Guten Abend,
die Situation ist unter Kontrolle. Wir hatten Zugang zu etwa 90% der
betroffenen Server, um die laufenden Scans zu stoppen, ohne den Server
rebooten zu müssen. Die verbleibenden 10% werden gerade rebootet.
Morgen werden wir anfangen, die betroffenen Kunden zu kontaktieren,
damit die notwendigen Updates auf den Servern durchgeführt werden.
Mit freundlichen Grüssen
Octave
Guten Tag,
ein Hacker hat alle dedizierten Server bei OVH (und noch weitere bei
anderen Anbietern) aufgelistet, die die Sicherheitslücke in PHPMyAdmin
aufweisen, und diese ausgenutzt, indem er Scans von diesen Servern aus
durchgeführt hat. Insgesamt sind etwas weniger als 5500 (!!!) Server
betroffen.
Wir mussten deshalb eingreifen und auch unsere Methoden anpassen, um so
viele Kundenserver, die nicht auf dem neuesten Stand sind, auf einmal
bewältigen zu können. Normalerweise erkennen unsere Roboter den Scan
und versetzen die Server automatisch in den Rescue Modus.
Wir werden das in diesem Fall deshalb so machen:
- Wir werden auf den Servern eingreifen, um die Scans und PHPMyAdmin zu
blockieren
- Wenn der SSH Key von OVH nicht auf dem Server installiert ist, dann
werden wir einen Hard Reboot des Servers durchführen
Normalerweise sollten die Scans danach sofort aufhören. Ich denke, dass
wir in etwa einer Stunde so weit sein sollten.
Danach werden wir alle betroffenen Kunden kontaktieren, um Ihnen ein
Update Ihres Systems nahezulegen (das ist alles, was wir tun können,
wir können sie nicht zwingen).
Wir sind dabei, die Werkzeuge zur Phishingbekämpfung fertigzustellen
und werden danach alle betroffenen Server auf dem Port 80 blockieren,
bis die erforderlichen Updates durchgeführt wurden... So können wir
sicher sein, dass diese Sicherheitslücke auf dem Server nicht erneut
ausgenutzt wird...
An die Arbeit...
Mit freundlichen Grüssen
Octave
