srv01 nicht korrumpiert - Patch getestet

Hallo zusammen,

Durch eine Schwere Sicherheitslücke in der api von Netmon wurde auf
dem Server srv01 eingebrochen. Wir konnten unterandern feststellen das
auf die /etc/passwd zugegriffen wurde. Die Sicherheitslücke ist dank
Clemens bereits geschlossen. Wir haben mit rootkit scannern geprüft ob
rootkits eingerichtet wurden.

Neben uns sind auch anderen Communitys betroffen zurzeit bekannt sind
Freifunk Franken und Ansbach siehe Artikel [0]. Es ist auszugehen das
der/die Angreifer die selben wie bei uns sind.

https://freifunk-ansbach.de/freifunk-ansbach-mesh-gehackt-und-observiert/

Gruß

Tarek

GET/api.php?section=1&class=echo+shell_exec%28%27cat+%2fetc%2fpasswd%27%29%3b+%2f%2fHTTP/1.1" 200 556 „-“ „Mozilla/5.0 (iPhone; CPU iPhone OS 8_1_2 like
Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0
Mobile/12B440 Safari/600.1.4“

Der hat also dann wohl die Runde bei allen Communities gemacht, die Netmon nutzen.

Sowas ist leider nicht auszuschließen, passiert auch großen IT Firmen - daher Kopf hoch :wink:

Mit dem Unterschied dass eine „große IT Firma“ jetzt in aller Regel stillhalten würde statt ihre Mitbewerber zu warnen. Hier ist das Problem einem der Admins aufgefallen und macht jetzt sehr schnell bei allen Communities die Runde damit das Loch gestopft wird. Ich setzte jetzt einfach mal voraus dass jemand entsprechende Informationen über die Netmon Mailling Listen verschickt hat.

1 Like

Ja, deswegen ist diese öffentliche Schilderung meiner Meinung nach auch sehr gut! Besser als alles zu verschweigen!

Hilfreich wäre ein kleiner Argumentations-Leitfaden - dieses Thema wird sicher vielen demnächst begegnen, wenn sie sich für Freifunk positionieren in der Öffentlichkeit.

Die Sicherheitslücke ist bereits geschlossen. Uns ist wichtig das Einbrüche und Angriffe offen kommuniziert werden.

1 Like

Unser Server wurde nicht korrumpiert, die Logeinträge stammen nur von Zugriffen der Ansbacher.

1 Like

Bei euch war das doch bereits gefixt als ich das getestet hab!?

Ja, @tata ging einfach davon aus, dass augrund der Zugriffe wir auch korrumpiert seien.

Habt ihr Anzeige erstattet?

Ich habe mir die Freiheit genommen den Titel anzupassen um weiterer Verwirrung entgegen zu wirken.

1 Like