Am gestrigen 28.01.2019 gegen ca. 16:00 Uhr haben wir festgestellt, dass die Berechtigungen von /usr/bin/python auf dem Host vela.uberspace.de mit einem Setuid-Bit versehen waren. Das bedeutet, dass jeder User mittels dieses Python-Interpreters Code als root-User mit vollem Zugriff auf das gesamte System ausführen könnte. Wir haben insofern nach erster kurzer Analyse den Host um 17:33 Uhr aus Sicherheitsgründen komplett gestoppt. Eine umgehende Betrachtung aller anderen Hosts hat nichts Vergleichbares ergeben. Wir haben offline eine umfangreiche Bereinigung des Hosts vorgenommen und ihn am heutigen 29.01.2019 um 13:46 Uhr wieder hochgefahren. Wir haben allerdings den Start von User-Applikationen (dynamische Websites, eigene Services, Cronjobs, …) soweit möglich angehalten.
Ein Hinweis von dictvm auf einen Blogpost bei The Hacker News hat uns aufhorchen lassen:
Beware! If you have downloaded PHP PEAR package manager from its official website in past 6 months, we are sorry to say that your server might have been compromised.
tl;dr: Der auf pear.php.net bereitgestellte Installer go-pear.phar ist seit rund 6 Monaten kompromittiert. Wenn du den von uns bereitgestellten PEAR-Paketmanager verwendet hast, gibt es - nach derzeitigem Kenntnisstand - insofern keinen Anlass zur Sorge. Solltest du in den letzten 6 Monaten PEAR selbst über go-pear.phar installiert haben, hast du vermutlich eine kompromittierte Version erwischt und solltest jene dringend gegen eine neue, saubere Version austauschen.
Seitdem es uberspace gibt, gibt es auch das gute, alte RewriteRule [P]. Damit lassen sich Services wie etherpad-lite über den Apache in die große, weite Welt schleusen. Das klappt in den meisten Fällen zwar ganz gut, hat aber das eine oder andere Manko.
Heute möchten wir euch ein neues Feature vorstellen, um all diese Mankos auf einen Schlag loszuwerden: unsere Web-Backends 🎉
tldr/english: our new uberspace web backend set command is now in opt-in beta. Read the docs to learn more. Also review the breaking changes.