[fox-users] <- via users: server probleme
ludwig zeininger
lu at mur.at
Fri Apr 23 17:14:41 CEST 2004
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
hi
[english version next week, i'm exhausted... sorry]
ich weiss, in letzter zeit haeufen sich die unangenehmen vorfaelle. das
tut uns sehr leid, und wir tun unser moeglichstes. dazu kommt noch, dass
TD (technischer direktor) jogi in der toskana an einem grossen nylonsack
von huegeln schwebt (er nennt es urlaub), und die azubine (auszubildende)
renate sich in der berufsschule im finsteren eibiswald weiterbildet. der
arme DVD (dodl vom dienst) lu ist also ganz alleine, und wie immer in so
einer situation (erfahrung, kein fatalismus!) passieren gerade dann die
schlimmsten sachen.
da war die leidige, und bis heute leider nicht aufgeklaerte pop misere. in
meinem stress hab ich ganz vergessen, zu verkuenden, dass das service
wieder funktioniert. alle, die pop lieber haben als imap, koennen also
wieder zurueck wechseln.
da ich pop nicht verwende war mir nicht bewusst, dass der umstieg auf imap
einige probleme mit sich bringt. ein paar punkte dazu:
# imap speichert die mails in einer verzeichnisstruktur, ganz wie normale
files im filesystem. es koennen ordner und unterordner etc. angelegt
werden, um die mails zu sortieren. wichtig: ordner koennen nur unterhalb
der inbox angelegt werden.
# fuer dialin (modem) ist imap anscheinend nicht das ideale, weil nicht
alle mails auf einen schwung geholt werden, und auch beim wechseln
zwischen ordnern immer eine serververbindung hergestellt wird, was ueber
eine langsame leitung eher zaeh ist. (oder weiss vielleicht jemand, ob/wie
das zu umgehen ist?)
# bei leuten, die in den wirren der letzten tage mehrmals zwischen pop und
imap gewechselt haben, sind unter umstaenden mails scheinbar verschwunden.
scheinbar, weil sie zwar vom server geloescht wurden (weil die meisten
[alle?] clients, wenn nicht bewusst anders konfiguriert, ge-pop-te mails
vom server loeschen), aber irgendwo auf eurer festplatte liegen. das ist
mir selbst passiert beim versuch, von mehreren userInnen geschilderte
probleme zu reproduzieren. wem es so ergangen ist und imap weiter
verwenden will, bitte melden. es gibt eine moeglichkeit, die mails
wieder auf den server zu transferieren, natuerlich nur sofern ihr sie
nicht von eurer festplatte geloescht habt.
und nun noch zum wirklich ernsten teil:
unser zentraler server wurde gestern frueh gecrackt. und zwar relativ
professionell, sodass es nur wenige konkrete spuren gibt. wir wissen aber,
welcher crack verwendet wurde: eine lokale kernel vulnerability, die fast
saemtliche aktuellen linux kernels betrifft. wie der name impliziert, kann
so ein angriff nur von einam lokalen account aus gefuehrt werden. da uns
keine exploits bekannt sind, die ueber die auf mur.at angebotenen services
das erlangen von lokalen rechten ermoeglichen, gehen wir davon aus, dass
ueber ein ausgespaehtes oder weitergegebenes user passwort eingeloggt
wurde. ab da ist es fuer jemanden, der weiss, was er tut, mehr oder
weniger ein spaziergang. (die politisch korrekte bisexualitaet vermeide
ich hier bewusst...)
das erklaert auch die ueber die letzten zwei tage verteilten teil- und
komplett-ausfaelle des servers. war noetig zur reparatur, bzw reparatur
der reparatur ("meine komplikation hat eine komplikation bekommen...")
etc. tut leid, nervt, ich weiss.
die konsequenzen:
alle trojaner, die ich finden konnte, sind getilgt, und auf dem server
laeuft jetzt ein brandneuer kernel, der immun gegen diese attacke ist.
anhand der logins der letzten wochen (wann und von wo) ergeben sich ein
paar kandidaten, deren account zum crack verwendet worden sein konnte. (es
duerfte recht schwierig sein, sich zb. gleichzeitig von moskau und von
graz einzuloggen...) die betreffenden passwoerter sind geaendert, und die
inhaberInnen verstaendigt.
wir werden weiter nach spuren und moeglichen verbliebenen backdoors
suchen, das system gezielt beobachten und sukzessive weitere
sicherheitsmechanismen einbaun.
und jetzt kommt ihr an die reihe ;]
um das system moeglichst sicher zu machen und zu halten, braucht es eure
mithilfe:
# keine weitergabe von zugangsdaten an dritte!
wir werden in zukunft rigoros gegen account sharing vorgehen. ein account
ist an eine person gebunden, diese person ist verantwortlich fuer den
account, auch fuer alles, was dritte, an die zugangsdaten weitergegeben
wurden, damit anstellen. im klartext: verlust der mitgliedschaft.
das betrifft auch das unwesen der "inoffiziellen webmaster". leute mit
mur.at account, die ihre homepage nicht alleine machen wollen/koennen,
oder hilfe mit der datenbank brauchen, koennen ohne aufwand einen
offiziellen webmaster account mit dementsprechenden rechten bekommen. auch
ein webmaster ist ein dritter, egal wie gross das vertrauen in ihn/sie
ist.
# sichere protokolle verwenden!
seit langem schon ist es nicht mehr noetig, passwoerter im klartext zu
uebermitteln.
ftps statt ftp verwenden: jeder ftp client, der was auf sich haelt, kann
ssl/tls. schaut mal in den settings nach. und hiermit sei gleich der
unwiderrufliche tod von ftp auf mur.at angekuendigt. in absehbarer zukunft
wird es nur noch ftps geben.
scp verwenden: unter linux ohnehin laengst standard, unter macosx sogar
mit einem klickbaren bunti interface ausgestattet (obwohl noch etwas
buggy), und dos clients gibt es auch. wir werden un daran machen, fuer die
verschiedenen plattformen clients zu testen und TODOs online zur
verfuegung zu stellen.
sowohl ueber pop als auch ueber imap kann mail verschluesselt abgeholt
werden. wie beim ftp, im client nach der entsprechenden einstellung
suchen, aktivieren, das mur.at zertifikat akzeptieren und schon kann nur
noch die NSA mitlesen. das ist aber eine andere geschichte... auch
pop/imap unverschluesselt wird ueber kurz oder lang eingestellt werden.
# passwoerter nicht speichern!
weder in selbst erzeugten klartext files, weder auf dem server noch auf
der eigenen maschine, noch in programmen (save password? -> NO). die
sicherheit und der schutz der eigenen daten sollte es wert sein, sich ein
paar passwoerter zu merken und die, wenn verlangt, einzutippseln. es gibt
offenbar windoze exploits, die gespeicherte passwoerter ausspionieren.
auch im internet cafe sollte userIn sich vergewissern, dass der browser
keine formulardaten und/oder passwoerter speichert, was unseligerweise die
voreinstellung bei allen gaengigen browsern zu sein scheint.
# passwoerter nicht unverschluesselt mailen!
immer wieder kommt es vor, dass userlein uns mailt: ich log mich ein als
hinz mit passwort kunz, aber es geht nicht. und schon haben dutzende, u.U.
hunderte, theoretisch die moeglichkeit, es selber zu probieren. chello
userInnen zb. teilen sich mit etlichen anderen ein subnetz, de facto ein
(zumindest vor einiger zeit noch sogar ungeswitchtes) LAN, und es ist
nicht schwer, von einer maschine aus alles, was alle anderen schicken und
empfangen mitzulesen. ich hatte selber gelegenheit, das (rein aus jux und
interesse, versteht sich ;) zu betreiben, als ich kunde dieser windigen
firma war.
das war's vorerst einmal.
ich hab alle services stichprobenmaessig getestet und fuer funktional
befunden. sollte doch was nicht klappen, bitte melden.
kontakte: http://support.mur.at/
gute nacht.
lg
lu
- --
wuensche, wohl administriert worden zu sein!
NOC at mur.at
NetworkOperationCenter
>> http://lu.mur.at/lu.pub.key.html <<
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
iD8DBQFAiTLkea0RHHXBzw0RAjyhAJ4rNEjgfBmHyTyo3gijKJ3TwNMqDwCgnUsn
h2O7f9tb7VEYukPWf+tiQ3M=
=p5Er
-----END PGP SIGNATURE-----
_______________________________________________
users mailing list
users at mur.at
http://mur.at/mailman/listinfo/users
More information about the noc-announce
mailing list