Pangolin Users aufgepasst
Meine Instanz (1.12.2) ist scheinbar um ca. 13:30 infiltriert wurden.
Check eure Instanzen.
Hast Du 2FA Authentifizierung aktiviert? API Keys irgendwo ungeschützt abgelegt?
Das längste Thema
- fLoo
- Thread is Unresolved
-
-
Hast Du 2FA Authentifizierung aktiviert? API Keys irgendwo ungeschützt abgelegt?
2FA ist aktiviert, API Keys gab es keine.
Es ist eine recht Basic Installation hier bei netcup auf einem Server und meinem Home Netz.
Ich hab auch noch nichts anderes gefunden gehabt vorhin zu dem Thema.
Ist mir ein bisschen ein Rätsel.
Ich hab auch keine neuen User oder anderes in der GUI gesehen.Ich wurde in der GUI zwo mal weitergeleitet, danach hab ich es nicht mehr reproduziert bekommen. Und meine Services waren alle nicht mehr erreichbar.
Was ich machen konnte: Server gecheckt, der ist aber rein - werde ich morgen dennoch plätten und neu bauen.
ClamAV sagt keine Viren.
Kein SSH Login (Bekomme ich auch direkt immer eine Benachrichtigung - Gabs keine, geht eh nur via SSH Key)Auch in last sehe ich nichts.
Auch keine fremden Docker images.
Aber in den docker compose logs lief einiges an Sachen durch. Das konnte ich vorhin aber nicht prüfen.
Muss noch mal gucken wo ich die Logs jetzt genau finde wenn der Stack aus ist
-
Dann sehr mysteriös. Bei mir ist nichts ungewöhnliches zu finden, allerdings läuft da auch quasi nichts drüber. Auch automatisch aktualisiert auf 1.12.2.
-
Es gab letzte Woche ein Update auf 1.12.3 für CVE-2025-55182, würde mich nicht wundern, wenn das der Grund war.
-
Ah...
Danke für den Hinweis, bekomme zwar die E-Mails mit Hinweisen zu neuen Versionen, aber irgendwie ist das an mir vorbei gegangen.
Ärgerlich.
Das heißt auch für mich: ich muss meinen Patchablauf von meinen Services optimieren.Edit: Ich hab die Mail am 05.12. sogar gelesen und dann vergessen zu handeln...
Ach fuck ey... Dumm. Einfach Dumm!
Btw: 1.13.1 hat auch noch mal 3 CVEs
-
Meine Instanz (1.12.2) ist scheinbar um ca. 13:30 infiltriert wurden.
Check eure Instanzen.
Server gecheckt, der ist aber rein - werde ich morgen dennoch plätten und neu bauen.
Dazu habe ich mal ganz generell eine Frage bzw. Anregung:
Macht es evtl. Sinn bei so einem (ggf. korrumpierten) Server über das Rettungssystem ein Image zu ziehen um dieses später analysieren zu können?
Würde sich ja auch anbieten wenn man aktuell keine Zeit dafür hat.
Wenn die Platte erstmal neu beschrieben ist, sind alle Spuren weg.
-
Macht es evtl. Sinn bei so einem (ggf. korrumpierten) Server über das Rettungssystem ein Image zu ziehen um dieses später analysieren zu können?
Kurze Antwort: Ja!
Aber je nach Größe des Speichermediums kann das sehr schnell unlustig werden. Ich kann es also gut verstehen, wenn man das bei einem vergleichsweise unwichtigen Server vielleicht einmal nicht macht.
In diesem Fall scheint das Einfallstor sowieso bekannt zu sein, da hätte man dann wahrscheinlich keine wirklich wichtigen Erkenntnisse. Dass man dann keine "Beweise" hat ist halt blöd, aber das muss jeder für sich entscheiden.
-
Display More
Dazu habe ich mal ganz generell eine Frage bzw. Anregung:
Macht es evtl. Sinn bei so einem (ggf. korrumpierten) Server über das Rettungssystem ein Image zu ziehen um dieses später analysieren zu können?
Würde sich ja auch anbieten wenn man aktuell keine Zeit dafür hat.
Wenn die Platte erstmal neu beschrieben ist, sind alle Spuren weg.
Deswegen werde ich das morgen auch erst einmal auf einem Piko aufbauen. Auf Empfehlung von Encore
Will dann auch morgen noch mal checken wo ich changes finde in den Configs. In der GUI hab ich ja nichts gesehen
-
Hat hier noch jemand deutlich spürbaren Packet Loss im Nürnberger RZ? Seit gestern betrifft das mehrere vServer aus verschiedenen Generationen, egal ob IPv4 oder IPv6, selbst das Cloud vLAN ist betroffen. Es betrifft sowohl den externen als auch RZ-internen Traffic, aber nicht zwischen allen vServern.
Meine Smokeping-Installationen zeigen erneut nicht viel an, weil es genau diese Verbindungen wohl nicht betrifft oder es dabei nicht lange genug läuft…
-
Hat hier noch jemand deutlich spürbaren Packet Loss im Nürnberger RZ? Seit gestern betrifft das mehrere vServer aus verschiedenen Generationen, egal ob IPv4 oder IPv6, selbst das Cloud vLAN ist betroffen. Es betrifft sowohl den externen als auch RZ-internen Traffic, aber nicht zwischen allen vServern.
Meine Smokeping-Installationen zeigen erneut nicht viel an, weil es genau diese Verbindungen wohl nicht betrifft oder es dabei nicht lange genug läuft…
Ja, mehrere meiner Server zeigen laut Munin gedroppte Pakete an, nicht erst seit gestern. So ca ab dem 3.12. relativ wenige, ab dem 8.12. dann verstärkt.
-
Hat hier noch jemand deutlich spürbaren Packet Loss im Nürnberger RZ? Seit gestern betrifft das mehrere vServer aus verschiedenen Generationen, egal ob IPv4 oder IPv6, selbst das Cloud vLAN ist betroffen. Es betrifft sowohl den externen als auch RZ-internen Traffic, aber nicht zwischen allen vServern.
Meine Smokeping-Installationen zeigen erneut nicht viel an, weil es genau diese Verbindungen wohl nicht betrifft oder es dabei nicht lange genug läuft…
Ich sehe aus dem Netz der Telekom einige Verluste, allerdings auf Telekom-Seite:
Code
Display More$ mtr -n --tcp --report xxx Start: 2025-12-15T07:31:22+0100 HOST: yyy Loss% Snt Last Avg Best Wrst StDev 2.|-- 2003:0:8a03:1000::1 0.0% 10 9.2 9.9 9.1 10.9 0.7 3.|-- 2003:0:1304:8024::1 70.0% 10 3073. 1033. 13.5 3073. 1766.8 4.|-- 2003:0:1304:8024::2 50.0% 10 7198. 2069. 12.8 7198. 2990.9 5.|-- 2a02:2d8::57f5:e08c 0.0% 10 15.4 15.7 15.0 16.4 0.4 6.|-- 2a02:2d8:0:4813:232a::1 0.0% 10 17.6 19.6 15.4 27.4 4.5 2a02:2d8:0:4818:232a::1 7.|-- 2a00:11c0:47:3::121 0.0% 10 16.5 27.1 16.5 37.9 7.0 2a00:11c0:47:3::123 $ mtr -n -4 --tcp --report xxx Start: 2025-12-15T07:34:21+0100 HOST: yyy Loss% Snt Last Avg Best Wrst StDev 2.|-- 62.155.245.100 0.0% 10 10.1 10.9 9.8 12.1 0.8 3.|-- 62.154.3.38 0.0% 10 13.3 13.5 12.1 15.7 1.1 4.|-- 80.156.160.126 30.0% 10 3113. 1043. 12.7 3113. 1191.1 5.|-- 87.245.234.67 0.0% 10 15.4 17.5 14.9 32.9 5.5 6.|-- 87.245.246.141 0.0% 10 23.2 30.5 22.8 51.3 11.3 87.245.240.71 7.|-- 94.16.25.159 0.0% 10 19.8 27.3 15.4 65.1 14.6 94.16.25.155 -
Und wieder grüßt die Rechnungswarteschlange und blockiert einen Servertransfer... Noch vor kurzem war die Buchhaltung ziemlich fix und hat innerhalb eines Tages reagiert, im Moment sind die 24h schon fast rum.
Warum gibt es neben jedem offenen Posten nicht einen Button, mit dem man für dieses Produkt manuell selbst eine Rechnung auslösen kann? Würde doch eigentlich viel Aufwand, Ticketlast und vor allen Dingen Zeit sparen.
Uuund bald ist es ne Woche. Ach man, ich hatte echt gehofft, dass es sich mit dem Support verbessert hat in der letzten Zeit.
-
Ho ho ho, da ist angeblich etwas mit DPD unterwegs.
Real dann 1,3 kg und ich musste erst einmal Google anwerfen, wie man es korrekt nennt. Ich verrate mal nichts
Danke Moderators
-
Real dann 1,3 kg [...] Ich verrate mal nichts
Aber ich! Also zumindest lasse ich die KI mal darüber nachsinnen, was denn 1,3 kg wiegt:
- ein leichter Laptop
- ein kleiner Ziegelstein
- ein ganzes Hähnchen (küchenfertig)
- eine mechanische Tastatur
- ein Staubsaugerrohr mit Düse
Also wenn es 3. ist, bringe ich [netcup] Alexander W. zum nächsten Community-Treffen höchstpersönlich ein lebendes mit.
-
Aber ich! Also zumindest lasse ich die KI mal darüber nachsinnen, was denn 1,3 kg wiegt […]
Du musst die KI nochmals fragen, das schwerste Objekt im Paket wiegt ca. 600 Gramm. Sonst ist alles leichter
-
Eine zerbrochene Porzellanente‽
-
Du musst die KI nochmals fragen, das schwerste Objekt im Paket wiegt ca. 600 Gramm. Sonst ist alles leichter
Es ist bereits zerlegt?!
-
Gegrillt und halbiert.
-
Mit Pommes?
-
Aber ich! Also zumindest lasse ich die KI mal darüber nachsinnen, was denn 1,3 kg wiegt:
- ein leichter Laptop
- ein kleiner Ziegelstein
- ein ganzes Hähnchen (küchenfertig)
- eine mechanische Tastatur
- ein Staubsaugerrohr mit Düse
Also wenn es 3. ist, bringe ich [netcup] Alexander W. zum nächsten Community-Treffen höchstpersönlich ein lebendes mit.
Geh ... kein Hähnchen - wenn dann machen wir Schnitzerln!
