[Postfixbuch-users] Lücke in Listensoftware Mailman

Do Feb 10 19:41:04 CET 2005

Peer Heinlein schrieb:

>>Das Problem hatte sich soweit zugespitzt das unser Mailserver
>>komplett gehackt wurde (awstats-exploit-Dez04) und ein Root-Kit
>>    
>>
>Ich weiß, warum ich sämtliche Useranfragen nach dem 
>ach-so-tollen-bunten-viel-besseren-awstats in den letzten Monaten 
>strikt aus Sicherheitsgründen abgelehnt habe.
>
>CGI ist nicht sicher betreibbar.
>  
>
ich hatte die statistiken ja täglich per cron erstellen lassen.
Weiss auch nicht wozu ich CGI von aussen offen gelassen hab, da es für 
Kunden auch nicht angeboten wird. (duck)

>>installiert wurde (hacker: "ustupid|yahoo"). (f*cking old SuSe7.2)
>>ca. 2mio SPAMs wurden über uns verschickt. :(
>>    
>>
>SuSe 7.2? Dafür gibt`s doch gar keine Security-Maintenance mehr. Da 
>wunderst Du Dich über einen Hack?
>  
>
Jaja, der lief halt 3 Jahre schön vor sich hin und meine Zeit war sehr 
knapp.....
Leider ist jetzt wieder SuSe drauf. Ein Debian wäre mir viel lieber gewesen.
Wozu hat man die LPI für dpkg gemacht....
Leider hab ich mit Debian noch keine Langzeiterfahrungen, daher weiss 
ich nicht wie lange dort Updates bereitgehalten werden.
Bei SuSe scheinen es aber nur 2 Jahre zu sein, oder ? (Ich werd mich da 
mal schlau machen)
Da ich yast persönlich nicht mag, werd ich den Server demnächst auf 
Debian umstellen, sobald der 2. Backup Server läuft.

>  
>
>>Da hier sicher auch viele Mailman einsetzen, hier die Info die
>>eigentlich schon rum sein müsste.
>>    
>>
>
>Keine Angst, es gibt auch noch 50 andere. Also wozu die Warnung vor 
>EINEM Problem?
>
>  
>
>>PS: Gibt es einen Service der im Netz nach neuen Versionen meiner
>>installierten Software Scannt, und mich informiert wenn zB eine neue
>>    
>>
>
>Man nehme das YOU-Update von Deiner Distribution, trage die ein und habe 
>einen tagesaktuellen geupdateten Server. Das trägt SuSE ja mittlerweile 
>schon über YaST in die crontab ein.
>  
>
Ja, das läuft schon.

>>(Ich will nie-nie wieder
>>veraltete Soft auf'm Server haben, nie-nie mehr so'n stress haben)
>>    
>>
>>ein sensibilisierter Daniel.
>>    
>>
>:-)
>
>Du hast zwar mein Beileid, aber reines Schicksaal war Dein Problem 
>nicht...
>  
>
Klares versagen, ich weiss. :(
Auf jeden Fall werd ich auf ein System umsteigen das ich besser 
verstehe. Das ist bei mir halt Debian.

Daniel