18th Apr, 2008

Freitag. Mal wieder.

Die letzten Tage hatte ich ordentlich zu tun und nicht allzuviel Zeit für den . Scheinbar wurde der Server von einem unserer Serverkunden kompromitiert, was wir aber relativ schnell beheben konnten. Aufgefallen ist der Spass an etwas erhöhten Traffic Verbrauch, statt ~115 GB ende des Monats, ~310 GB mitte des Monats, innerhalb von einer Woche. Richtig aufgefallen ist es aufgrund der Tatsache, dass das System im Rechenzentrum eine DoS erkannt hat und die Haupt IP des Servers in ein schwarzes Loch (blackhole klingt doof, oder? *g*) verschoben hat, wodurch diese nichtmehr erreichbar war. Eigentlich ist das ein Schutz vor zuviel eingehenden Traffic, für Kunden die dann den Traffic nicht zahlen können. Seitens des Rechenzentrums wird allerdings nicht protokolliert von wem der Traffic kommt, weil davon pro Woche ca 50 reinkommen, man meist eh nur was tun kann, wenn sich der Angreifer in der EU befindet und der Aufwand einfach zu gross ist. Wir gingen also von einer Denial-of-Service-Attack aus. Nach Prüfung aller Daten - “incoming Traffic: 6 GB, outgoing Traffic: 310 GB” wurde man dann doch etwas stutzig und fing an den Übeltäter zu suchen… ;-)

Anyway. Alles deutete daraufhin, dass es sich um ein Scriptkiddie gehandelt hat, welches mithilfe einer Bruteforce Attacke ein einfach zu einfaches Passwort, geknackt hatte. Ausser normale Software zu installieren, war demjenigen nicht viel möglich - So hat sich dieser in einem IRC Netz gefunden, wir tippen auf Botnetz / xdcc oder solchen Krams, würde auch den Traffic erklären. Account dicht gemacht, weitere Sicherheitsvorkehrungen getroffen, sämtliche installierte Pakete geprüft, auf root-kits geprüft - Alles Sauber.

Nebst obigem Fall, arbeiten wir noch immer an einem CMS, welches sich hoffentlich übers Wochenende fertigstellen lässt. Jedenfalls sind wir mittlerweile endlich bei den Korrekturläufen angelangt, und so wie es aussieht ist bald wieder Platz für neue Projekte.

In meiner Freizeit habe ich dann hier im Bereich “-” noch ein paar die ich mir angeschaut habe, hinzugefügt, reinschauen lohnt sich also. Achso - Und ich hab vorhin eine “Random Screenshot” Sektion mittels PHP in’s Theme eingebaut. Eigentlich relativ simpler Code - Geht sicherlich auch schöner, aber mir reicht das so.

Posted by: jean

Categories:
Allgemeines

Leave a response






Your response:

Please copy the string Q75R6O to the field below:

Categories