techblaster
New Member
Hallo ihr lieben,
vor wenigen Monaten habe ich auf einem ESXi Server mehrere Debain-Squeeze Systeme aufgesetzt und ISPconfig gemäss bestehender Anleitungen eingebettet.
Die Systeme habe ich durch den Einsatz von bspw. Portknocking und fail2ban sowie wesentlichen Anpassungen in der iptables weiter ausgehärtet.
Bis zuletzt lief alles fehlerfrei und zur vollsten Zufriedenheit. Heute Morgen wurde ich durch einen Kunden darauf hingewiesen, daß sein Antivirus-Scanner beim Besuch seiner eigenen Homepage (durch uns gehostet) immer wieder anschlagen würde. Dies habe ich sofort geprüft und mit Schrecken festgestellt dass der gesamte Webhostingbereich verseucht ist. Weitere Recherchen ergaben, daß diese Malware bei Clamav noch gar nicht bekannt ist und bei Avira erst seit 03.06. auf dem Index steht.
Weitere Recherchen zeigen mir im pureFTPd plötzlich IP Adressen von USA, Russland und was weiss ich von wo sonst noch, die sich mit den verschiedenen Benutzerkonten authentifizieren und die schadhaften Daten hochladen bzw. manipulieren. Den Dienst habe ich nun zunächst vorsorglich gestoppt. Eine Datensicherung habe ich vom Webhostingbereich glücklicherweise auch. Doch, bevor ich das wieder einpflege würde ich natürlich schon gerne das eigentliche Sicherheitsleck stopfen wollen, damit sich das nicht wiederholt. Daher meine Frage, wo kann ich da am besten noch ansetzen? Gibt es Sicherheitslücken die das u.U. verursachen und dem Angreifer über Backdoors und Injections freien Weg bereiten?
Gern gebe ich Euch auf Anfrage genauere Infos und Auszüge aus den Konfigurationen.
Ich bin für jeden Ratschlag oder Gedanken dankbar
Gruß,
techblaster
vor wenigen Monaten habe ich auf einem ESXi Server mehrere Debain-Squeeze Systeme aufgesetzt und ISPconfig gemäss bestehender Anleitungen eingebettet.
Die Systeme habe ich durch den Einsatz von bspw. Portknocking und fail2ban sowie wesentlichen Anpassungen in der iptables weiter ausgehärtet.
Bis zuletzt lief alles fehlerfrei und zur vollsten Zufriedenheit. Heute Morgen wurde ich durch einen Kunden darauf hingewiesen, daß sein Antivirus-Scanner beim Besuch seiner eigenen Homepage (durch uns gehostet) immer wieder anschlagen würde. Dies habe ich sofort geprüft und mit Schrecken festgestellt dass der gesamte Webhostingbereich verseucht ist. Weitere Recherchen ergaben, daß diese Malware bei Clamav noch gar nicht bekannt ist und bei Avira erst seit 03.06. auf dem Index steht.
Weitere Recherchen zeigen mir im pureFTPd plötzlich IP Adressen von USA, Russland und was weiss ich von wo sonst noch, die sich mit den verschiedenen Benutzerkonten authentifizieren und die schadhaften Daten hochladen bzw. manipulieren. Den Dienst habe ich nun zunächst vorsorglich gestoppt. Eine Datensicherung habe ich vom Webhostingbereich glücklicherweise auch. Doch, bevor ich das wieder einpflege würde ich natürlich schon gerne das eigentliche Sicherheitsleck stopfen wollen, damit sich das nicht wiederholt. Daher meine Frage, wo kann ich da am besten noch ansetzen? Gibt es Sicherheitslücken die das u.U. verursachen und dem Angreifer über Backdoors und Injections freien Weg bereiten?
Gern gebe ich Euch auf Anfrage genauere Infos und Auszüge aus den Konfigurationen.
Ich bin für jeden Ratschlag oder Gedanken dankbar
Gruß,
techblaster