Kommt darauf an. Solange nur ein paar Dateien auf der entsprechenden Website hochkopiert wurden besteht eigentlich kein Grund zum Neuaufsetzen.

Ganz anders wäre es wenn jemand echten root Zugang erlangt.

Und nicht vergessen den PHP Safemode zu aktivieren ;)

abuse@seinprovider

Das kann ich erst nach Rücksprache mit dem Serverholder machen - keine Ahnung was der da in letzter Zeit aufgeführt hat.

Zitat:

Ganz anders wäre es wenn jemand echten root Zugang erlangt.

Muß ich erst mal nachschauen, hab gestern um Mitternacht das erste Mal ein bisserl geschnüffelt.
Tipp, wie ich das bewerkstelligen sollte?
In der bash_history find ich nix.

Zitat:

Und nicht vergessen den PHP Safemode zu aktivieren ;)

Hoffe, der ist an. Ich habs jedenfalls mal eingeschaltet. Aber keine Ahnung :lol:
Leute editen gern .ini und /etc files :lol:

Zitat:

abuse@seinprovider

Erfolgsaussichten: Null
Aber dennoch, was wäre in so einer Mail einzufügen, um wirklich etwas in der Hand zu haben?
Leider erscheint eine IP dynamisch zu sein, von der anderen kann ich (noch) nix sagen.
Also Datum+Uhrzeit der Tätigkeiten plus copy&paste der Logs ?

Thx

Edit:
Und darüberhinaus, waren das überhaupt Profis?
Weil so deppert sein und solche Spuren hinterlassen :S

Ich würde mir erst mal ansehen welche Befehle über viewtopic.php ausgeführt wurden

Kommt auf den Provider an. Die meisten US Provider nehmen solche Hackangriffe aber ziemlich ernst.

Ist 69.93.x.xxx der IP Bereich des Angreifers? Dieser IP Bereich gehört zu www.theplanet.com bzw. www.servermatrix.com. Der Angriff wurde in diesen Fall von einen Dedizierten Server ausgeführt der möglicherweise auch gehackt wurde. Ich würde auf jedenfall eine Email an abuse@theplanet.com schicken, da The Planet diese Emails tatsächlich liest.

Einen Auszug des Serverlogs als Attachment, z.B. mittels cat access.log | grep 69.93 > hacklog.txt

Ein cat access.log | grep rush sollte übrigens alle viewtopic.php Hackversuche zeigen.

thx für deine Hilfe phillip.

Ich hab die IP Range schon ausfindig gemacht, kontaktiere aber zurzeit andere Betroffene, sodaß wir das Abuse Senden koordinieren, dass der Provider dies nun wirklich ernst nimmt.

Alle relevanten log Einträge hab ich schon mit grep gefiltert.

BTw:
hab es jetzt lokal probiert mit phpBB 2.0.7 --->
es ist unglaublich einfach :S

Also bitte alle auf 2.0.11 upgraden !

Update:
Es scheint als ob der Angriff von einem gehackten dedicated Gameserver gestartet wurde.
uffff.

Bei The Planet werden solche Meldungen normalerweise gleich ernst genommen und untersucht. Diese Server werden dann meistens vom Netz genommen und der Betreiber muss einen Serverrestore für $75 machen bevor der entsprechende Server wieder angeschlossen wird.

Ich finde leider die Mails nicht mehr.
Aber vor 3-5 Monate hat ein Server von ThePlanet eine mir bekannte Maschine attackiert und ThePlanet hat es nicht die Bohne interressiert.

Wenn du dich auf der Maschine vom Angreifer umsiehst, findest du ein verzeichnis mit allmöglichen Hackertools und Scripten die Exploits ausnützen.

Vielleicht sollte man ThePlanet in arabisch anschreiben, das sie reagieren :D

Sloter

dann borgst mir aber deine mail addy :D

jösses, jösses ...

guter anfang honey ;-)

artemisia

(sry, wegen ot)

Wurde der Server nicht vom Netz genommen? Eine Email Bestätigung gibt es meistens nicht. Sämtliche Beschwerden werden aber trotzdem untersucht.

Nö, Server wurde nicht vom Netz genommen.
Leider finde ich die Mails nicht mehr, Imho war es sogar die selbe Maschine.

Schau dich um auf der Maschine, man findet sehr leicht das Verzeichnis mit der Software.

@dumdideldum
Feigling, es genügen ein paar Wörter.
Ahmed dankt ServerPlanet für die Unterstützung im Kampf gegen den Imperialismus :D

Sloter