RootForum Community

Moin.

Ich wollte nur mal kurz anmerken, das ein bekannter Rootserver Discounter (keiner der großen 3) momentan Rootserver mit Debian-Images ausliefert, in denen anscheinend ein Sicherheitsleck direkt von Bots ausgenutzt wird.

Habe gestern die Zugangsdaten bekommen und nach ~1 Stunde bemerkt, das diverse Ports dicht waren, obwohl nix lief (vorinstalliertes LAMPP schon runtergehauen). Netstat ergab dann, das da ein Bot aktiv ist und ich schaue nun, wie ich den runterbekomme ;) (besser gesagt, jemand der zusätzlich noch andere Dinge tun kann)

Kernelversion geb ich heute abend mal bekannt, bin grad im Büro (Debian 3.1 64bit). Der Support hat übrigens bis gerade eben NOCH nicht reagiert. Ich nehme mal an, das deren Images komplett und durchweg anfällig sind, weil veraltet.

Also Leute, bei neuen Roots aufgepaßt.

PS: darf ich den Anbieter nennen? Fängt mit X an ;)

um welches sicherheitsleck handelt es sich denn?

Das ist leider ein Grundproblem vorgefertigter Images - die wenigsten Provider aktualisieren einmal erstellte Images mit den neuesten Security Fixes (auch wenn es welche gibt, die das vorbildlicherweise tun). Arg wird's natürlich, wenn eine Lücke gefunden und dann systematisch ausgenutzt wird - da sollte der ISP schon schleunigst reagieren...

Wirklich Abhilfe schafft unter'm Strich nur eines: Installier Dir Dein eigenes System aus dem Rescue heraus, dann weißt Du, was drauf ist, hast volle Kontrolle über Partitionierung etc. - und lernst nebenher noch die Macken und Kanten einer Headless-Installation kennen

Das wird sich hoffentlich noch klären, hab von meinem Admin noch nicht gehört, außer das es ein Bot ist, der draufhockt. Muß ja ein bekanntes Leck sein, das in dem verwendeten Image "drin" ist/war. Daten poste ich heute abend und mehr, wenn ich Bescheid bekomme.

EDIT:

jfreund wrote:Wirklich Abhilfe schafft unter'm Strich nur eines: Installier Dir Dein eigenes System aus dem Rescue heraus, dann weißt Du, was drauf ist, hast volle Kontrolle über Partitionierung etc. - und lernst nebenher noch die Macken und Kanten einer Headless-Installation kennen

Klar ;) Nur bekommt man das Teil mit dem Image "geliefert" und ein Rescue kann ich erst starten, wenn ich mit der ersten Rechnung die Kundennummer bekomme (bis jetzt nicht erhalten). So lange läuft bei dem Provider die Kiste eben mit Bot. Er weiß Bescheid, reagiert hat er noch nicht...

Ich nehme an du meinst die Jungs, die in Düren beheimatet sind?

Sir Tom wrote: Ich wollte nur mal kurz anmerken, das ein bekannter Rootserver Discounter (keiner der großen 3) momentan Rootserver mit Debian-Images ausliefert, in denen anscheinend ein Sicherheitsleck direkt von Bots ausgenutzt wird.

[...]

PS: darf ich den Anbieter nennen? Fängt mit X an ;)

Den Anbieter nennen ohne ihm vorher ausreichend Gelegenheit geben sich zu äußern / den Bug zu fixen ist destruktiv :?

mfg
cane