bloghouse.org » Christine Graf's blog » Krisenmanagement II: machm-it.org Server

Aug

18

Krisenmanagement II: machm-it.org Server

Verfasst von Christine Graf am 18. August 2007 - 10:19 | Neuen Kommentar schreiben

Seit Donnerstagabend ist der machm-it.org Server offline.

Die Kommunikation innerhalb des Vorstands ist auf dem Nullpunkt und mündet mittlerweile in ziemlich bösartigen Unterstellungen.

Reinhold behauptet, dass wir machm-it.org damit schädigen wollen, indem wir eine Weiterleitung auf eine Website eingerichtet haben, auf der über die vorübergehende Nichterreichbarkeit von machm-it.org hingewiesen wird. Diese Website befindet sich auf meinem privaten Server.  Auf der Hinweisseite befand sich kein Link auf meine Firmenhomepage.
Inzwischen wird weitergeleitet auf den Google Cache.

Frank behauptet, dass wir nicht daran interessiert sind, die machm-it.org Website wieder herzustellen, weil "die Projekte genug abgeworfen und nun brauch man den Verein nicht mehr".

Hier meine e-mail an alle alten Vorstände und die Kandidaten für den neuen Vorstand, Olli und Monika:

Der von machm-it.org angemietete Webserver bei Strato wurde von Strato am Donnerstagabend gesperrt.
Hagen hat sich unverzüglich mit Strato in Verbindung gesetzt und zur Auskunft erhalten, dass von diesem Server eine große Menge Traffic ausging (> 300 GB pro Stunde)!
Über die Remote-Console des Servers ist es möglich, die auf dem Server liegenden Verzeichnisse zu kontrollieren.
Gefunden hat Hagen dort ein Skript, welches am 26.06.2007 direkt in das /tmp Verzeichnis kopiert wurde.

Schadsoftware wird auf Servern installiert unter Ausnutzung von Sicherheitslücken in einem PHP Programm. Wenn dann die Optionen save_mode und open_basedir geschaltet sind, besteht die Möglichkeit, beliebigen Code in das /tmp Verzeichnis zu kopieren. Dieser Code ist normalerweise ein Rootkit, oder ein ein Botserver, der von außen steuerbar ist und vom System nicht bemerkt wird. Genau so etwas lag in unserem /tmp Verzeichnis und zwar seit dem 26.6. 2007.
Es waren definitv keine ungepatchten Programme auf dem Server, so dass es sehr unwahrscheinlich ist, dass ein "böser Hacker" am Werke war.
Der Server wurde am 22.Mai 2007 komplett neu aufgesetzt. Alle Systeme waren auf dem neuesten Stand.
Außerdem sind "böse Hacker" darauf bedacht, ihre Spuren zu verwischen. Sie können zwar Sicherheitslücken ausnutzen um ein Schadscript hochzuladen, es kann jedoch meist nicht so einfach wieder gelöscht werden. Auf dem Server befinden sich keine Spuren von solchen Aktionen.
Ein anderer Weg führt über den FTP Account oder über die FTP Funktionen von PHP. Wer im Besitz dieser Daten ist, kann bei Safe_mode OFF und ausgeschaltetem open_base_dir beliebigen Code in das /tmp Verzeichnis einschleusen und Programme unter verschiedenen Rechten (auch root) starten.

Darüberhinaus fehlen einzelne htdocs Dateien im Backup, die vorher vorhanden waren.

Seit Anfang Juni hat, um den Zugang zum Vereinsraum zu bauen, auch Reinhold das FTP Paßwort zum Server.
Dieser Zugang war eine Gemeinschaftsarbeit von dir Frank, Reinhold und Jan.

Wir hatten bis heute morgen keine Möglichkeit, Strato telefonisch zu erreichen, weil Skype offline war. Aus diesem Grund habe ich gestern vormittag und gestern nachmittag Strato per e-mail um erneute Freischaltung des Servers gebeten.

Nach der Freischaltung kann der Server wieder neu aufgesetzt werden.
Wenn aber, wie von dir Frank, angeregt, der Server gekündigt werden soll, dann können wir uns diese Arbeit und Zeit sparen.

Ich denke, wir sollten uns schnellstmöglich im Vorstand und mit unseren Kandidaten für den neuen Vorstand zusammenfinden.
Deshalb schlage ich vor, wir machen eine Skype-Konferenz heute abend 20.00 Uhr.

 

Noch keine Bewertungen
»
  1. Bild von Christine Graf
    Christine Graf Says:
    19. August 2007 - 8:51

    Kommentare und Server

    Kommentare: Die Umstellung auf die neue Version von bloghouse.org ist noch nicht abgeschlossen, deshalb kann es sein, dass manches noch nicht richtig funktioniert.

    Server: Wenn der Server gekündigt wird, haben wir keinen Hostingplatz für machm-it.org und für die Projektwebseiten.


    »

  2. Bild von Reinhold
    Reinhold (nicht überprüft) Says:
    19. August 2007 - 15:35

    Zitat: hier im Blog

    Zitat: hier im Blog ------------------------
    Reinhold behauptet, dass wir machm-it.org damit schädigen wollen, indem wir eine Weiterleitung auf eine Website eingerichtet haben, auf der über die vorübergehende Nichterreichbarkeit von machm-it.org hingewiesen wird. Diese Website befindet sich auf meinem privaten Server.  Auf der Hinweisseite befand sich kein Link auf meine Firmenhomepage.
    Inzwischen wird weitergeleitet auf den Google Cache.     ------------------------

    Da ich diese Veröffentlichung der Vereinsvorsitzenden Christine Graf,  in Bezug auf meine Person, so nicht im Raum stehen lassen möchte, veröffentliche ich nachfolgend den Originalinhalt meiner Mail an den Vorstand zum o.g. Thema: 
    So kann, wenn schon die interne Kommunikation der Öffentlichkeit präsentiert wird,  jeder sich seine eigene Meinung dazu bilden ohne Interpretation.

    Nachfolgend der Original-Inhalt 
    Mail vom 18.08.2007 03:03 Uhr an den Vorstand:
    ------------------------
    Hola,

    ich finde es viel besser, wenn man nur mitteilt, daß die Seite zu Zeit nicht erreichbar ist und man bemüht ist sie schnellstens wieder online zu bekommen.
    Natürlich kann man dann per Link auf weiter Infos verweisen. Aber bitte nicht auf Kommentarschlachten die nichts mehr mit Meinungsäusserungen zu tun haben und den Verein damit in ein schlechtes Licht rücken. Das geht schon in den Bereich der Vereinschädigung.

    Auch erwarte ich, sowie von einigen Vereinmitglieder mir zugetragen, daß es keine automatische Weiterleitungen auf die Seite von www.cooate.com gibt von Seiten die auf Machmit verweisen, egal ob sie ereichbar sind oder nicht. Denn es kann nicht sein, das ich angesprochen werde, das Linkeinträge von Partner/Freunden/Gönner zu Machm-it-Seiten plötzlich auf www.cooate.com landen.

    Schöne Grüße
    Reinhold------------------------


    »

  3. Bild von admin
    admin Says:
    19. August 2007 - 16:22

    und das schrieb ich dazu als Antwort am 18.8 um 3:30 Uhr :-)

    Reinholds E-Mail wurde gegen 3:00 Uhr abgeschickt mit dem Subject

     Machmit-Seite - Wichtig!!!!

    Sie wurde nicht nur an den Vorstand sondern im CC an 17 weitere E-Mail Empfänger geschickt!

    Da das so wichtig war (groß geschrieben und mit vier Ausrufezeichen), ich noch an bloghouse arbeitete, ziemlich genervt ob dieser Faxen war, und natürlich den Verein nicht schädigen möchte, schrieb ich eine Antwort an den gleichen Verteiler am 18.08.2007 gegen 03:30 Uhr

    Hallo Reinhold,
    ich habe die Seite jetzt auf http://www.google.de weitergeleitet, um den Verein nicht zu schädigen, bis ich neue Erwartungen von Dir bekomme!

    Wenn Du bis eben im Browser http://www.machm-it.org eingegeben hast wurde auf diese Hinweisseite verwiesen:
    http://www.cocoate.com/machm-it.org.html
    Die Kommentarseite von dort ging auf einen Eintrag zum Thema in meinem Blog.
    http://www.bloghouse.org/de/machm_it_org_down

    Wo genau sollte die machm-it.org Domain hinverweisen in einem  Fall wie diesem?
    Auf welchem Server sollte die von dir gewünschte Hinweisseite untergebracht werden, wenn der machm-it.org Server nicht mehr erreichbar ist?
    Wer soll diese Seite einrichten?
    Wie genau soll der Text sein, der dort steht?
    Was genau ist ein Gönner, Partner, Freund von machm-it.org und wo schalten diese Akteure Links auf machm-it.org, die dann auf cocoate.com verweisen?
    Was genau ist an den Kommentaren die in diesem Blogeintrag (http://www.bloghouse.org/de/machm_it_org_down) von mir stehen vereinsschädigend?
    Welche genauen Richtlinien für Kommentare in meinem Blog stellst Du dir so vor?
    Wer trägt dir was zu?
    Hast Du irgendwelche konstruktiven Ideen zur Wiederherstellung der machm-it.org website ????

    Viele Grüße
    Hagen 

     


    »

  4. Bild von smueller
    smueller (nicht überprüft) Says:
    19. August 2007 - 17:11

    ist denn nicht mal

    schluss mit diesem kasperletheater... ?
    Es wäre sehr gut wenn sich alle parteien mal einigen könnten. 
    Ich hoffe, dass der Vereinsraum morgen wieder geht, so dass man morgen Abend hoffentlich eine vernünftige Diskussion führen kann. 
    Grüße, Susanne


    »

  5. Bild von admin
    admin Says:
    19. August 2007 - 17:15

    läuft die machm-it.org website wohl am Montag?

    Zum Thema "läuft die machm-it.org Seite am Montag" gibt es folgende Rahmenbedingungen der Fa. Strato:

    Stand der Dinge II

    Nie die Hoffnung aufgeben Smiling

    Hagen


    »

  6. Bild von Joscha
    Joscha (nicht überprüft) Says:
    21. August 2007 - 8:11

    Gesprächskultur / Moderation

    Kommentar von admin verschoben aus diesem Blogeintrag.

    Hi@all.

    Ich bin reichlich verwundert (..und fast bestürzt), was für ein Umgang mittlerweile (?) untereinander zu herrschen scheint...? Oder täuscht das? Fangt Ihr wohlmöglich jetzt auch noch an, Euch gegenseitig zu beschuldigen oder zu mutmaßen, wer von Euch "Internen" den Server geplättet haben könnte...?

    Ich möchte, als einigermaßen Unbeteiligter, mal vollkommen ungefragt meinen Senf dazugeben, da ich vielleicht nicht ganz so emotional "verflochten" bin:

    Ist es nicht langsam mal Zeit für eine vernünftige Aussprache unter einer komplett unabhängigen, externen Moderation? (...von Euch sollte das niemand unter den gegebenen Umständen machen - das kann einfach nicht funktionieren, da Ihr alle viel zu involviert seid)

    Ideal wäre imho, wenn auch "anreise-technisch" anstrengender, sicher ein Real-Meeting (...mal ganz ohne LL, SL und dem ganzen "Quatsch") mit _allen_ Beteiligten?

    Sofern überhaupt noch ein allgemeines Interesse besteht, machm-it weiterzuführen?

    Verzeihung wenn ich das so hart formuliere (und auch sicher nur bedingt beurteilen kann), aber ich habe den Eindruck, daß ohne einen "emotionalen Reset" nicht mehr viel geht, oder?

    Aber ich kann das, wie schon gesagt, nicht beurteilen und das ist auch nicht mehr meine Baustelle...

    Grüße, Joscha


    »

  7. Bild von smueller
    smueller (nicht überprüft) Says:
    21. August 2007 - 8:26

    Genau

    Kommentar von admin verschoben aus diesem Blogeintrag.

    genau Joscha, der Meinung bin ich auch, es scheint vergessen worden zusein, wie das Ganze, nach außen wirkt.
    Grüße, Susanne


    »

  8. Bild von Christine Graf
    Christine Graf Says:
    21. August 2007 - 9:05

    Aussprache

    Ich kann dich beruhigen: wir haben gestern abend eine Vorstandssitzung mit den alten und den Kandidaten für den neuen Vorstand gehabt und uns auf einen gemeinsamen Neuanfang verständigt. Ich glaube, dass wir das auch in der Mitgliederversammlung am Freitag deutlich machen können.


    »