keimform.de wieder hergestellt
Nach dem Servereinbruch haben wir nun alle Inhalte wieder hergestellt. Wir sind froh, dass alles wieder einigermaßen läuft. Danke für eure Geduld 🙂
Warum hat es so lange gedauert, bis keimform.de wieder lief?
Der Einbruch in den virtuellen Server (kurz: ein in Software nachgebildeter Server) wurde vom Provider bemerkt, woraufhin dieser sofort die IP-Adresse des virtuellen Servers sperrte. Damit waren wir mit keimform.de nicht nur vom Netz, sondern hatten auch selbst keinen Zugang mehr zu den Inhalten des Servers, also dem Keimform-Blog.
Als Notbehelf haben wir zunächst die letzte Sicherung der Blog-Inhalte ohne Kommentare online gestellt. Zumindest lesend war eine halbwegs aktuelle Kopie von keimform.de wieder online.
Parallel versuchten wir einen kompletten Download des virtuellen Servers selbst, der allerdings ca. 50 GB groß ist. Das ging leider nur über die proprietäre Management-Konsole des Providers, die so clever ist, bei Abbrüchen den bislang geladenen Teil zu löschen. Genau das geschah dann auch, weil alle Internetzugangs-Anbieter einmal am Tag die Verbindung zum Internet kappen. Na, toll. Inzwischen gelang der Download, zwar nicht in Potsdam, wo wir den virtuellen Server eigentlich brauchten, sondern in Aachen — aber die Kopie hatten wir damit schon mal (zum Beispiel für spätere Analysen des Einbruchs).
Der Weg zur Wiederherstellung war dann doch ein anderer. Der Provider hat uns in seiner Firewall einen Zugriff für eine bestimmte IP geöffnet, so dass wir dann endlich auf die Inhalte des virtuellen Servers und damit auf die Blog-Inhalte zugreifen konnten. Dann ging alles “relativ” schnell: Datenbank, Dateien (Bilder, PDFs etc.) und Theme (das Blog-Layout) holen, WordPress und alle nötigen Plugins auf dem neuen Server frisch installieren und konfigurieren, noch ein wenig mit WordPress kämpfen, Theme rauf, Dateien rauf, testen — das war’s. Puh.
Warum nicht gleich einfach eine Komplett-Kopie auf den neuen Server transferieren? Weil wir sicher gehen wollten, uns keine durch den Server-Einbruch kompromittierten Dateien einzuschleppen. Daher haben wir auch die Passwörter aller bei keimform.de registrierten Nutzerinnen und Nutzer zurückgesetzt — ihr könnt euch hier ein neues Passwort besorgen.
Schön, dass ihr wieder da seid :-)!
Mich würde interessieren, ob ihr etwas mehr über den Einbruch wisst.
Was für eine Sicherheitslücke wurde ausgenutzt? Was war die Motivation des Einbruchs? Wurde der Server dann als Spamschleuder o.ä. genutzt? Teil eines Botnets? Wodurch habt ihr es bemerkt?
@Hanno: Ich weiss leider noch wenig, da ich mit meiner VM nur Untermieter und mit dadurch die Kommunikation nicht optimal war.
Meine IP wurde vom Provider geblockt, weil die VM ungewöhnlich massives Datenaufkommen verursacht und wohl auch Portscans durchgeführt haben soll. Die VM war durch Apache-Prozesse voll ausgelastet. Sie wurde vom Hauptmieter heruntergefahren; ich habe keine ps logs oder dergleichen.
Zur Ursachenforschung steht ein Snapshot mit Stand nach dem herunterfahren zur Verfügung.
Die IP ist weiter geblockt, die VM nur per Konsole zugänglich.
Soweit erstmal.