Server Neuinstallation was von imscp sichern/ Kundendaten ?

    Hallo,


    ich nutze aktuell noch imscp 1.2.17. Ich würde gerne auch die neue Version updaten.


    Frage 1) Geht das direkt von 1.2.17 oder muss ich schrittweise updaten?
    Frage 2) ich überlege, vorher den Server komplett neu aufzusetzen. Letztens wurde einem Kunden sein FTP-Login erraten und ein Hacker hat dann seltsame php-Dateien hochgeladen (insbesondere das hier http://code.google.com/p/b374k-shell). Der Kunde hatte wegen einem Skript Zugriff auf's php-Befehl "shell_exec". Jetzt weiß ich nicht, ob der Hacker dann auch evtl. mehr als nur auf seinem Webspace was getan hat. Oder bin ich hier zu paranoid und der Hacker hätte auf Grund von nicht vorhandenen Rechten äh nichts anstellen können? Angenommen ihr empfehlt mir, den Server neu aufzusetzen, wie müsste man hier bei imscp vorgehen um alles nach der Neuinstallation wieder so zu haben, wie's aktuell ist - natürlich inkl. Kundendateien usw.


    PS: Debian Jessie


    Danke.

    Quote from Mutschas

    Frage 1) Geht das direkt von 1.2.17 oder muss ich schrittweise updaten?

    You can. Don't forget to read the errata files:

    Quote from Mutschas

    Frage 2) ich überlege, vorher den Server komplett neu aufzusetzen. Letztens wurde einem Kunden sein FTP-Login erraten und ein Hacker hat dann seltsame php-Dateien hochgeladen (insbesondere das hier code.google.com/p/b374k-shell). Der Kunde hatte wegen einem Skript Zugriff auf's php-Befehl "shell_exec". Jetzt weiß ich nicht, ob der Hacker dann auch evtl. mehr als nur auf seinem Webspace was getan hat. Oder bin ich hier zu paranoid und der Hacker hätte auf Grund von nicht vorhandenen Rechten äh nichts anstellen können? Angenommen ihr empfehlt mir, den Server neu aufzusetzen, wie müsste man hier bei imscp vorgehen um alles nach der Neuinstallation wieder so zu haben, wie's aktuell ist - natürlich inkl. Kundendateien usw.


    Well, the problem of the shell_exec command is that user can read all files that are world-readable, even those which are outside of its Web folder. It can also execute any command that a normal unix user would be able to execute. However, under Debian, sensible files shouldn't be world-readable. For i-MSCP, sensible files are normally not world-readable.


    In later i-MSCP version, we will provide chroot option for PHP-FPM and Apache2.

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206

    SSH key for online support
    Quote from Mutschas


    Angenommen ihr empfehlt mir, den Server neu aufzusetzen, wie müsste man hier bei imscp vorgehen um alles nach der Neuinstallation wieder so zu haben, wie's aktuell ist - natürlich inkl. Kundendateien usw.


    Also du sicherst die Verzeichnisse:


    /var/www/imscp/
    /var/www/virtual/
    /var/mail/virtual/


    Erstellst ein DUMP deiner kompletten Datenbanken (mysqldump -uroot -p –all-databases > backup_mysql.sql). Am besten das /etc/ Verzeichnis ebenfalls sichern (sollten manuelle Anpassungen vorgenommen worden sein). Dann den Server neu installieren und imscp ebenfalls. Dann die gesicherten Verzeichnisse wiederherstellen, Datenbank einspielen und danach erneut das Setup vom imscp laufen lassen. Dann sollte alles wieder laufen.
    Wobei das in deinem Fall eigentlich keinen Sinn macht, da du alle Zugangsdaten, Dateien etc. dann wieder 1:1 auf dem "neuen" Server hast und somit auch die schädlichen Dateien.

    Also wenn ich Nuxwin richtig verstanden habe, dann kann man unter Debian nicht alles sehen.
    Vielleicht wurde auch gar nichts auf shell-Ebene gemacht.
    Ich habe das nur erwähnt, weil das verlinkte Tool die Möglichkeit bietet.
    Ein Logfile für shell_exec gibt es ja nicht?


    Und zur Neuinstallation: Warum muss ich ein Dump erstellen und wieder einspielen. Reicht es nicht, wenn ich die MySQL-Dateien einfach sichere und später wieder an die selbe Stelle kopiere?


    Quote from Bulli

    Wobei das in deinem Fall eigentlich keinen Sinn macht, da du alle Zugangsdaten, Dateien etc. dann wieder 1:1 auf dem "neuen" Server hast und somit auch die schädlichen Dateien.

    Aber wie denn dann?

    Es gibt viele Wege die nach Rom führen. Ich finde es über EIN Dump File deutlich schneller und unkomplizierter.
    Ansonsten musst du doch wissen, ob du die Lecks und evtl. schädliche Dateien entfernt hast. Dabei hilft dir doch aber keine 1:1 Wiederherstellung. Wenn auf dem bisherigen Webspace unter /var/www/virtual/domain.tld/htdocs eine schädliche Datei liegt dann liegt die nach dem Kopieren selbstverständlich auch wieder da! Sollte doch verständlich sein?!

    Ach so hast du das gemeint. Alle schädlichen Dateien unter/var/www/virtual/domain.tld/htdoc sind bereits entfernt.
    Ich habe mir auch schon Dateien mit Änderungstimestamp aus /etc/ und andere /var Ordner auflisten lassen. Sehe aber keine Änderungen in den Konfig-Files usw.
    Nur die schädlichen php-Dateien die bereits entfernt wurden.


    Login-Daten des Users wurden natürlich geändert.

    Ich habe das Hack-Tool mal selbst getestet. Mit dem dort enthaltenem Terminal kommt man maximal bist /var/www/virtual/domain aber nicht nicht bis /var/www/virtual auch nicht /var/www auch nicht /var und auch nicht /.


    Nochmal Glück gehabt :)