Server langsamer als angegeben!

  • Ich habe nachdem jemand reingekommen ist 30 Minuten die Netzwerkverkehrsliste angeschaut und beobachtet sowie via Monitoring andere Aktivitäten überwacht und stelle nichts komisches fest

    Du wolltest doch konstruktive Kritik: diese Maßnahme ist völlig unzureichend um sicher zu gehen das nichts manipuliert wurde. Kann ja sein das die bösen Skripte erst morgen aktiv werden, wie verhindert du das? Oder das ein Backdoors installiert wurde das aktuell nicht aktiv ist? Es gibt noch tausend weitere Konstellation wo diese Maßnahme wirkungslos ist. Einzig und allein das Rückspielen eines Backups von vor dem Vorfall (als ehrgeiziger Admin hat man ja sicherlich zum Beispiel tägliche Backups, 7 Tage rückwirkend) oder das neu aufspielen des kompletten Servers. Alles andere ist gefährlicher Pfusch!

  • Methoden muss ich mit der Zeit lernen und Zeit habe ich nunmal wenig

    Dann wird das schwierig.

    Anfang 2016 hatte ich noch GAR keinen Plan von der Materie. Innerhalb der letzten Jahre habe ich einen großteil meiner Freizeit in mein Setup investiert. (Das nun schon aus mehreren Servern, VPNs, Hypervisor-Trägern und VMs besteht).

    Gerade am Anfang braucht sowas sehr viel Zeit. Da macht man auch mal ein Tutorial 2 oder 3 mal, weil man aus Unachtsamkeit was übersehen hat oder man sich aus Unerfahrenheit die falsche Software raus gesucht hat.

    Und langsam, mit der Zeit bekommt man ein Gefühl dafür und es klappt immer besser.

    Aber bis man dahin kommt, muss man viel lernen.


    Anhand deines Verhaltens glaube ich nicht, dass du bereits soweit bist.


    Noch ein Tipp: Im "freien" Internet muss man immer mit schlimmsten rechnen. Das durch die Leute hier im Forum war nur die "lite" Version.

    Wenn es jemand geschafft hat, sich per SSH einzuloggen (erst mal egal welcher User), ist das schon das KO.

    Von dem Minecraftserver als Root wollen wir mal nicht reden..

    SSH Keys verwende ich zwar bisher auch noch nicht, aber dafür zumindest Passwörter, die sich nur noch mein Passwortmanager merken kann.

    Meine (Netcup) Produkte: VPS 1000 G7 SE, S 1000 G7, VPS 200 G8 Ostern 2019, IPs, Failover..

  • Könnte sich wer auch immer das war bei mir melden und erklären woher er den SSH Zugang erhalten hat!

    […] das Passwort wurde als Hash gebreecht, da es recht sicher ist (nicht zufällig aber ~10 buchstabig).

    =O

    Hast du deinen Server neu aufgesetzt jetzt da jemand richtigen SSH-Zugriff hatte?

    Zu dem Vorschlag von nitram oben gibt es in diesem Fall keine Alternative nach (mindestens?) einem Einbruch!


    Nach dem Herunterfahren des Rechners im aktuellen Zustand und vor dem Neuaufsetzen (ohne jegliche öffentlich Freischaltung irgendeines Diensts!) empfiehlt sich mindestens das Studium von https://infosec-handbook.eu (bzgl. SSH insbesondere Web server security – Part 1: Basic hardening – Step 3: Harden your SSH configuration). Die Nutzung von Passwörtern hier ist (grob) fahrlässig!


    Und: Die allerwenigsten öffentlich verfügbare Anwendungen auf einem Server erfordern Root-Rechte (insbesondere nicht unter *nix-Betriebssystemen)! Wenn doch, gehören diese Anwendungen in einen Container oder eine VM (oder besser noch ersetzt durch Alternativen, welche diesen Entwurfsfehler nicht aufweisen).


    Die Administration eines Servers lässt sich im Übrigen (zumindest teilweise) delegieren… indem man Server mietet, welche vorkonfigurierte Anwendungen/Module bieten, so dass man diese nicht selbst absichern/warten muss. Dann kann man sich durchaus auf andere Dinge (Programmierung o.ä.) konzentrieren, während man nebenher die vorgegebene/laut Erfahrungs­berichten als sicher bestätigte Konfiguration auf solchen Servern analysiert und in sicherer Testumgebung nachstellt.

  • Es muss nicht unbedingt ein Webhosting sein.

    Einen Minecraft Server bekommt man glaube ich bei nitro - nitra oder wie auch immer die heißen.

    Bei "Über Space" bekommt man Zugang zu einem Server und kann da seine Software laufen lassen und nach draußen proxien. Guck dir das mal an.

  • Es muss nicht unbedingt ein Webhosting sein.

    Einen Minecraft Server bekommt man glaube ich bei nitro - nitra oder wie auch immer die heißen.

    Bei "Über Space" bekommt man Zugang zu einem Server und kann da seine Software laufen lassen und nach draußen proxien. Guck dir das mal an.

    Mein Hauptargument ist der Preis, Nitr**do ist furchtbar teuer!

    Habe mir "Über Space" mal angeschaut, Super idee, Super umsetzung! Nur kann ich dort weder Minecraft/Java laufen lassen noch das ich Speicherplatz für meine Websiten hätte. Der würde sich wenn dann als 2. Server eignen. Habe mir das mal genau angeschaut und denen einen verbesserungsvorschlag für leute meiner anforderung zukommen lassen, villeicht entwickelt sich das ja zu was passendem!

  • Mein Hauptargument ist der Preis, Nitr**do ist furchtbar teuer!

    Lass mich eine Gegenfrage stellen - Wie furchbar teuer kann es Dich kommen, wenn Du so weiterwurschtelst wie bisher?


    Ich hab diese Diskussion in Ruhe und mit Distanz verfolgt, aber Deine ständigen Ausreden und das beharrliche Herunterspielen von ernsten Problemen zeugen nicht gerade von Deiner Einsichtsfähigkeit oder gar ansatzweise von Verantwortungsbewußtsein.

    Da Du auch stets betonst, Deinen Nutzer gegenüber in der Pflicht zu stehen, ist es sicher höchst unangenehm für Dich, den Server für eine gewisse Zeit offline zu nehmen, aber andererseits schuldest Du Deinen Usern weit mehr als nur Uptime, sondern auch den Schutz ihrer Daten. Insofern wiegt diese Verantwortung weitaus höher, als die Erreichbarkeit des Dienstes. Ob es nun soziale oder finanzielle Gründe sind, dass Du den Dienst aufrecht erhalten möchtest - Du arbeitest im Moment gegen Deine Motive, begreif das bitte.


    Dass sich manche der Vorposter mit ihren zum Teil nur wenig einfühlsamen, aber inhaltlich zutreffenden Kommentaren auch nicht gerade mit Ruhm bekleckert haben, und einer gar zu unlauteren Mitteln gegriffen hat, mag vielleicht zu Deiner Trotzreaktion beitragen, aber vielleicht schläfst Du erst einmal eine Runde über die wohlgemeinten Ratschläge und die berechtigte Kritik.


    Natürlich kannst Du allen Rat, um den Du zuerst gefragt hast, in den Wind schießen, und „einfach nur Dein Ding machen“, aber dann trag auch die Konsequenzen und beschwer Dich nicht über Probleme, Die Du selbst zu verantworten hast.


    Jedenfalls ist es in höchstem Maße unverantwortlich, ein einmal kompromittiertes System auch nur eine Sekunde länger am Netz zu lassen, als die Abschaltprozedur „Erzwungen Ausschalten“ dauert.

    ░▒▓Blog: https://grundsoli.de/▓▒░

    ░▒▓Gutscheine: https://netcup-groupie.de/▓▒░

  • Ein schlecht gewarteter Server kann dir tatsächlich sehr teuer kommen, wenn damit krumme Dinge angestellt werden (siehe oben). Da ist es ganz egal ob darauf nur "unwichtige" Sachen laufen, heute gehört es zum Grundrauschen des Internets dass laufend Bots bei dir anfragen und um SSH-Zugang bitten :S


    Glaub nicht du wärst "uninteressant" oder "bei mir gibt's nix zu holen". Das läuft ganz automatisch ab, dort sitzt kein böser Hacker mit schwarzem Kapuzenpulli vorm Rechner und infiziert gezielt *deinen* Server, das ist ein Bot der in der Stunde hunderte, tausende Server abklopft nach Löchern.


    Ich kann mich eripek nur anschließen, lieber ein, zwei Tage Server down und mal grundlegend absichern, als down für immer und strafrechtliche Probleme.

  • Wenn du schon dabei bist, solltest du die ganzen schweren Sicherheitslücke in einer deiner Websites beheben. Den Code hast du ja freundlicherweise auf Github öffentlich zur Verfügung gestellt (auf einen Link verzichte ich bewusst). Die Mischung aus prepared Statements, einem eigenen Schutz gegen SQL-Injections mittels str_replace (warum?) und völlig ungesicherten Queries (autsch!) ist sehr eigenwillig. Einen Schutz gegen XSS oder CSRF habe ich gar nicht entdecken können. In einem anderen Repo hast du sogar dein aktuelles MySQL-Root-Passwort veröffentlicht. Da das Root-Passwort auch noch an anderer Stelle im Code verwendet wird, kann man sogar prüfen, ob das Passwort noch aktuell genutzt wird. Ich hoffe du benutzt das Passwort nicht noch an anderer Stelle...

  • Wenn du wissen willst wie einer in deinen Server kommt. Darüber z.B.

    PHP: https://github.com/Veteka/terrastats/blob/master/api/itemiconservice.php
    1. <?php
    2. require_once("../nogit/pass.php");
    3. $pdo = new PDO('mysql:host=localhost;dbname=VETEKASVL', 'itemsuche', $pass);
    4. $item = $_GET['item'];
    5. $sql = "SELECT idname FROM `itemliste` WHERE terraconia='$item'";
    6. echo "<html>";
    7. echo "<img src='https://minecraftitemids.com/item/32/";
    8. foreach ($pdo->query($sql) as $row)
    9. {
    10. [...]

    Edit: Es ist an der Zeit das Ding schnellstens vom Netz zu holen und zu überarbeiten =O Solche SQL-Injections werden von Bots automatisiert abgeklopft, ist nur eine Frage der Zeit bis das gefunden und ausgenutzt wird...


    Und normal bin ich für einen verantwortungsvollen Umgang beim Melden von Sicherheitslücken, beim TO macht das aber glaub wenig Sinn ihn vorab zu informieren etc, es passiert ja nicht mal etwas nach einem SSH Einbruch... X/

  • Uh oh.


    Linus Neupro: Vielleicht hilft es, https://www.owasp.org/images/7…_10-2017_%28en%29.pdf.pdf durchzuarbeiten. Kleiner Tipp: In deinem Fall solltest du dich mit der ungeschlagenen #1 der Applikationssicherheitslücken seit Jahren - Injection - etwas genauer befassen.


    Edit: Und es wäre durchaus eine Überlegung wert, den Server vorerst mal vom Netz zu nehmen bis vielleicht mal jemand mit mehr Erfahrung über deinen Code geschaut hat. Solche Fehler können durchaus in den Bereich der Sorgfaltspflicht-Verletzung gemäss Netcup AGB fallen. Ich find's super dass du dich mit Server-Administration befasst und Neues lernen willst (ich hab' das auch so gemacht während meiner Berufslehre), aber deinen Server musst du aktuell als kompromittiert betrachten. Am besten wäre eine komplette Neuinstallation mit guter Absicherung und anschliessend schrittweises Wiederaufschalten der Dienste, nachdem du dir von jemandem mit mehr Erfahrung ein paar Tipps & ein Review abgeholt hast.


  • Edit: Und es wäre durchaus eine Überlegung wert, den Server vorerst mal vom Netz zu nehmen bis vielleicht mal jemand mit mehr Erfahrung über deinen Code geschaut hat. Solche Fehler können durchaus in den Bereich der Sorgfaltspflicht-Verletzung gemäss Netcup AGB fallen.


    Wenn wir uns nicht solangsam sogar im Bereich der Mitstörerhaftung von Netcup befinden, von diesem ungesicherten Server geht durchaus eine ernstzunehmende Gefahr für die Infrastruktur und den allgemeinen Betrieb aus, also könnte, sollte und müßte dieser ersteinmal abgeschaltet werden.


    Kenntnis sollte Netcup solangsam davon haben aber zur Sicherheit nochmal [netcup] Felix zur Aufmerksamkeit nötigen. :D

  • Nachdem hier schonmal irgendwo auf den Minecraft-Server Terraconia verlinkt wurde, möchte ich mich dazu auch einmal als Admin des genannten Servers zu Wort melden.

    Terraconia hat mit diesem System allerdings (gott sei dank) nichts zu tun, denn was ich hier erfahre, übertrifft die letzten "Sicherheitsproblemchen" bei weitem.


    Zuerst einmal kannst du dir sicher sein, dass die Schnittstelle, womit du die Itemkäufe von unserem Serversystem abfragst, sehr zügig gesperrt wird. Dies hat mehrere Gründe:

    • Du hast zum wiederholten Male eine Sicherheitslücke, die du in einer naiven Art und Weise ignorierst. Ich zähle mich jetzt selbst nicht zu den Experten in diesem Bereich, aber wenn dir hier mehrere Administratoren sagen, dass dein Server eine tickende Zeitbombe ist, bringt das herunterspielen des Problems weniger.
    • Bei all deinen Sicherheitslücken denkst du nicht an deine "Kunden"/Nutzer deiner Dienste. Es mag zwar ganz nett sein, wenn du diese Dienste für andere zur Verfügung stellt, wenn diese aber mit solchen Sicherheitslücken unterwegs sind, ist keinem geholfen. Ich hatte leider bisher nicht die Zeit, deinen Code und deine "Erfindung" genauer zu inspizieren, aber bei so einer kreativen Umsetzung von Sicherheitsstandards fehlt mir jedes Verständnis. Spieler, die dir ihre Daten zur Analyse überlassen, können gar nicht wissen, dass ihre Daten in Gefahr sind/waren/sein werden.
    • Ich unterstütze ungerne Personen, die Raubkopien verbreiten. Sei es für den Eigenkonsum oder für andere. Das ist strafbar und dir sollte klar sein, dass da auch irgendwann die Polizei vor deiner Haustüre stehen kann.

    Wir hatten diese Diskussion schon an anderer Stelle, bei welcher du versichert hast, dass du dich um "alle" Sicherheitsprobleme kümmern möchtest und das nicht so schlimm sei. Soweit ich mich erinnere, gab es damals Probleme mit verschlüsselten Seiten und unsicherer Nutzung von Cloudflare.

    Und auch damals wurden SQL-Injections angesprochen.

    Alles sollte danach sicher sein, du hast mit whoami0501 den Server "sicher" gemacht und dein Projekt sogar auf github gestellt.

    Aber nur weil einmalig der Server für sicher befunden wurde, bedeutet das nicht, dass das immer so ist. Und nur weil ein Projekt auf github ist, bedeutet das nicht, dass das Projekt sicher/gut ist.


    Was soll das hier denn eigentlich geben?

    In den letzten Tagen hab ich eigentlich alles erfahren, was man so erfahren kann. Von "irgendwer hat mein SSH-Login erraten" über "Mein Root-Passwort für die Datenbank muss natürlich auf Github sein!" bis "Ups, CloudTorrent ist ja öffentlich zugänglich" ist alles dabei gewesen. Und alles absolut unverantwortlich. Erspar dir doch jede weitere Peinlichkeit und nehm den Server vom Netz, expirementiere ein paar Jahre auf einem Raspberry Pi, Beaglebone oder ESP32 hinter eine Firewall rum und lerne mehr über sicheres Programmieren und Patterns.


    Und noch ein kleiner nett gemeinter Ratschlag:

    Hier gibt es viele Personen, die Ahnung von Servern haben. Wenn diese Leute dir einen Rat geben, dann solltest du diesen Ernst nehmen. Die Leute hier wollen dich nicht auf den Arm nehmen, sondern dir helfen. Die bösen Menschen findest du dabei bei dir in eingeloggten offenen Ports wie SSH oder MySQL :P