# ISP Config 3.0.4.6 - Exploit?



## t.poetschan (25. Sep. 2012)

Hallo zusammen,


leider muss ich meinen ersten Post in diesem Forum mit einem Problem beginnen. Meine persönliche Unerfahrenheit mit ISP Config macht mir aktuell etwas angst.


Ich habe heute Morgen die Startseite meines ISP Config aufgemacht ... und siehe da... 




```
There is a new Version of ISPConfig 3 available!
This Version: 3.0.4.6
New Version :    
[B]Pwned![/B]

 
[IMG]https://server1.poetschan.de:8080/pony.jpeg[/IMG]
```
Hatte sowas schonmal jemand? Kennt jemand die "Lücke"? 
Mein Server arbeitet mit Fail2ban eigentlich recht zuverlässig.
Sonstige Lücken mag ich (weitestgehend) ausschließen.

Einziges, bekanntes Problem, der Bind9 hatte sehr oft falsche cache Einträge. So hat er dauernd einen dyndns Host verworfen... obwohl eine Abfrage auf den öffentlichen DNS Servers stets die richtige IP zurückgegeben hat. 

Würde mich freuen wenn ihr mir weiterhelfen könnt!

Thomas


----------



## t.poetschan (25. Sep. 2012)

#######
GELÖST
#######

Es handelte sich dabei um einen DNS Angriff.
ispconfig.org wurde auf eine andere IP umgebogen.

Damit hat er sich dann eine andere Version gezogen.

LG


----------



## nowayback (25. Sep. 2012)

Moinsen,

seit wann zieht sich ISPConfig selbst eine neue Version?

Mein Tipp:
Schau hier ins Forum und wenn Till hier eine neue Version ankündigt, dann installiere diese von der angegebenen Quelle. 

Grüße
nwb


----------



## t.poetschan (25. Sep. 2012)

ISP Config checkt auf der dashboard.php seine Version.
Durch die DNS Veränderungen hat aber mein ispconfig.org auf eine andere IP gezeigt.... 

Dadurch der Hack.


----------



## F4RR3LL (26. Sep. 2012)

Sollte es tatsächlich sein wie von Dir beschrieben hast Du die Kiste hoffentlich ins Rescue verfrachtet oder sonstwie vom Netz getrennt und eine Analyse begonnen wo das Einfallstor war.
Davon Ausgehend das es sich um deinen DNS Server handelt der da Kompromittiert wurde. 

Wenns ein anderer war wäre es klasse wenn Du uns mitteilst welcher. A Damit wir den nicht nutzen und B um dem Betreiber nen Hint zu geben.

Gruß Sven


----------

