Wie ich vor einigen Monaten schrieb kam ich auf die glorreiche Idee von Ubuntu zu openSuse zu wechseln. Eigentlich hatte ich bereits von Anfang an ein schlechtes gewissen… SuSe 7.1 war das erste Linux, mit dem ich in Berührung kam. Direkt mit KDE fingen aber die Probleme an – hab ich schon erwähnt, dass ich Linux eigentlich nur Headless mag? Gnome konnte mich immerhin bei Ubuntu begeistern so dass ich damit mitlerweile sehr gerne Arbeite. Damals wie heute kam ich mit Yast überhaupt nicht zurecht. Ich glaube entweder man mag es, oder man mag es nicht – ich kenne niemanden der Yast und Apt-Get mag. Immerhin habe  ich es geschafft, das mein Server 2 Monate stabil unter openSuse lief.

Doch dann kam es leider zu einem sehr unfreudigen Zwischenfall. Wer daran Schuld ist kann ich bis heute nicht nachvollziehen. Die Sicherheitslücke in ¹ wurde bereits Anfang November gefixed und findet ja normalerweise schnell die Wege ins Yast. Die Tatsache das Strato (ja, ich weiß) einen eigenen Mirror vorhällt um Traffic zu sparen ist eigentlich auch kein Problem. Wie der Name schon sagt sind Mirrors ja mit der entsprechenden Verzögerung Up-2-Date. Tatsache war auf jeden Fall, dass das Sicherheitsupdate auf meinem System (und scheinbar auch auf vielen anderen) nicht eingespielt wurde. Entsprechende Email seitens Strato lies nicht lange auf sich warten in der ich darauf hingewiesen wurde, dass mein Server Portscanning und DOS Angriffe betreibt (Und alle so: Yeah!). Die Email enthielt das übliche Säbel rasseln und ein paar lächerliche Tipps (Neuinstallation…).

Anbei einige Ideen wie man kompromitierte Server wieder unter die eigene Kontrolle bringt:

• root Passwort ändern
• Unnötige Accounts deaktivieren
• ProFTPd updaten oder am besten gleich deinstallieren (Achtung: dabei deinstalliert man unter SuSe auch Plesk)
• Plesk deinstallieren (sollte man so oder so machen) In allen aktivierten user accounts mit SSH Zugang den Ordner .ssh untersuchen und die registrierten Keys prüfen – zur Not alle Keys löschen und den eigenen neu registrieren
• zum Schluss: root Passwort ändern

Gerade für das angesprochene Problem ist das meist schon alles was man tun muss – bei mir musste ich nur den root Account von ssh Keys bereinigen und der Server lief wieder sicher. Interessant war nur, dass ca. 2 Wochen nachdem ich befallen wurde eine allgemeine Email an Strato Kunden herausgegangen ist, in der einige “Tipps” standen zum erkennen von Rootkits. Die Email von Strato war des weiteren nicht besonders hilfreich ². Naja, die Sicherheitslücke wurde mitlerweile geschlossen indem und ich habe mich nach weiteren 4 Wochen auf SuSe dazu entschlossen wieder zu Ubuntu LTS zurück zu wechseln. Strato verbietet leider jede Form von BSD – dafür ist der VHOST sehr günstig und sehr zuverlässig.