Home / Support / Statusmeldungen / Meldungen / Systemunterbruch: Server Decimus
Plesk Login

Ihr Plesk Admin-Tool

 

Systemunterbruch: Server Decimus

20.09.2010
— abgelegt unter:

unter Beobachtung

Datum
 20.09.2010
Zeit
 13:30
Dauer
Betroffen
 Reseller Hosting Server: Decimus (decimus.sui-inter.net)
Ursache Die Systeme wurden Opfer einer Attacke mit Ziel eines Defacements der gehosteten Webseiten. Hierbei war die Absicht eine hohe Anzahl zu erreichen, sprich der Angriff steuerte nicht eine konkrete Webseite an.

Hierzu verwendeten die Angreifer eine Schwachstelle im 32-Bit-Kompatibilitaets-Modus aktueller 64bit-Linux-Systeme. Einer der 3 Exploits wurde am 16.09. bekannt, jedoch erst am  18.09. durch Red Hat (Linux Distributions-Hersteller) gepatched und in den aktuellen Kernel integriert. Die Kernel-Updates erfolgten danach zum ueblichen Wartungsfenster. Da die Exploits bereits oeffentlich gemacht wurden, konnten sich die Angreifer dadurch schon in das System
einnisten, bevor wir das Update einspielten.
Folgen Unerreichbarkeit der Dienste Web und Plesk
Massnahmen Um bei einem aehnlichen Szenario das Zeitfenster und somit die moegliche Angriffsflaeche weiter zu minimieren, werden derzeit entsprechende Technologien implementiert, welche bei Sicherheitsluecken im Kernel nicht einmal mehr einen Neustart des Servers erfordern.
Updates

14:15: Derzeit wird ein Ersatzsystem konfiguriert.
17:00: Die Wiederherstellung der Web-Daten ist im Gange (15%).
04:30:  Es wurden bis dato 37% der Domains aktiviert.
07:15: 50% der Domains sind in Betrieb.
08:30: 60% der Domains aktiv
10:30: 70% der Domains aktiv
12:00: 80% der Domains aktiv
14:30: 85% der Domains aktiv
16:15: 95% der Domains aktiv
17:30: 100% der Domains aktiv

Der simultane Exploit-Scan führt leider zu Verzögerungen bei der Übertragung
ist jedoch für den weiteren Verlauf äusserst wichtig.

Für Ihr Verständnis danken wir bestens.

Eingeleitete Massnahmen werden in Kürze kommuniziert.
Links