Never touch a running system …

Posted on the September 20th, 2007 under adminlife by matthias

suse_no_update.png

… dachte sich wohl auch der Besitzer von diesem SUSE LINUX root-Server. Das System wurde 2 Jahre lang ausschließlich mit Plesk “administriert”. Nun dient das System (bereits seit Längerem) als Spam-Schleuder und ist übersäht mit Phishing Seiten. Der Besitzer sieht nun doch ein, dass ein root-Server kein günstiger Ersatz für einen fachmännisch administrierten Web- oder Mailserver ist.

Ich werde mich dann mal dem verkorksten Server annehmen und eine frische (Debian-)Installation machen.

|

22 Responses to 'Never touch a running system …'

Subscribe to comments with RSS
  1. 20. September 2007 at 13:57
    Daniel

    Wir könnten den Server auch als unseren privaten eBay-Yahoo-Mirror bezeichnen :D

  2. 20. September 2007 at 13:59
    matthias

    Wollen wir die eBay Logins mitsniffen oder wie? ;)

  3. 20. September 2007 at 14:02
    pfleidi

    Autsch. Das ist echt hart …

  4. 20. September 2007 at 17:50
    Stefan

    Genau, gleich bitte eine Kopie der Accounts rüberreichen, lol ;)

  5. 20. September 2007 at 17:50
    Stefan

    Achja: über welche Schwachstelle wurde das System gehackt? Fände ich interessant :)

  6. 20. September 2007 at 18:06
    matthias

    Eingebrochen werden konnte durch:
    - unzureichende PHP Konfiguration
    - veraltete PHP Webapplikationen

    Außerdem scheint Plesk auch noch böse zu sein bzw. nicht ganz unschuldig zu sein. Leider ist Logging auf dem System auch ein Fremdwort gewesen…

  7. 20. September 2007 at 19:51
    Stefan

    Logging? Ist das nicht das böse Zeug, das den Festplattenplatz vernichtet? ;)

  8. 20. September 2007 at 20:36
    matthias

    Oh ja – Teufelszeug dies Logging ;)

  9. 21. September 2007 at 00:19
    Erdnuckl

    Learning the hard way! Lass mich raten, der Besiter ist auch 2 Jahre lang immer mit dem Spruch “Warum Geld ausgeben? Es läuft doch!” hausieren gegangen,oder?

  10. 21. September 2007 at 03:32
    Stefan

    Nee, wahrscheinlich “Never change a running system”, ein Spruch den ich mittlerweile zum KOTZEN finde…sowas können nur Idioten sagen.

  11. 21. September 2007 at 11:41
    Daniel

    @Matthias

    Wollen wir der Öffentlichkeit unsere neuesten “Schätzchen” zeigen?
    :D :D:D

  12. 21. September 2007 at 11:54
    matthias

    Du meinst die Ergebnisse vom rkhunter bzw. chkrootkit check? ;)
    Böse Böse, was sich da so alles angesammelt hat.

  13. 21. September 2007 at 21:37
    JP Mens

    Letztens rief ein “Kollege” an, er haette bei einem Kunden einen Suse 9.3 der “Komisch” ist. Ergebnis: root kit.

    Never touch a running system stimmt, aber nicht uebertreiben. ;-)

  14. 21. September 2007 at 22:06
    Stefan

    Das ist ein völlig falscher Ansatz in der Systemadministration, es ist doch selbstversändlich, dass regelmäßig gepatcht werden muss; man muss nur seine Prozesse dahingehend optimieren, dass keine Ausfallzeiten entstehen und QA betrieben wird. “Mal eben” rumfrickeln ist natürlich genauso falsch, wie nie etwas zu tun.
    Nicht-patchen von Systemen im Internet führt zwangsläufig zu Systemen, die “komisch” werden.
    Leider muss ich Leuten, die sowas sagen, etwas von Ihrer Kompetenz absprechen und ihnen Bequemlichkeit zusprechen, Sorry… :-P
    Ihr dürft mir natürlich gern Gegenargumente liefern (die ich dann zerstampfen werde)…

  15. 22. September 2007 at 07:52
    matthias

    Doch, es gibt Systeme, wo “Never touch a running system” halbwegs stimmt. Das sind Systeme, die so individuell sind (eigene Patches z.B.), dass jedes Update fatal wäre. Dies sollten jedoch dann auch Systeme sein, die nicht ohne Weiteres von außen erreichbar sind oder extrem gut abgesichert sind.

    Wer Systeme mit individueller und gepatchter Software administriert, kennt aber auch meistens diese Software in- und auswendig (bzw. sollte es). Leider ist man sich mit solchen System auch immer ziemlich unflexibel und abhängig von den Personen, die das System eingerichtet bzw. betreut haben.

    Aber generell bin ich auch immer für ein sauberes System ohne “Frickelei”. Das spart Nerven bei Updates und Zeit bei der Dokumentation, da alles dem “Standard” entspricht.

  16. 22. September 2007 at 09:24
    Weltpresse

    Autsch, 671 Tage sind schon hart, gerade für einen Server, der immer belastet wird. Ich kenne Leute, die fast jeden Tag an ihrem Server rumbasteln, um ihn aktuell zu halten. Suse 9.3 kenne ich gar nicht mehr richtig :P

  17. 22. September 2007 at 09:44
    matthias

    Suse 9.3 ist auch nichts was man kennen müsste – man verpasst nichts ;)

  18. 23. September 2007 at 18:50
    Erdnuckl

    So viel ich weiss gibt es eine Diplom-Arbeit die sich mit “Never touch …” beschäftigt und das ganze sehr wissenschaftlich eindrucksvoll widerlegt!

  19. 23. September 2007 at 19:45
    matthias

    Gerade mal Google gefragt, Ergebnis.

    Auszug aus dem Fazit:

    Im Verlauf dieses Vortrags ist hoffentlich deutlich geworden, daß “Never Touch a Running System” keine Universalweisheit der Systemadministration ist, sondern in vielen wichtigen Fällen hochgradig kontraproduktiv ist.

  20. 24. September 2007 at 21:13
    Erdnuckl

    Leider das ganz schon knapp 3 Jahre her. Sobald ich die Arbeit wieder gefunden habe reiche ich die Infos nach!

  21. 25. September 2007 at 06:50
    matthias

    Das wäre super!

Leave a Reply




XHTML::
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>