Einer unserer kundenserver wurde gehackt. Der arsch hat auf dem server den serv-u ftp server installiert. Wir habens erst gemerkt als kein plattenplatz mehr frei war, dann haben wir im inetpub verzeichnis diverse cd images gefunden (unreal tournament usw.) insgesamt 3,8GB. Sehr schlau kann der typ aber nicht gewesen sein weils 64kbit uplink gibt
. Mich würde jetzt interssieren wie ich an den heini rann komme. Durch das erstellungsdatum der ordner konnte ich den zeitpunkt des angriffs feststellen und im firewall log gabs 10 minuten vorher ein paar von diesen einträgen:
| 07:20:57 |ICMP type:00011 code:00000 |vulnerability |
14|Aug 13 02 |From:193.110.28.35 To:62.xxx.xxx.xxx |attack icmp |block
Ich bin mir aber nicht sicher in wiefern diese alerts mit dem tatsächlichen angriff zusammenhängen.
Hat wer info über diese art angriff bzw. selber angriffe von oben genannter ip adresse gehabt?
Nochwas die ftp server programmdatei wurde in sede.exe umbenannt, ich weis aber nicht wie sie gestartet wurde. In der registry gibts nichts, die autostart sämtlicher benutzer sind auch leer
