen. (Hier mal ein kleines Bild.)
Also tut mir den Gefallen (zu eurem Selbstschutz... So ein DDoS kann Böse für euch enden) und bespielt im Notfall lieber den (oder die) Server neu.
Warum ihr das tun solltet ?
Ganz einfach, jemand hat anscheinend Kenntnis über die Lücke unter steuert damit schön entspannt die Server fern. Und vermietet dann die Leistung.
Und da die SAMP Szene sowas immer wieder nötig hat ... Nunja, weniger angreifbare Server, weniger DDoS. Ihr versteht das Prinzip.
Außerdem, so ein DDoS kann für euch Böse enden. Nicht nur das ich bei MyLoc rausfliegt, ihr könnt auch angezeigt werden. Schliesslich zeigt die IP ja direkt auf eurern Server, und der wiederrum ist mit euren Daten gemietet (oder gekauft, je nach dem)
Grüsse
((Edit, über die Anfälligkeit von 32 Bit Systemen habe ich keine Infos. Ich für meinen Teil habe keine Lust nochmal die Zielscheibe zu spielen.))
