Dorenas World Gridstatus

[ICE BIRDY]

Sind in Gedanken dabei !!!!
Viel Kraft senden wir euch und sagen durchhalten!!!
Aufgeben darf da keine Option sein, lieber den gedanklichen Mittelfinger zeigen!

Jason bricht denHackern gerade beide Arme und beide Beine und ich sende ihnen einen
Virus, der ihre Rechner abrauchen läßt.
Ok , Ok , der letzte Satz war fieses Wunschdenken.
Aber, Gutes wünschen wir diesen Abzockern nicht!

[Pharcide]

Hallo ihrs

Mist, da hat Dorena auch nie Ruhe, und sowas hatte ich schon in der alten Firma.
Grund waren Mails, die geöffnet und Ransomware verbreitet haben, aber das scheint ja hoffentlich nicht der Grund zu sei auf dem Server von Dorena.

das CMS Joomla kenne ich nicht, aber auch dies gilt es zu pflegen und immer die neusten Patches einzuspielen. Die Installationsquelle und die Patch Quelle müssen natürlich vom Hersteller, also sicherer Quelle kommen.

Dann gibt es vielleicht ein FTP Zugang, der ständig läuft. Ein FTP Server ist Standard mässig nicht abgesichert, das bedeutet, wenn man sich anmeldet, wird im Netzwerk das Kennwort im Klartext übertragen und ein böser Mensch kann sich an richtigen Ort einklinken und das abfangen. Und dieser Weg von Dorenas Rechner zum Server kann lang sein. Also da lieber SFTP verwenden, der die Verbindung verschlüsselt.
Zusätzlich kann man auch den FTP/SFTP Dienst bei Nichtgebrauch deaktivieren.

Um sichere Verbindungen zu machen braucht es ein Zertifikat, damit kann man https und sftp fahren. So ein Zertifikat gibt es bei Let's Encrypt auch kostenlos.

Ein anderer Punkt wären die Kennwörter. Besonders die Chinesen hacken monatelang auf unseren Servern rum mit einer Brute Force Methode, wo sie tausende und abertausende von Kennwörtern ausprobieren bis sie drin sind. Meine Kennwörter sind 32 Zeichen lang, und von einem Generator erstellt, diese sind in einem Programm Namens KeePass und ich lass immer dieses Programm das Kennwort eintragen, denn ich kann mir diese nicht merken, insbesondere wenn diese noch Sonderzeichen enthalten.

Da ich aus den vorherigen Postings entnahm das "nur" die Webseite, und keine Datenbanken oder Systemdateien betroffen sind, gehe ich davon aus, das Schlupfloch war in Joomla oder FTP.

Wären die Hacker direkt auf das System gekommen, wären sicherlich noch mehr Dateien verschlüsselt gewesen.

Checkt auf jeden Fall eure Home Rechner und NAS Geräte, ob die Dateien sauber sind.

@Bogus
Da Dorena einen dedizierten richtigen Server betreibt, das Betriebssystem selber installiert und pflegt, ist sie selber für die Sicherheit des Servers verantwortlich, und nicht derjenige der die Kiste zur Verfügung stellt. Dies im Gegensatz zu gemietetem Webspace, da ist der Hoster verantwortlich dass das System sauber gepatcht und ein Backup Konzept gelebt wird.

Wenn ich irgendwie helfen kann, gebt mir Bescheid.

Grüsse, Pharcide

[Sheera Khan]

Huhu Dorena, liebe Gridbewohner,

manchmal kommt es ja wirklich knüppeldick! Wir, die Metro-Admins, drücken euch fest die Pfoten bzw. Daumen, auf dass bald alles wieder rund läuft und ihr endlich wieder ruhigere Zeiten habt - die letzten Monate waren ja wirklich mehr als aufregend^^

Der Arena-Virus lässt sich zwar prinzipiell entfernen und so kann man vermutlich auch fehlende Dateien retten, allerdings wären die Server danach immer noch nicht wirklich vertrauenswürdig und sollten auf jeden Fall neu installiert werden - das ist eine Menge Arbeit und wir beneiden Dorena wirklich nicht um diese Aufgabe. Sollte das Dorena-Asyl dafür wieder benötigt werden heißen wir euch natürlich herzlich willkommen :-)

Alles Gute und vor allem gute Besserung an Dorena - viel Kraft und Durchhaltevermögen hast Du schon gezeigt, und auch diesen A10n wirst Du es zeigen!

Liebe Grüße aus dem Metro-Grid

Sheera

[Anachron]

Da Dorena einen dedizierten richtigen Server betreibt, das Betriebssystem selber installiert und pflegt,...

Falsch, das Betriebssystem wird vom Hoster aufgespielt, geht ja auch garnicht anders, denn auf den "nackten" Rechner kann man ja remote nicht zugreifen.

[Dorena Verne]

Der Arena-Virus lässt sich zwar prinzipiell entfernen und so kann man vermutlich auch fehlende Dateien retten, allerdings wären die Server danach immer noch nicht wirklich vertrauenswürdig und sollten auf jeden Fall neu installiert werden

Oh Gott, sicher?? Komplett neu installieren? Wo lauert die konkrete Gefahr nach entfernen des Virus?
Gibtes da genauere Hinweise?
Mir wird echt übel bei den gedanken.

[Pharcide]

@Anachron
Das kommt auf den Hoster und das System an, ich kann jederzeit den Rechner mit nem ISO Bootmedium starten lassen. Natürlich greife ich dann über eine Konsole von ner Webseite des Hosters auf das System zu, wird wohl eine Art Lilo Board drin haben. Aber das ist wohl überall ein bisschen anders. Und ja, es ist ein dedizierter Server, kein VServer.

@Dorena
Die Gefahr ist einfach zu gross, das der eigentliche Virus, Wurm, Trojaner oder was auch immer, noch in einer anderen Form auf dem System schlummert oder den Server zu einem Bot Rechner gemacht hat, oder sonst noch irgend ein Schabernack treibt.

Vielleicht kannst ja den Arena Virus selbst wegmachen, dann auf jeden Fall mehrere Virenscanner laufenlassen danach. Trendmicro bietet zum Beispiel Housecall an, da kannst Dein Rechner über den Browser scannen, es wird glaub nur ein klitzekleines Tool dafür ausgeführt. Ob andere Hersteller solche Produkte auch haben weiss ich nicht. Jedenfalls wäre es dann doof, sich die wichtigsten Produkte zu installieren.
http://housecall.trendmicro.com/de/index.html

Aber bitte nicht die Nerven verlieren. Falls es wirklich dazu kommen sollte, weisst Du nun wie die grossen Datenbanken einspielen kannst, und das ist glaub ich das wichtigste ?

Alles andere lässt sich irgendwie wieder herstellen
Natürlich ist das mit einem riesen Aufwand verbunden !! Ist uns allen auch klar

Grüsse, Pharcide

[Bogus Curry]

Bei sowas sollte man eigentlich auf nummer sicher gehen und neu installieren, aber nach den ganzen Strapazen mit dem Grid neu (Wiederh)erstellung, da kann ich gut verstehen wenn Dorena erstmal alles andere versucht bis sie alles neu installiert.

@Pharcide: Das der Kunde für den Root Server selbst zuständig ist, das ist mir schon bewusst. Nur normal sollte ein - guter - Hoster den Kunden bei solch einen Fall unterstützen und versuchen das "Loch" zu finden.

[Sheera Khan]

Huhu Dorena,

eine Ransomware, die wichtige Dateien des Servers verschlüsseln kann, hat im Prinzip den gesamten Rechner unter Kontrolle. Welche Hintertüren der Entwickler dieser Shice da eingebaut hat, weiß außer ihm niemand. Und wenn man den Müll ohne zu bezahlen entfernt hat der Entwickler sicher auch keine Skrupel, da noch mal gründlich "nachzuarbeiten" Ich wäre mir nicht mal sicher, ob er Skrupel hätte, wenn man denn bezahlen würde. Daher wird generell empfohlen, einen befallenen Rechner nach der Rettung der wesentlichen Daten komplett neu aufzusetzen. Das Betriebssystem wäre dabei vermutlich das kleinste Problem, da das ja vom Provider eingespielt wird. Die Konfiguration der Maschine und besonders das Einspielen der Datenbank wird dagegen sicher wieder ein längeres und nervenzehrendes Unterfangen werden. Kannst Du vielleicht eine Sicherungskopie der DB auf einem Speicher beim Provider zwischenlagern? Dann sollte der Zugriff zumindest etwas schneller sein, als wenn Du es von zuhause aus hochladen musst.

Ciaoo

Sheera

[Dorena Verne]

gerade muss ich nach einem Suchvorgang mit zu löschenden Elementen den Gridserver neu starten...

[Pharcide]

Im übrigen würde ich sofern nicht noch anders verfügbar auch die verschlüsselten Dateien erstmal sichern. Eventuell erscheint ja auch ein Decrypt-Tool von den IT-Sicherheitsleuten.

Auch ein guter Tip