Migration von Confixx Servern dringend erforderlich
2016-01-15 12:38
Fast täglich begegne ich noch immer Server, auf denen die Webserver-Verwaltungsoberfläche Confixx betrieben wird. Vor einigen Jahren zählte Confixx, zumindest in Deutschland, zu den beliebtesten Webserver-Verwaltungsoberflächen. Somit ist es nicht verwunderlich, dass viele Serverbetreiber - getreu nach dem Motto "never touch a running system" - noch immer Confixx im Einsatz haben.
Doch dies ist einfach nur grob fahrlässig und stellt ein erhebliches Sicherheitsrisiko dar. Der Confixx Hersteller hat das Produkt bereits 2011 eingestellt und bietet seit dem offiziell keine Aktualisierungen mehr an.
Das es auch mit halbwegs aktuellen Systemumgebungen noch kompatibel ist, liegt zum Teil an inoffiziellen Patches aus diversen Communities. Diese verstummen aber auch immer mehr, weshalb Confixx mit einer tickenden Zeitbombe vergleichbar ist.
Welche Systeme werden von Confixx offiziell noch unterstützt, die derzeit noch Sicherheitsupdate erhalten?
Debian 6.0 – Updates nur noch bis Februar 2016
Debian 7.0 (mit inoffiziellem Community Confixx Patch) – Updates nur noch bis Mai 2018
RedHat Enterprise Linux 4 – Updates nur noch bis 31. März 2017
Wer ältere Systeme verwendet handelt grob fahrlässig und ist, im Falle eines dadurch entstehenden Schadens, haftbar.
Unabhängig von den Betriebssystemen bleibt noch eine weitere Gefahr übrig, die PHP Version. Confixx unterstützt offiziell maximal PHP 5.2, mit Hilfe eines inoffiziellen Community Patches sogar PHP 5.4. Aber selbst PHP 5.4 ist bereits seit September 2015 ebenfalls "End of Life" und erhält keine Sicherheitsupdates mehr.
Es werden regelmäßig neuere Betriebssystem-, PHP-, MySql-,... Versionen veröffentlicht und mit vielen ist Confixx einfach nicht mehr kompatibel. Somit sind Confixx Betreiber dazu gezwungen, mit veralteten Systemumgebungen weiter zu arbeiten.
Auf Nachfrage bekomme ich dann immer die Antwort "Wo ist das Problem, läuft doch alles noch...". Veraltete Systemumgebungen bedeuten aber immer erhebliche Sicherheitsrisiken. Zum einen für die gespeicherten Daten, aber auch für unbeteiligte Personen. Denn es ist mittlerweile an der Tagesordnung, dass Confixx Server gehackt und dann für illegale Aktionen missbraucht werden.
Ein Beispiel, aus einem wahren Erlebnis, an dem deutlich wird wie viel Schaden hierdurch entstehen kann:
Es ist Freitag Abend, ein Bekannter von mir liegt entspannt Zuhause auf seinem Sofa und ahnt nichts schlimmes. Bis es an seiner Tür klingelt und die Kriminalpolizei mit einem Durchsuchungsbeschluss vor ihm steht. Wie bei einem Schwerverbrecher wurden alle Computer, Tabletts, Handys, USB Sticks und Festplatten beschlagnahmt. Auch er wurde direkt mit dem Streifenwagen zur Wache transportiert, wo er dann fast 3 Stunden verhört wurde.
Ihm wurde zur Last gelegt, mehrere Bankkonten per Onlinebanking geplündert zu haben. Auf einem seiner zwei Confixx Server wurden entsprechende Phishing Webseiten gefunden und sicher gestellt. Auch wurden über diesen Server einige hundert tausend EMails versendet, welche vortäuschten von der Bank zu stammen. Darin wurden die Empfänger aufgefordert sofort deren Onlinebanking Daten zu prüfen und zu ändern. Der Link führte die Empfänger aber nicht auf die Bankseite, sondern auf die Phishing-Seite mit der die Eingaben abgefangen wurden.
Nach knapp einer Woche erhielt er dann seine Geräte zurück. In dieser Zeit konnte er aber, als selbstständiger Steuerberater, nicht mehr arbeiten, da auf seinen Geräten alle wichtigen Arbeitsmaterialien gespeichert waren. 4 Monate später bekam er dann einen Brief mit der Nachricht, dass die Ermittlung eingestellt wurden. Es wurde festgestellt, dass sein Server gehackt und missbraucht wurde. Der Bekannte war total erleichtert und wiegte sich nun erst mal wieder in Sicherheit.
Dies änderte sich dann einen Monat später, als er ein Forderungsschreiben von der Bank erhielt. Denn diese forderte nun den entstandenen Schaden von ihm, eine unglaubliche Summe von 753.911 Euro. Die Begründung der Bank war hierbei, dass seine Systemumgebung stark veraltet war und er somit grob fahrlässig den Schaden mit unterstützt hat. Er nahm sich sofort einen Anwalt und legte Widerspruch ein.
Weitere 7 Monate später war es dann endlich so weit. Durch 3 Instanzen führte dieser Zivilprozess der Bank, mit dem Ergebnis: Er wurde zur Zahlung einer Schadenssumme von 385.000 Euro an die Bank verurteilt.
Im laufe seiner 43 Lebensjahre hatte sich dieser Bekannte eine doch ordentliche Existenzgrundlage aufgebaut. Eine Familie mit 3 Kindern, ein Einfamilienhaus, ein Ferienhaus auf Sylt, 2 Autos.... Nach diesem Prozess pfändete die Bank, auf Basis dieses Urteils, ihm diesen Besitz nach und nach weg. Mittlerweile lebt er, zusammen mit seiner Familie, in einer 4 Zimmer Mietwohnung und hat auch nur noch ein Auto zur Verfügung.
Sämtliche Ersparnisse, ein Auto und die Altersvorsorge (Immobilien) sind weg. Er fängt nun also, mit 43 Jahren, komplett neu an sich wieder eine Existenz aufzubauen. Und das nur, weil er grob fahrlässig - wegen Confixx - eine veraltete Systemumgebung betrieben hatte.
Umgehendes Handeln ist hier zwingend notwendig! Aber gibt es denn Alternativen und Lösungen?
Es gibt viele alternative Webserver-Verwaltungsoberflächen. Einige sind kostenfrei, andere - wie Confixx auch - Lizenzpflichtig. Ich möchte euch hier einmal 3 lizenzpflichtige Alternativen nennen, zu denen ich für eine Umstellung raten würde.
cPanel
Ich selbst schwöre hierbei auf die cPanel Software, da es - meiner Meinung nach -
den größten Funktionsumfang
besten Herstellersupport
die übersichtlichste Oberfläche
und fast alle Sprachen
bereit stellt. Wir selbst arbeiten seit über 10 Jahren mit cPanel und haben in den ganzen Jahren nur positive Erfahrungen gesammelt.
Im Fall von Confixx ist cPanel aber nur etwas für erfahrene Administratoren, welche die Zeit und Erfahrung haben alle im Confixx angelegten Web-Accounts per Hand auf das neue cPanel System umzuziehen. Ein automatisiertes Migrationstool steht im cPanel, zum Import von Confixx Systemen, leider nicht zur Verfügung.
Odin Plesk
Plesk stammt vom selben Hersteller wie Confixx und sieht daher optisch der Confixx Oberfläche am ähnlichsten. Ein direkter Vergleich zu Confixx ist Plesk aber nicht, denn Plesk bietet im Vergleich einen erheblich größeren Funktionsumfang. Nicht verwunderlich, denn Plesk wird regelmäßig vom Hersteller weiterentwickelt.
Neben der ähnlichen Optik bringt Plesk einen Migrations Manager mit, welcher Confixx Systeme importieren / migrieren kann. Hierzu muss auf dem Quellsystem mindestens Confixx 3.3.7 installiert sein. Beim Import werden bestmöglich alle Daten vom Confixx Server nach Plesk migriert. Es kann aber nie ausgeschlossen werden, dass bei einer solchen Migration Daten nur unvollständig übernommen werden. Deswegen ist eine anschließende Nachkontrolle zwingend erforderlich.
Unter folgender URL stellt der Hersteller eine Anleitung zur Migration bereit:
Eine in Deutschland entwickelte Software zur Serververwaltung ist LiveConfig. Die übersichtliche Oberfläche zeichnet sich durch eine sehr einfache und intuitive Bedienung aus, für welche nicht erst lange Handbücher studiert werden müssen. Vom Aufbau her auch stark vergleichbar mit der Confixx Oberfläche.
Genau wie Plesk bietet auch LiveConfig ein Migrationsskript, welches einen automatisierten Import von Confixx Systemen ermöglicht. Ich habe hierzu schon sehr viele positive Rückmeldungen bekommen, dass die Migrationen mit LiveConfig gut funktionierten. Aber auch hier gilt, eine anschließende Nachkontrolle ist zwingend erforderlich.
Neben einer ausführlichen Anleitung stellt der Hersteller auch ein Forum zur Verfügung, über welches deutschsprachiger Support schnell zur Verfügung steht. Die Anleitung zur Migration steht unter folgender URL bereit:
Es gibt alternative Lösungen zu Confixx. Auch die Übernahme der vorhandenen Webdaten ist mit Migrationssystemen relativ einfach möglich. Nachdem ich hilflos mit ansehen musste, wie dass Leben eines guten Bekannten wegen seiner grober Fahrlässigkeit den Bach herunter lief, war es mir einfach wichtig mit diesem Beitrag nochmals auf diese erhebliche Gefahr hinzuweisen. Leider nehmen viele dieses Risiko erst bewusst wahr, wenn es zu spät ist. Bitte nehmt dieses Thema ernst und reagiert. Egal für welches der vielen Systeme die Entscheidung fällt, wichtig ist nur dass ein Wechsel auf ein aktuelles System so schnell wie möglich erfolgt.