Current time: 11-25-2024, 11:28 AM Hello There, Guest! (LoginRegister)


Thread Closed 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[ERLEDIGT]esaster recovery -
Author Message
andreasgrab Offline
Newbie
*

Posts: 6
Joined: Jul 2008
Reputation: 0
Post: #1
[ERLEDIGT]esaster recovery -
Hallo Forum!

Ein "netter" Exploit hat heute mein ispCP-System zerstört. Ich darf es nun wieder zusammen basteln und bräuchte ein paar Tipps.

Details:
Altes System: Debian Lenny, ispCP Version 1.0.2 -
NUR MEHR ZUGRIFF auf das DATEISYSTEM

Neues System: Debian Lenny, ispCP 1.0.7rc2

Folgende Wiederherstellungs Idee hatte ich:
1. mysql Datenbank zum laufen bringen
2. virtuelle Benutzer anlegen und Daten kopieren
3. beten Sad

Offene Fragen:
1. Wie update ich die ispcp DB
2. geht das Benutzer anlegen automatisiert?
3. hat so etwas schon einer gemacht?

Ja ich hätte öfter Backups machen sollen, aber was bringst wenn sich die Web-Sites täglich mehrmals ändern?

Dankbar für Tipps

Andreas G.
(This post was last modified: 11-11-2010 11:59 PM by ZooL.)
11-11-2010 01:12 AM
Find all posts by this user
ZooL Offline
Moderator
*****
Moderators

Posts: 3,429
Joined: Jan 2007
Reputation: 79
Post: #2
RE: Desaster recovery - Bitte um Tips
besser wäre du hättest die ispCP 1.0.6 genommen, zweitens wäre es besser du hättest mal in die dokumentation geguckt..

mfg
11-11-2010 01:20 AM
Visit this user's website Find all posts by this user
andreasgrab Offline
Newbie
*

Posts: 6
Joined: Jul 2008
Reputation: 0
Post: #3
RE: Desaster recovery - Bitte um Tips
(11-11-2010 01:20 AM)ZooL Wrote:  besser wäre du hättest die ispCP 1.0.6 genommen, zweitens wäre es besser du hättest mal in die dokumentation geguckt..

mfg

Hallo ZooL,

besser ich würde wissen wo ich in der Doku was finde ;-) (trotz Adrenalinstößen via Telefon habe ich ein bißchen in der Doku gesucht)
besser ich hätte die letzten Monate Updates gemacht.

Bitte um Link

Andreas
11-11-2010 01:37 AM
Find all posts by this user
ShadowJumper Offline
Member
***

Posts: 287
Joined: Sep 2008
Reputation: 2
Post: #4
RE: Desaster recovery - Bitte um Tips
(11-11-2010 01:37 AM)andreasgrab Wrote:  besser ich würde wissen wo ich in der Doku was finde ;-) (trotz Adrenalinstößen via Telefon habe ich ein bißchen in der Doku gesucht)

Kann Zool nur zustimmen, zum einen sollte man so was (also die Wiederherstellung) nicht mit der "Beta" versuchen da dies zu unerwünschtem verhalten führen kann.

Mal davon abgesehen das es beim Desaster Recovery immer sinnvoll ist den Ausgangszustand wiederherzustellen, um mögliche unerwünschte andere Effekte erst mal auszuschalten. Ansonsten wird es schwer werden mögliche Fehler zu beurteilen, da man nie weiß ob es an fehlenden/falschen Daten aus dem Backup liegt oder das Problem an ganz anderer stelle zu suchen ist.

Du hast sonst immer das Problem die Daten aus dem Backup zusammen zu suchen, deren Integrität sicherzustellen und Sie ggf. für die neue Version anzupassen.

Dabei lauern so viele mögliche Fehlerquellen das man es gar nicht erst versuchen sollte.

Daher: Erst alles mit 1.0.2 Recovern so das es Fehlerfrei läuft, und erst dann auf aktuell 1.0.6 ein Upgrade fahren. Alles andere wird erfahrungsgemäß nur zu Problemen führen.
11-11-2010 02:32 AM
Find all posts by this user
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #5
RE: Desaster recovery - Bitte um Tips
hallo,

befolge den Rat von ShadowJumper den wenn du icpCP Version 1.0.7 jetzt drüber installierst dann mischt du 2 ispCP Versionen und hast noch haufen andere Probleme wegen dem Exploit.
Mich würde interessieren was für ein Exploit und wie wurde dieser ausgeführt? Wie hat das Exploit es geschafft ispCP zu zerstören?

Freundliche Grüße
MENKI
11-11-2010 02:58 AM
Find all posts by this user
andreasgrab Offline
Newbie
*

Posts: 6
Joined: Jul 2008
Reputation: 0
Post: #6
RE: Desaster recovery - Bitte um Tips
Hallo,

1. leider hab ich mich mit 1.0.2 verschrieben es war 1.0.5
2. Ich hab die 1.0.7rc schon wieder aus dem weg geräumt.

Ich werde natürlich "ShadowJumper" folgen und versuchen die 1.0.5 wieder zum laufen zu bekommen.

Wie hat es der Exploit geschafft? Gute Frage. Na ja er hat ja nicht direkt ISPCP zerlegt. Das System wurde plötzlich langsam und ich konnte noch 100% CPU Last und ein paar Meldungen auf der Konsole sehen die "exploit ... seg fault" hießen.

Die Zeilen:
Code:
Accepted password for bin from 194.90.226.195 port 42387 ssh2
chsh[29991]: changed user `bin' shell to `/bin/bash'
sshd[1200]: Received signal 15; terminating.

einige Dateien wie "exploit.c" und Einträge in wtmp haben mich nun veranlasst das System zu schmeißen.

Ein root Account in mysql wurde angelegt .....

Begonnen hat die Geschichte aber mit einer ssh brute force Attacke die aber nich erfolgreich zu sein schien. wie man sich als "bin" anmelden kann muss ich noch herausfinden.

Danke erstmal für die Tipps. mal sehen wie weit ich komme.

Andreas
11-11-2010 03:23 AM
Find all posts by this user
ZooL Offline
Moderator
*****
Moderators

Posts: 3,429
Joined: Jan 2007
Reputation: 79
Post: #7
RE: Desaster recovery - Bitte um Tips
http://seclists.org/fulldisclosure/2010/Oct/257
11-11-2010 04:06 AM
Visit this user's website Find all posts by this user
andreasgrab Offline
Newbie
*

Posts: 6
Joined: Jul 2008
Reputation: 0
Post: #8
[GELÖST] RE: Desaster recovery - Bitte um Tips
Server Läuft wieder.

Danke für die Hilfe

Andreas
11-11-2010 08:11 PM
Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)