[ERLEDIGT]esaster recovery -

[andreasgrab]

Hallo Forum!

Ein "netter" Exploit hat heute mein ispCP-System zerstört. Ich darf es nun wieder zusammen basteln und bräuchte ein paar Tipps.

Details:
Altes System: Debian Lenny, ispCP Version 1.0.2 -
NUR MEHR ZUGRIFF auf das DATEISYSTEM

Neues System: Debian Lenny, ispCP 1.0.7rc2

Folgende Wiederherstellungs Idee hatte ich:
1. mysql Datenbank zum laufen bringen
2. virtuelle Benutzer anlegen und Daten kopieren
3. beten

Offene Fragen:
1. Wie update ich die ispcp DB
2. geht das Benutzer anlegen automatisiert?
3. hat so etwas schon einer gemacht?

Ja ich hätte öfter Backups machen sollen, aber was bringst wenn sich die Web-Sites täglich mehrmals ändern?

Dankbar für Tipps

Andreas G.

[ZooL]

besser wäre du hättest die ispCP 1.0.6 genommen, zweitens wäre es besser du hättest mal in die dokumentation geguckt..

mfg

[andreasgrab]

(11-11-2010 01:20 AM)ZooL Wrote:  besser wäre du hättest die ispCP 1.0.6 genommen, zweitens wäre es besser du hättest mal in die dokumentation geguckt..

mfg

Hallo ZooL,

besser ich würde wissen wo ich in der Doku was finde ;-) (trotz Adrenalinstößen via Telefon habe ich ein bißchen in der Doku gesucht)
besser ich hätte die letzten Monate Updates gemacht.

Bitte um Link

Andreas

[ShadowJumper]

(11-11-2010 01:37 AM)andreasgrab Wrote:  besser ich würde wissen wo ich in der Doku was finde ;-) (trotz Adrenalinstößen via Telefon habe ich ein bißchen in der Doku gesucht)

Kann Zool nur zustimmen, zum einen sollte man so was (also die Wiederherstellung) nicht mit der "Beta" versuchen da dies zu unerwünschtem verhalten führen kann.

Mal davon abgesehen das es beim Desaster Recovery immer sinnvoll ist den Ausgangszustand wiederherzustellen, um mögliche unerwünschte andere Effekte erst mal auszuschalten. Ansonsten wird es schwer werden mögliche Fehler zu beurteilen, da man nie weiß ob es an fehlenden/falschen Daten aus dem Backup liegt oder das Problem an ganz anderer stelle zu suchen ist.

Du hast sonst immer das Problem die Daten aus dem Backup zusammen zu suchen, deren Integrität sicherzustellen und Sie ggf. für die neue Version anzupassen.

Dabei lauern so viele mögliche Fehlerquellen das man es gar nicht erst versuchen sollte.

Daher: Erst alles mit 1.0.2 Recovern so das es Fehlerfrei läuft, und erst dann auf aktuell 1.0.6 ein Upgrade fahren. Alles andere wird erfahrungsgemäß nur zu Problemen führen.

[menki]

hallo,

befolge den Rat von ShadowJumper den wenn du icpCP Version 1.0.7 jetzt drüber installierst dann mischt du 2 ispCP Versionen und hast noch haufen andere Probleme wegen dem Exploit.
Mich würde interessieren was für ein Exploit und wie wurde dieser ausgeführt? Wie hat das Exploit es geschafft ispCP zu zerstören?

Freundliche Grüße
MENKI

[andreasgrab]

Hallo,

1. leider hab ich mich mit 1.0.2 verschrieben es war 1.0.5
2. Ich hab die 1.0.7rc schon wieder aus dem weg geräumt.

Ich werde natürlich "ShadowJumper" folgen und versuchen die 1.0.5 wieder zum laufen zu bekommen.

Wie hat es der Exploit geschafft? Gute Frage. Na ja er hat ja nicht direkt ISPCP zerlegt. Das System wurde plötzlich langsam und ich konnte noch 100% CPU Last und ein paar Meldungen auf der Konsole sehen die "exploit ... seg fault" hießen.

Die Zeilen:

Code:

Accepted password for bin from 194.90.226.195 port 42387 ssh2
chsh[29991]: changed user `bin' shell to `/bin/bash'
sshd[1200]: Received signal 15; terminating.

einige Dateien wie "exploit.c" und Einträge in wtmp haben mich nun veranlasst das System zu schmeißen.

Ein root Account in mysql wurde angelegt .....

Begonnen hat die Geschichte aber mit einer ssh brute force Attacke die aber nich erfolgreich zu sein schien. wie man sich als "bin" anmelden kann muss ich noch herausfinden.

Danke erstmal für die Tipps. mal sehen wie weit ich komme.

Andreas

[ZooL]

http://seclists.org/fulldisclosure/2010/Oct/257

[andreasgrab]

Server Läuft wieder.

Danke für die Hilfe

Andreas