Jan_HH

Moin

Vorweg, nein ich bin nicht befallen. Zum Glück hatte ich mich für das Simpleboard entschieden. Positiv auch das ich allein auf einem Server bin und es von dort keine Schwierigkeiten gibt. Also könnte mir diese Geschichte ziehmlich egal sein. Ist sie aber nicht weil es morgen schon wieder etwas anderes geben könnte.

Zur Sache.
Es scheint genügend Menschen auf dieser Welt zu geben die mit ihrer Zeit nichts sinnvolles anfangen können. Da wird auf Teufel komm raus versucht anderen Schaden zu verursachen. Heute ist es WebWorm und morgend schon wieder etwas anderes. Alle paar Wochen eine neue Plage die das Internet überzieht.

Was geht in diesen Köpfen eigentlich vor?
Warscheinlich wird auf diesem Weg ein mangelndes Selbstbewußtsein kompensiert. "Hey schaut her, ich hab etliche Server lahmgelegt!". Was für eine Leistung! Geh lieber an die Wurzel des Problems und kümmer dich um deine Potenzstörungen. Dann bleibt das Internet wenigstens von dir verschont! Wenns im Bett nicht klappt müssen andere drunter leiden oder wie? Ausserdem würde sich deine Freundin (wenn überhaupt vorhanden) auch drüber freuen.

Eine große Leistung stellt es eh nicht mehr da. Schnell im Baukasten einen netten Virus zusammen klicken und auf die Menschheit loslassen. Diese Kreativität treibt mir fast schon die Tränen in die Augen!

Hey, es gibt noch Leute die haben wirklich Mut.
Vor einigen Wochen war ein netter Mensch auf meinem Server. Meine Konfiguration war zu diesem Zeitpunkt eigentlich schon fertig und ich hätte nicht gedacht das es jemand so einfach schaffen würde. So kann man sich halt irren.
Wie gesagt war es also "drin", und das sogar als root. Was aber kaum zu glauben ist. Er hat nichts zerstört und nichts kopiert!? Einziger Hinweis war eine kleine Textdatei. Die wäre mir nicht mal aufgefallen wenn nicht am selben Tag eine Mail gekommen wäre. Darin nur ganz kurz beschrieben wo das Sicherheitsloch war, was man dagegen tun kann, und das kein Schaden bei mir angerichtet wurde.
Zu meiner Überraschung aber mit dem vollen Namen, Adresse und Telefonnummer in besagter Datei. Ich muß sagen das hatte mich wirklich positiv überrascht. Da ging es nicht darum das der eigene Name auf der Startseite steht und alle Welt sieht wie toll man doch ist. Nein, es ging nur darum zu beweisen das mein Server unsicher ist.

Wie man sieht geht es also auch anders.

Gruß Jan

__________________
Frauenprobleme für frustrierte Männer --- Joomla Downloads

Admin

Ich glaube du hast den Wurm nicht richtig verstanden. Dies hat nichts mit Simpleboard, phpBB oder anderen Skripten zu tun. Primär geht es um eine Sicherheitslücke in PHP Version <= 4.3.9. Der eigentliche UrWurm nutzte phpBB um auf die problematischen PHP Befehle zuzugreifen.

Mittlerweile gibt es aber Variationen. Eine davon durchsucht die Webverzeichnisse von Yahoo oder Google und greift alles an, was auf .php endet. Hier hilft nur ein Update auf PHP 4.3.10.

Und selbst dies ist nicht die Lösung. Auf unserem Server laufen ja bereits die aktuellen PHP Version. Dies läßt die Angriffe des Wurmes zwar ins Leere laufen, trotzdem verursachen die distributeten Angriffe eine enorme Auslastung bis hin zum nahezu Stillstand des Servers. Auf Mambers.com griffen zeitweise bis zu 700 Bots gleichzeitig zu. Außerdem verursacht der Angriff natürlich zusätzlichen Traffic (etwa 10-15 GB pro Tag)

Alles in allem haben die knapp 24 Stunden Angriff durch zusätzlichen Traffic und Werbeausfälle allein bei mir einen wirschaftlichen Schaden von etwa 80 Euro verursacht. Meine Zeit und Nerven nicht eingerechnet...

Tja, Ich selbst habe vor 15 Jahren Viren programmiert. Für mich war das damals eine Herausforderung. Ein Programm, das sich selbst reproduzieren kann und das in der Lage ist, seine Struktur zu ändern, um nicht so leicht gefunden zu werden. Für mich war das wie eine Art Lebewesen im Computer zu erschaffen. Auf echte Schadensfunktionen habe ich dabei immer verzichtet.

Also rein von der Motivation kann ich die Kiddies verstehen. Und über die Folgen haben wir uns damals auch keine Gedanken gemacht. Nur ist die Dimension heute eine ganz andere. Während man früher einige dutzend Rechner infizierte, so infiziert man heute einige Millionen Rechner. Und wenn dann noch eine Schadensfunktion enthalten ist...

__________________
Regards,
Arthur Konze
Webmaster @ Mamboportal.com - Mambers.com

free28de

Hi,

gibt es eigentlich irgendwo Infos dazu, als was sich diese Bots ausgeben?

Wir hatten zum Beispiel auf der mug-berlin.de - Site vorgestern Nacht plötzlich das ~10 fache des normalerweise Üblichen an gleichzeitig anwesenden Gästen.

Zuerst dachte ich: wow, man merkt das Feiertag ist und viele frei haben!

Als mir die Sache dann aber doch 'etwas spanisch' vorkam, auch aufgrund der Wurm-Meldungen, sah ich mir zur Sicherheit die Logfiles des Servers durch und fand ´ne Menge an Einträgen, die auf den gleichzeitigen Besuch des Google-, Yahoo- und MSN-Bots schliessen liessen.

Da der Server und die darauf gehosteten Sites trotz PHP 4.3.9 (hab erst vorgestern Nacht auf 4.3.10 geupdatet) problemlos liefen, war die Sache damit für mich erstmal erledigt.

Allerdings frage ich mich nun, ob die in den Logfiles verewigten Bots nun wirklich die von Google & Co waren oder ob dahinter der Wurm steckt?

Was stand denn bei Dir in den Logfiles, Arthur - hast Du da irgendwelche Infos?


Gruss,


Darko / free28de


// Edit: nach einer ausführlichen Analyse der Logfiles hatte ich wohl wirklich die Bots von Google, Yahoo und MSN - und nicht den Wurm - zu Gast.

__________________
EstateAgent

lukewill

Was mich an dieser ganzen Sache so stört ist, dass ich dadurch, dass irgend welche Freizeit-Hacker durch die Gegend schwirren meine Zeit verschwenden muss. Ich könnte viele sinnvolle Sachen erledigen, nein ich muss regelmäßig nach meinem Server schauen, immer alle Patches einspielen, u.U. die Kiste rebooten (am besten natürlich Nachts um 3, damit es keinen stört) usw.

Mich würde mal interessieren wie diese Leute zu Ihren eigenen Taten stehen, wenn man Sie mal ein paar Tage in einem Rechenzentrum eingesperrt hat und die dann -produktive- Server betreuen müssen.

__________________
- Viele Grüße - Best regards - Lukewill

Mambo e.V. |Das Mambobuch

Jan_HH

Nabend

Also ich hab meinen Server, und damit auch meine drei Seiten, vom Netz genommen. Hab zwar das Update auf 4.2.10 gemacht und im Moment nur 50MB mehr Traffik als sonst... aber den Stress tue ich mir bis morgen nicht mehr an.

Achja. den Link in meiner Signatur hab ich auch fürs erste entfernt... sonst kommt noch wer auf Ideen. *örx*

Wünsche euch allen noch eine ruhige Nacht und viel Spaß (oder bei Lukewill viel Erfolg).

Gruß
Jan

-peter-

Ich denke das dies ehre Leute aus Russland und der Region sind oder aber Kinder in einem alter in dem sie sich profilieren müssen, sich gegenüber anderen beweisen müssen sollen oder was auch immer.

Was steht in Zukunft auf dem Programm Firewall für Scripte?

__________________

free28de

Hi Jan,

Jan, glaubst Du, das sich das Problem morgen erledigt hat und dann nie mehr Würmer, Viren oder Scriptkiddies auftauchen werden?! Wäre ja echt klasse, allein - es mangelt mir am Glauben daran...

Schau´ Dich mal auf www.rootforum.de um, dort findest Du als Serverbetreiber genügend Lesestoff und Hilfen, wie Du Deinen Server absichern kannst ohne ihn jedesmal vom Netz zu nehmen, wenn eine potentielle Gefahr auftaucht. Denn das kann ja nicht Ziel und Sinn eines WWW-Servers sein.

Du findest dort übrigens auch ´ne Menge Posts zum aktuellen Problem.

Grüsse...

__________________
EstateAgent

bb|!2b

Der Reihe nach...

Was ist daran neu ? Das Internat war mal ein netter Raum (eingedeutscht), jetzt spiegelt es unsere Gesellschaft wieder.
Ich will diese Menschen nicht in Schutz nehmen, aber Deine Meinungsbeiträge bezgl. eventueller sexueller Störungen von Anderen, lassen stark auf Deine Eigenen mentalen und sexuellen Stärken rückschliessen

Richtig und viele von diesen werden von Dir in einen Topf geworfen, weil Sie Würmer, Exploits, usw. veröffentlichen, die auf Schwachstellen im Internet ( und das ist mehr als nur Deine mickrigen WEB-Server) hinweisen. Wenn deren Wissen verwendet wird um Deine Server zu knacken, ist das nicht Ihre Schuld.

LL&p
2b

bb|!2b

Das klingt ja so als würdest Du dazu verurteilt sein....

Wenn Du darauf keinen Bock hast, die Metzger (Bäcker oder wer auch immer) Innung hat bestimmt noch einen Ausbildungsplatz frei...

LL&p
2b

bb|!2b

Hokahey,

nach Deiner Sprache zu urteilen gehörst Du zu dem Kundenkreis.

Sachlich betrachtet hat Dein Posting einen geistigen Nährwert von 0,5 - auf der nach oben offenen Skala - .

Aber was rede ich, der Taube versteht das feinste Wort nicht.

!LL&P
2b