<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    Hallo Martin Waleczek,<br>

    <br>

    <div class="moz-cite-prefix">On 03/10/2017 11:30, DFN-CERT IR-Team

      wrote:<br>

    </div>

    <blockquote

      cite="mid:1489141837.850988.785590221@ih-otrs.dfn-cert.de"

      type="cite">

      <pre wrap="">Hallo zusammen,</pre>

    </blockquote>

    <br>

    eingangs darf ich mich für das zuständige Referat beim StuRa

    herzlich für die freundliche Mail bedanken. Sweet!<br>

    <br>

    <blockquote

      cite="mid:1489141837.850988.785590221@ih-otrs.dfn-cert.de"

      type="cite">

      <pre wrap="">das DFN-CERT ist das Computer Notfall-Team des Deutschen Forschungsnetzes, also der Instanz, von der die HTW Dresden unter anderem ihren Internetzugang bezieht.

Seit einiger Zeit sind die Webdienste, die der StuRa der HTW anbietet, in unserem System auffällig, da massiv veraltete Software eingesetzt wird. Dies betrifft unter anderem den offen erreichbaren Redis-Server und die offene MongoDB unter 141.56.50.137, die neben den Einträgen 'PLEASE_READ_ME', 'PLEASE_READ', 'admin', 'PWNED_SECURE_YOUR_STUFF_SILLY', 'DB_H4CK3D', 'READ1', 'PLEASEREAD', 'WARNING', 'ENCRYPTED', 'README', 'README_YOU_DB_IS_INSECURE' und 'CONTACTME' wahrscheinlich keine relevanten Daten mehr enthält. Zusätzlich ist der ownCloud-Server auffällig, der ein paar Versionsschritte hinter der aktuellen Version

<a class="moz-txt-link-freetext" href="https://scan.owncloud.com/check">https://scan.owncloud.com/check</a>

cloud.stura.htw-dresden.de

auf einem veralteten Apache vor sich hinvegetiert. Die Systeme sind offensichtlich zumindest hinsichtlich Datenverlust und Offenlegung von Informationen gefährdet, können aber durch manche Schwachstellen auch kompromittiert werden und in der Folge für weitere Angriffe auf das Netz der HTW Dresden und das DFN selbst genutzt werden.

Ich möchte Sie daher bitte, die Systeme einmal zumindest glattzuziehen (also auf den neuesten Stand zu bringen) und nicht benötigte Angriffsflächen wie die MongoDB vom Netz zu nehmen. Falls Sie Hilfe bei der Identifizierung der betroffenen Systeme brauchen, melden Sie sich gerne zurück. Die Angabe der Vorfallsnummer DFN-CERT#2017-1011017901 im Betreff hilft uns bei der Zuordnung.

</pre>

    </blockquote>

    <br>

    In aller Kürze nur schon einmal folgendes:<br>

    <br>

    Wir erhielten, dank Ihres Hinweise, auch schon zuvor Nachricht dazu

    von unserem Rechenzentrum. Daraufhin nahm ich mich dem sofort an und

    wies die verantwortliche Kraft unsererseits darauf hin. (Wohl

    handelte es sich dabei um eine unbenutzte Instanz zum Ausprobieren.)

    Eine entsprechende Reaktion erfolgte unverzüglich.<br>

    <br>

    Zu MongoDB habe ich habe ich eben selbst nochmal (dies und anderes)

    nachgeschaut:<br>

    <blockquote>nmap -p 27017 141.56.50.137 --script mongodb-brute<br>

      <blockquote>PORT      STATE  SERVICE<br>

        27017/tcp closed mongod<br>

      </blockquote>

    </blockquote>

    Passt? (Die Frage müsste höchstens im Falle von "Nein!" beantwortet

    werden.)<br>

    <br>

    Um es Ihnen offen und ehrlich direkt zu sagen: Bei uns liegt einiges

    im Argen. (Das hat verschiedenste Gründe.) Wir sind (stets) bemüht!

    Um das aber alles einmal auf einen "ordentlichen" Stand zu bringen

    werden wir länger brauchen. Selbstverständlich nehmen wir uns den

    Problemen unverzüglich an. Das gilt - auch von der Priorität her -

    insbesondere auch für die von Ihnen angesprochen Auffälligkeiten.<br>

    <br>

    Zum Ende noch der wahrhaftige, aber triviale, Grund meiner

    sofortigen Mail:<br>

    Zu solchen - also ihren das DFN betreffende - Angelegenheiten wenden

    Sie sich bitte am besten direkt an den Bereich Administration

    Rechentechnik [1]. Die Mail-Adresse ich schlicht

    <a class="moz-txt-link-abbreviated" href="mailto:admin@stura.htw-dresden.de">admin@stura.htw-dresden.de</a> .<br>

    (Der Bereich Datenkultur ist Teil vom Referat Hochschulpolitik. Der

    Bereich Webservices "klickt nur" auf der Oberfläche.)<br>

    btw: Chaotischen Mentalität lese ich persönlich auch beim Bereich

    Administration Rechentechnik mit. Das ist aber bei einer Leitung des

    Referates bei uns sonst eher nicht so.<br>

    <br>

    Im Übrigen sind wir für Unterstützung aus dem DFN immer dankbar.

    Über "howto" oder "best (known) practice" freuen wir uns.<br>

    <br>

    Mit aufmerksam gemachten Grüßen<br>

    <br>

    [1] <a class="moz-txt-link-freetext" href="http://www.stura.htw-dresden.de/stura/ref/verwaltung/admin/">http://www.stura.htw-dresden.de/stura/ref/verwaltung/admin/</a><br>

    <pre class="moz-signature" cols="72">-- 

(kommissarisch) Leitung

Paul Riegel

<a class="moz-txt-link-abbreviated" href="mailto:verwaltung@stura.htw-dresden.de">verwaltung@stura.htw-dresden.de</a>

Referat studentische Selbstverwaltung & Organisation

Studentinnen- und Studentenrat

Hochschule für Technik und Wirtschaft Dresden</pre>

  </body>

</html>