Ich habe gerade das Full Backup angeworfen und werde danach SuSE 10.2 mit Plesk installieren lassen. Danach schaue ich mir mal an, ob die Mails,… ohne Probleme wiederherzustellen sind (was ich doch stark hoffe!) und dann geht es an die Einrichtung der Domains. Ich zitter immernoch, ob ich das auch so hinbekomme, wie ich’s mir vorstelle…
Es geht los.
26. Februar 2008 von reneNun ist es beschlossene Sache.
23. Februar 2008 von reneIch werde mein Wohnzimmer endlich mal wieder modernisieren. Neues OS wird SuSE 10.2 sein, die Frage ist, ob mit Plesk oder ServerAmin24. Ich knobel’ immer noch….
Wieder online. So halbwegs.
15. Februar 2008 von reneOffensichtlich war es kein Kaiten, sondern ein Bot, der m.H. eines SSH-Benutzers hochgeladen wurde.
Den hatte ich vor 2 Jahren mal eingerichtet. Für Paul. Und der hiess dann auch so. War auch mehr so ein Testbenutzer, mit ‘nem ganz einfachen Passwort *schon selbst schlage* – das dann wohl mit einer Brute Force Attack geknackt wurde.
Also: Selbst schuld. Und vielleicht ja wieder mal was gelernt. 
Nunja, den User hatte ich zwar schon gelöscht, aber das kratzte Strato dann nicht wirklich – denn Peak ist Peak. Was aber auch durchaus in meinem Interesse war, so konnte ich gestern abend erst einmal in aller Ruhe prüfen, woran es lag.
Rootkit-Hunter und Co & schlugen bei meiner ersten Überprüfung bereits vor der Sperre nicht an, Auffäligkeiten wie eine R57Shell waren gestern ebenfalls nicht zu erkennen. Aber um auf Nummer Sicher zu gehen, habe ich gestern den Server nochmal von so einigen Altlasten wie z.B. einer recht alten Joomla-Installation befreit und werde ihn dann in den nächsten Tagen nochmal komplett neu installieren.
Deshalb wird’s dann nochmal einige Auszeit geben, weshalb ich die Besenkammer erst einmal nicht abschliesse.
Bis dahin geht’s aber zunächst wieder weiter im Wohnzimmer.
Wie schon geahnt
14. Februar 2008 von reneIch hatte wohl (leider) recht: Der erhöhte IP-Traffic veranlasste Strato zur Sperrung des Servers, selbstwenn ich zeitnah reagierte. Nunja, ich schau mir heute abend alles nochmal genau an und werde sehen, ob ich die Kiste vielleicht gleich neu aufsetze. Erst die Daten nochmal sichern und dann bekommt die Kiste gleich ein neues OS mit den aktuellen Patches.
Unglaublicher Traffic heute nacht
14. Februar 2008 von reneIch habe noch ein wenig herausbekommen. Offenbar hat orgendwas heute nacht eine Menge Traffic verursacht. Wahrscheinlich der Prozess, der mir ziemlich spanisch vorkam. Er lief unter einem Benutzer, den ich schon vor Ewigkeiten eingerichtet hatte und auch schon ewig nicht mehr benutzte.
Das seltsame: Neben einer Menge IP-Traffic raubte ein Prozess dem Server eine Menge CPU und so war der Zugriff via http und ssh ziemlich langsam.
Der Name des Prozesses war barbut
Nach einem wenig Googlelei und der Tatsache, dass der besagte Systembenutzer den Traffic nicht hätte verursachen dürfen, war mir dann klar, dass es sich offenbar um einen Eindringling handelte.
Also habe ich als erstes den User kurzerhand gelöscht. Anschließend untersuchte ich den Server wie hier beschrieben nach verdächtigen Scripten,… konnte aber vorerst nicht allzu viel finden. Ich beschloss, mir das ganze heute Abend nochmal genauer anzuschauen.
Als dann heute morgen der Server gesperrt war, rief ich gleich den Strato-Support an, welche mir nur soviel sagen konnten, dass die Sperre von der Rechtsabteilung ausgelöst wurde.
Und nun mache ich mir natürlich ‘n Kopp, ob mich vielleicht jemand abmahnen wollte und ich nix davon mitbekommen habe, oder was man so alles hört in der wundervollen BloggerWelt.
Nunja, jedenfalls las ich, dass ich offenbar nicht der erste bin, der wegen hoher Traffic-Peaks- so, wie ich sie wg. barbut hatte, und die darauf folgenden 6 Stunden nicht mehr (siehe Grafik) „teilweise gesperrt wird.
Bezeichnend: es war etwa die gleiche Uhrzeit nachts…
Ähmmm. Willkommen
14. Februar 2008 von reneDann sage ich erst einmal willkommen.
Warum bin ich aus meinem gemütlichen Wohnzimmer ausgezogen? Ganz einfach: Da hat sich das offenbar jemand drin gemütlich gemacht, das hat meinem Provider wohl nicht gefallen und der hat mir die Tür vor der Nase zugehauen. Und nun sitze ich da, und warte auf den Grund.
Kurz: Mein Server wurde, wie ich heute Nacht festgestellt habe, wahrscheinlich gekapert und nun sitze ich da und warte auf eine Mail von Strato. Die haben nämlich heute Morgen um 9 meinen Server gesperrt. Ein kurzer Anruf bei Strato brachte mir die Erkenntnis, dass die Sperre von deren Rechtsabteilung ausgelöst wurde und man mir die Mail, in der steht, warum genau, an eine alternative Adresse zuschickt.
Und nun warte ich. Und halte Euch auf dem laufenden…
