Sorry für den Doppel-crosspost, ich bin neben der Kappe weil ich vor 4 Tagen heraus gefunde habe dass mein Nextcloud VPS gehackt wurde. Kein Scheiss. Das timing passt also wunderbar.
this post was submitted on 07 Feb 2025
21 points (95.7% liked)
de_EDV
560 readers
2 users here now
Ableger von c/de_EDV auf feddit.org, welches wiederum ein Ableger von r/de_EDV auf feddit.de ist.
News, Diskussionen und Hilfestellung zu Hard- und Software
Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!
Ich würde das auf Anfrage jetzt erst mal hier eröffnen und schauen was sich tut.
founded 7 months ago
MODERATORS
Wie ist es dir aufgefallen ?
In /opt lag ein python download und die Datei whitecat.c. Findest du sogar auf github. Problem war ein nicht deaktvierter VNC Zugang.
Und was jetzt? Wurde nur der Provider selbst oder auch deine eigene Cloud erwischt?
Nur ich. Weil ich ein schlechter Admin bin. Nix mit Schwachstellen zu tun, außer meinen ganz persönlichen. Jetzt gibt's all meine Daten im Darkweb, gehe ich von aus. Falls du die findest, sag mir kurz was ich so wert bin.
Was hast du falsch gemacht wenn ich fragen darf?
Als Nicht-ITler, im Gegensatz zu dir, hab ich (gefühlt) absolut keinen Peil von ner Ahnung was ich tue und vermutlich auch, was ich evtl. falsch mache.
Ich benutze NC AIO und jetzt scheiß ich mich total ein, weil mein "Server" andauernd aus allen letzten Löchern pfeift.
Vermutlich ist das absolut nichts. Davon gehe ich einfach mal aus.
Ich habe "Server" bewusst in Anführungszeichen geschrieben, weil das ein uralter Mini-PC ist, den ich spottbillig auf Kleinanzeigen gekriegt habe, welcher bei jeder zweiten Null und Eins eine mentale Ruhepause braucht. Da ist vermutlich jedes Raspi, vielleicht sogar noch das 4er, leistungsstärker 😅
Wie merke ich, dass da was nicht passt?
- Der Taskmanager zeigt nichts auffälliges. Ein Großteil der Ressourcen geht wegen NC drauf. Insbesondere bei Foto-Uploads kommt er richtig ins Qualmen.
- Bis auf NC AIO ist nichts von draußen erreichbar und auch alle Ports sind zu, bis auf die Must-Haves, die von NC gefordert sind. SSH und co. kann ich nur im Heimnetz erreichen.
- ... ?
Wie hast du das bei dir rausgefunden?
Warum die bei mir was hinterlassen haben ist mir schleierhaft. Ich habe aber zufällig bei Aufräumarbeiten in /opt Dateien und Ordner gefunden. Kurze Kontrolle bei Virustotal und ich hab das Teil sofort ge-nuked. Muss vor ca. einem Monat gewesen sein. Was die genau mit dem Server gemacht haben weiss ich nicht, besonders auffällig hat der sich nicht verhalten. Darum gehe ich auch davon aus dass die nur komplett alle Daten gezogen haben und damit verschwunden sind. Das geht mir so unter die Haut dass jetzt erstmal gar nix mehr in irgend eine "cloud" kommt.
Du kannst noch so sehr denken du hast alles abgesichert - es reicht ein winziger Fehler. Jetzt mit KI geht das dann noch schneller, ich bin mir nicht sicher warum wir Admins denken wir haben noch irgend eine Chance.
Jeder crosspost landet zuerst bei feddit.de, weil ich penne. Gibt's ne Möglichkeit das mal los zu werden? Da ist doch gar nix mehr föderiert, oder doch?
Ich glaube, du musst da den Originallink, beim Post in die Ziel-URL packen.
Also neben dem Feld, wo man auch das Coverbild einbetten kann, nicht bei der Formatierungshilfe.
Wenn ich da draufklicke (Thunder auf Android) werde ich im Browser auf Feddit geleitet und aus der App geworfen
Danke, habs mal direkt zum BSI Mastodon Account verlinkt.