Hack, hack, weg war er

So schnell kann’s gehen… Vor nicht mal einer Woche wurde eine kritische Sicherheitslücke im Mail-Server exim bekannt, die von Debian auch recht schnell geschlossen wurde. So weit, so gut, ich habe den Patch natürlich sofort installiert. Nur auf meinem vServer – auf dem auch dieser Blog läuft – nicht, denn dort ist noch Debian Etch installiert, für das Debian keine Patches mehr bereitstellt. Nachdem ich aktuell beruflich jede Menge um die Ohren habe, hatte ich das nötige „Groß-Upgrade“ auf Debian Lenny auf meinen Weihnachtsurlaub vertagt.

Dummerweise war das zu spät: Heute morgen erreichte mich eine Mail vom vServer-Provider (Server4You), daß meine Kiste wegen eines IRC-Spam-Bots komplett vom Netz genommen worden sei.

Sch***e!

Also war kurzfristig Schadensbegrenzung angesagt. Glücklicherweise hatte ich noch ein automatisches System-Backup vom 03.12., das ich – da die Sicherheitslücke erst am 09.12. bekannt wurde – als unkompromittiert ansehen konnte und das schon mal eine gute Basis für die Wiederaufnahme des Betriebs darstellte. Da Server4You auf Wunsch auch eine sogenannte „Recovery-Konsole“ bereitstellt, in die die Festplatte des vServers „offline“ gemountet wird, konnte ich auch noch die wenigen vom Backup nicht erfassten aktuellen Nutzdaten sichern.

Danach konnte ich das Backup zurückspielen, um sofort danach erstmal exim wieder abzuschalten. Dadurch hatte ich die Möglichkeit, exim in Ruhe zu patchen. Als das geschehen war, konnte ich den Server wieder voll in Betrieb nehmen. Die neuesten Nutzdaten habe ich eben noch zurückkopiert, damit ist der ursprüngliche Zustand wieder hergestellt – ohne Sicherheitslücke natürlich. 😉

Das alles natürlich, obwohl ich, wie gesagt, eigentlich gar keine Zeit für so eine Übung habe. Gleich das dist-upgrade zu machen, wäre vermutlich schneller gegangen. 🙄

PS: Der Angreifer war je nach Sichtweise entweder ziemlich gründlich oder ziemlich dämlich: Das Verzeichnis /etc/exim war nämlich komplett gelöscht, exim damit nicht mehr lauffähig. Gründlich ist das, weil damit sichergestellt ist, daß kein potentieller Konkurrent ebenfalls einbricht; dämlich, weil dem Angreifer eigentlich klar sein müsste, daß ein nicht mehr funktionierender MTA ziemlich schnell auffällt. (Es sei denn, die Kiste ist völlig verwahrlost und/oder ungenutzt.)

Schreibe einen Kommentar