Erneute DRINGENDE Warnung vor TS3

  • Wir haben seit ca. 2 Stunden massive ausgehende Angriffe auf vServern. Nach einer ersten Analyse sind hierfür Perl-Scripte verantwortlich, die unter der User-ID von Teamspeak laufen.


    Da es mit Teamspeak 3 bei uns bislang massiven Ärger gab und uns einiger Schaden entstanden ist, fordern wir Sie auf keine Beta-Version, wie es Teamspeak 3 momentan ist, auf einem produktiven öffentlichen Server einzusetzen.


    Vielen Dank!

  • mhh... Ich finde die Warnung zwar nett und will euch auch nichts vorwerfen. Nur wieso seit ihr die einzigen bei denen diese Attacken scheinbar passieren? Weder bei Hetzner noch bei Server4You oder OVH(isgenug) kam es zu diesen Attacken und zu "Aufforderungen" Teamspeak3 vom Server zu löschen..
    Kann man nicht eher die Perl Scripte verbieten?

  • Auch wenn ich bis jetzt nie Probleme mit den Beta-Versionen die ich von Teamspeak3 genutzt hatte gehabt habe, so wird es dann doch morgen ausser Betrieb genommen.

  • TeddyBaer;21323 wrote:

    mhh... Ich finde die Warnung zwar nett und will euch auch nichts vorwerfen. Nur wieso seit ihr die einzigen bei denen diese Attacken scheinbar passieren?


    Weil Netcup noch andere Kunden warnen möchte.
    Andere Anbieter sperrt einfach den Kunden und damit die Sache gegessen.

  • Wie ice-breaker schreibt, machen andere Anbieter sofort den Account bzw. den vServer dicht und dann ist Schicht im Schacht und kannst dann erstmal 30 Euro Lösegeld zahlen.


    Verfolgt doch mal andere Anbieter, dort werdet ihr dann auch ähnliche Probleme finden, nur eben andere Maßnahmen.


    Ich frage mich sowieso wie man blind irgendwelche Beta Versionen installieren/betreiben kann und sich dann darauf noch so festzubeissen, obwohl es !!nachweislich!! Probleme gibt.


    Netcup sollte mal einen Kahlschlag machen....

  • TheReaper;21325 wrote:

    Auch wenn ich bis jetzt nie Probleme mit den Beta-Versionen die ich von Teamspeak3 genutzt hatte gehabt habe, so wird es dann doch morgen ausser Betrieb genommen.


    Als Alternative kann ich Mumble empfehlen!


    Das kommt ohne diesen ganzen Lizenzwirrwarr aus, da Open Source, hat keine eingebauten Zwangsdelays von 500ms wie Ventrilo und hat super Features wie Ingame Overlay und Positional Audio für mittlerweile 30 Spiele. Zudem ist sämlicher Traffic zwischen Client und Server SSL-verschlüsselt.


    Ich habe keine Ahnung, wieso man ein TS3 nutzt, das (nach meinem Ermessen) beim Aufbau einer Verbindung zu einem Server ungefragt nach Hause telefoniert, wenn es eine vollkommen transparente und mindestens gleichwertige Alternative gibt.

  • Quote

    Dann hat der Clan halt gelitten. ;-)

    /Sign!


    Ich tippe da auf einen selbsternannten Pr0-g4m3r5-c14n, an dem das einzige, was "Pro" ist, der Einsatz von vermeindlich(!) besten Voice- und und Game-Servern ist.


    Ich finde, Netcup sollte ab sofort von seinem außerordentlichen Kündigungsrecht aus wichtigem Grund Gebrauch machen und die Kunden, die TS3 nach zwei Warnungen und einer "DRINGLICHEN" Warnung einsetzen, kündigen, nachdem sie wegen Schadensersatz zur Kasse gebeten wurden.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Lol das ist weder ein 1337 Haxxer Clan noch sonstiges, ansonsten hätten sie mich garnicht erst nach Teamspeak etc. bitten sollen. Sind alles vernünftige Leute die einfach Spass am Spielen haben, der deutschen Sprache vollends mächtig sind und sich teamspeak einfach gewünscht hatten.

  • Naja, dann ist es ja keine Frage mehr:
    Es gibt kein TS3, fertig.


    "Vernünftige Leute" würden dir wahrscheinlich den Vogel zeigen, würdest du weiter TS3 hosten.
    Nutzt einach TS2 oder Mumble und gut ist. TS3 ist de facto noch nicht erschienen, also wartet einfach ab.
    Da gibt es keinen anderen Weg. Denn Netcup hat tatsächlich das Recht, sofort zu kündigen und Schadensersatzansprüche geltend zu machen.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • TheReaper;21325 wrote:

    Auch wenn ich bis jetzt nie Probleme mit den Beta-Versionen die ich von Teamspeak3 genutzt hatte gehabt habe, so wird es dann doch morgen ausser Betrieb genommen.


    War das jetzt so unverständlich :confused:

  • Quote

    Weder bei Hetzner noch bei Server4You oder OVH(isgenug) kam es zu diesen Attacken und zu "Aufforderungen" Teamspeak3 vom Server zu löschen..

    Hetzner waren die Angriffe als erstes aufgefallen (unsere Server stehen bei Hetzner). Wir haben mit den ersten betroffenen Kunden eine Analyse gestartet bevor die Server deaktiviert wurden.


    Zuständig für die Angriffe war in allen getesteten Fällen die Datei udp.pl die unter den Rechten von Teamspeak lief.


    Da unsere Nachtschicht die wir heute einlegen müssen finanziert werden muss und wir nicht mehr bereit dazu sind das dieses von den gesamten Kunden getragen wird, berechnen wir ab sofort für jeden Angriff der durch Teamspeak stattfindet einen Schaden in Höhe von 60 Euro (inkl. MwSt.). Eine Beta-Software, die in der letzten Zeit mit kritischen Fehler auf sich aufmerksam gemacht hat, auf einem produktiven System einzusetzen ist unserer Meinung nach fahrlässig.


    Wenden Sie sich ggf. mit den Kosten an den Hersteller. Dieser verkauft immerhin schon Lizenzen für die Software und verdient damit Geld. Er muss daher eine gewisse Produkthaftung bieten.

  • Ein kleiner Hinweis: Wir haben noch nicht in Erfahrung bringen können, ob die Datei udp.pl wirklich zu Teamspeak gehört. Wenn man nach der Datei per Google sucht, tritt sie häufig in Zusammenhang mit "gehackten" Servern auf. Ihrem Namen entsprechend, wird sie für UDP-Floods genutzt.


    Daher besteht der Verdacht, dass sie nachträglich eingeschleust wurde. Da sie mit den Rechten von Teamspeak in den hier genannten Fällen läuft, bestünde dann der Verdacht das die Datei durch eine Sicherheitslücke in Teamspeak 3 eingeschleust und ausgeführt werden konnte.


    Wenn Sie unsicher sind ob sie auf Ihrem System bereits aktiv ist, prüfen Sie dieses am besten mit folgendem Kommando:


    Code
    1. ps -ef | grep udp.pl
  • Quote

    War das jetzt so unverständlich :confused:

    Huh, sorry, ich dachte die ganze Zeit, du würdest dich sträuben.


    Quote

    Wenn Sie unsicher sind ob sie auf Ihrem System bereits aktiv ist, prüfen Sie dieses am besten mit folgendem Kommando:

    Dabei bitte beachten: Das "greppen" selbst ist auch ein Prozess. Nur, weil da EINE Ausgabe erscheint, ist der vServer nicht infiziert.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Quote

    Dabei bitte beachten: Das "greppen" selbst ist auch ein Prozess. Nur, weil da EINE Ausgabe erscheint, ist der vServer nicht infiziert.


    Also dieses Wissen setze ich voraus :-)


    Quote

    felix
    Könnten Sie das Script einmal hier posten?
    Wenn es das ist, was man bei Google findet, ist es ganz sicher nicht von TS3.


    Ich werde die betroffenen Kunden fragen, ob sie es uns zusenden.

  • Hallo,


    nun sach ich doch auch mal was dazu ....


    Ich kann mich erinnern das seitens Netcup schon einmal "angedroht" wurde wür jede Abschaltung eines TS3 Servers würde eine Pauschale von 25€ erhoben.
    Warum wird das jetzt nicht umgesetzt ?


    Hier lese ich das nun in Zukunft 60€ erhoben werden ....... Wieso in Zukunft ???
    Vielleicht sollte das ursprünglich angedachte einfach Durchgesetzt werden.

    Und nein, die "udp.pl" gehört nicht zu teamspeak !


    Das/Die Systeme sind einfach "nur" gehaked worden, dummerweise hat es hier Teamspeak erwischt.
    Dies jetzt auf die Beta zu schieben halte ich für extrem unfair, denn den Entwickler können nichts dafür das die die User Ihre Server nicht im Griff haben.
    Dabei bleibt der bittere Begeschmack das die vServer wohl nicht so administriert wurden wie es denn nötig und auch sinnvoll gewesen wäre.


    Dies erachte ich jetzt mal als Tribut dafür das "hinz und kunz" einen vServer anmieten kann ohne auch nur den Hauch einer Ahnung zu haben welche Verantwortung man damit übernimmt. Ein Server ist nunmal kein Webspacepaket....