[MCHosting] Stellungnahme zum Ausfall des Servers MC5 am Freitag, 3. September 2010

Informationsnewsletter an alle Hosting-Kunden von Methfessel Computers mchosting at mail.mchosting.eu
Sa Sep 4 14:30:41 CEST 2010 

  Sehr geehrte Damen und Herren,

am Freitag, 3. September 2010 kam es gegen 14:30 zu einem erfolgreichen 
Hackangriff auf unseren Server MC5.methfessel-computers.de

1) Ursache des Ausfalls & Maßnahmen
Die genaue Ursache liegt uns zwischenzeitlich vor und entsprechende 
Gegenmaßnahmen wurden eingeleitet. Durch den Angriff kam es dazu, dass 
Ihre Webseiten auf unseren Server MC5 (Benutzer webeXX) temporär nicht 
verfügbar waren.
Nach einer kurze Analyse des Systems zeigte sich sehr schnell, dass die 
Wiederherstellung des Systems langwierig und nicht 100% sicher wäre. 
Daher haben wir umgehend mit der Neuinstallation des Servers auf zwei 
neuen Platten begonnen. (gegen 16:15 Uhr)

Um 17:20 Uhr war das neue Basissystem vollständig installiert und das 
aktuelle Backup von 8 Uhr (Fr. 3. September 2010) wurde auf den neuen 
Server übertragen.
Aufgrund der großen Datenmenge hat sich dieser Vorgang bis ca. 20:30 
erstreckt.
Um 21:30 Uhr war dieses vollständig eingespielt und die Webseiten waren 
wieder in vollen Umfang erreichbar.

Bei der Analyse des Angriffs konnten wir ermitteln, dass die Inhalte der 
Webseiten sowie viele Config-Dateien des Systems durch ein automatisches 
Script ersetzt wurden. Dieses Script liegt uns vor. Nach aktuellem 
Kenntnisstand wurde keine Inhalte / Seiten / Dateien etc. im Detail 
betrachtet oder auf andere Systeme übertragen.


Die alten Systemfestplatten werden zur Beweissicherung aufgehoben und 
ausführlich untersucht. Sobald alle notwendigen Fakten vorliegen, werden 
wir Anzeige gegen den Angreifer erstatten und die Beweise den Behörden 
übergeben.




2) Änderungen am System
Im Rahmen der Neuinstallation gibt es verschiedene kleine Änderungen. 
Auf die wichtigstens möchten wir Sie nachfolgend hinweisen:

..:: PHP-Version ::..
Auf dem Server MC5 hatten wir bisher aus der Historie heraus für einige 
Kunden noch PHP4 parallel angeboten, was nun aus Sicherheitsgründen 
nicht mehr der Fall ist.

..:: PHP Laufzeitumgebung ::..
PHP läuft nun nicht mehr als Apache-Modul, sondern als CGI über suPHP. 
Sollten Sie daher die Meldung "File [...] is writeable by others" 
erhalten, so schauen Sie zur Lösung bitte in unsere Hosting-Hilfe:
http://www.hosting-hilfe.eu/index.php?title=File_is_writable_by_others

..:: Document Root ::..
Auch haben wir den Document-Root Ihrer FTP Verzeichnisse von 
/srv/www/htdocs/webeXX/ auf /var/www/webeXX/ geändert. Kunden die in 
Ihren Webanwendungen die von uns empfohlene PHP Variable 
$_SERVER['DOCUMENT_ROOT'] anstatt des hartkodierten absoluten Pfades 
verwendet haben, brauchen hier keine Anpassung vorzunehmen.

..:: Statuswebseite / Notfallhotline ::..
Ebenso möchten wir an dieser Stelle auf unsere Status-Webseite unter 
http://status.methfessel-computers.de/ und unsere 24/7 erreichbare 
Notfallhotline hinweisen.
Bei Serverausfällen oder ähnlichem stehen wir Ihnen selbverständlich 
rund um die Uhr unter 0180 514 8 514 8 (14 Cent / Minute aus dem 
deutschen Festnetz, Mobilfunk max 0,42 EUR/Minute) zur Verfügung. Wir 
bitten Sie jedoch diese Rufnummer nur in wirklichen Notfällen zu 
verwenden und im Vorfeld einen Blick auf obige Status-Webseite zu werfen.


Sollte Ihr Problem dort bereits vermerkt sein, so können Sie sicher 
sein, dass wir bereits mit Hochdruck an der Lösung arbeiten und Sie dort 
auf dem laufenden halten. Um die Arbeiten nicht zu verzögern möchten wir 
Sie in diesen Momenten darum bitten nicht erneut die Störung zu melden 
oder nach dem aktuellen Status zu fragen. Jede telefonische Nachfrage 
verzögert die Arbeiten unnötig. Per eMail können Sie sich jedoch gerne 
mit weiteren Informationen unter support at methfessel-computers.de an uns 
wenden, in Leerläufen (z.B. wärend Backupeinspielungen / 
Festplattenchecks etc.) können wir diese eMails ohne unnötige 
Verzögerung der eigentlichen Arbeiten bearbeiten.


..:: Hosting-Hilfe ::..
Allgemein möchten wir auch auf unsere Hosting-Hilfe hinweisen, welche 
Ihnen bei den meistgefragten Problemen direkt weiterhilft:
http://www.hosting-hilfe.eu


Wir bedanken uns für Ihr Verständnis und stehen Ihnen für Rückfragen 
gerne zur Verfügung.

Mit freundlichen Grüßen


Oliver Methfessel


Methfessel Computers
Hauptsitz: Zieglerstr. 25a, 65191 Wiesbaden
Kundenbüro: Kloppenheimer Weg 11, 65191 Wiesbaden
Geschäftsführender Inhaber: Oliver Methfessel
http://www.methfessel-computers.de



-- 
Mit freundlichen Grüßen

Oliver Methfessel


Methfessel Computers
Hauptsitz: Zieglerstr. 25a, 65191 Wiesbaden
Kundenbüro: Kloppenheimer Weg 11, 65191 Wiesbaden
Geschäftsführender Inhaber: Oliver Methfessel
http://www.methfessel-computers.de
methfessel at methfessel-computers.de
Tel: +49 611 532 87 35
Mobil: +49 177 3320361
Fax: +49 611 532 85 12

More information about the MCHosting mailing list