Server gehacked - Seite 2

Philipp · 02.12.2004, 12:49

Zitat:

Original geschrieben von Dumdideldum
Ich denke es wäre trotzdem ratsam, den Server komplett neu aufzusetzen?

Kommt darauf an. Solange nur ein paar Dateien auf der entsprechenden Website hochkopiert wurden besteht eigentlich kein Grund zum Neuaufsetzen.

Ganz anders wäre es wenn jemand echten root Zugang erlangt.

Zitat:

Original geschrieben von Dumdideldum
Und diesmal mach ich es, dass nix mehr rooterei passiert

Und nicht vergessen den PHP Safemode zu aktivieren

Zitat:

Original geschrieben von Dumdideldum
Irgend eine Chance, mit den IPs den Verursachern zumindest auf die Finger zu klopfen ?

abuse@seinprovider

Dumdideldum · 02.12.2004, 12:52

Zitat:

Original geschrieben von Philipp
Kommt darauf an. Solange nur ein paar Dateien auf der entsprechenden Website hochkopiert wurden besteht eigentlich kein Grund zum Neuaufsetzen.

Das kann ich erst nach Rücksprache mit dem Serverholder machen - keine Ahnung was der da in letzter Zeit aufgeführt hat.

Zitat:

Ganz anders wäre es wenn jemand echten root Zugang erlangt.

Muß ich erst mal nachschauen, hab gestern um Mitternacht das erste Mal ein bisserl geschnüffelt.
Tipp, wie ich das bewerkstelligen sollte?
In der bash_history find ich nix.

Zitat:

Und nicht vergessen den PHP Safemode zu aktivieren

Hoffe, der ist an. Ich habs jedenfalls mal eingeschaltet. Aber keine Ahnung
Leute editen gern .ini und /etc files

Zitat:

abuse@seinprovider

Erfolgsaussichten: Null
Aber dennoch, was wäre in so einer Mail einzufügen, um wirklich etwas in der Hand zu haben?
Leider erscheint eine IP dynamisch zu sein, von der anderen kann ich (noch) nix sagen.
Also Datum+Uhrzeit der Tätigkeiten plus copy&paste der Logs ?

Thx

Edit:
Und darüberhinaus, waren das überhaupt Profis?
Weil so deppert sein und solche Spuren hinterlassen :S

Philipp · 02.12.2004, 13:24

Zitat:

Original geschrieben von Dumdideldum
Tipp, wie ich das bewerkstelligen sollte?

Ich würde mir erst mal ansehen welche Befehle über viewtopic.php ausgeführt wurden

Zitat:

Original geschrieben von Dumdideldum
Erfolgsaussichten: Null

Kommt auf den Provider an. Die meisten US Provider nehmen solche Hackangriffe aber ziemlich ernst.

Ist 69.93.x.xxx der IP Bereich des Angreifers? Dieser IP Bereich gehört zu www.theplanet.com bzw. www.servermatrix.com. Der Angriff wurde in diesen Fall von einen Dedizierten Server ausgeführt der möglicherweise auch gehackt wurde. Ich würde auf jedenfall eine Email an abuse@theplanet.com schicken, da The Planet diese Emails tatsächlich liest.

Zitat:

Original geschrieben von Dumdideldum
Aber dennoch, was wäre in so einer Mail einzufügen, um wirklich etwas in der Hand zu haben?

Einen Auszug des Serverlogs als Attachment, z.B. mittels cat access.log | grep 69.93 > hacklog.txt

Ein cat access.log | grep rush sollte übrigens alle viewtopic.php Hackversuche zeigen.

Dumdideldum · 02.12.2004, 14:23

thx für deine Hilfe phillip.

Ich hab die IP Range schon ausfindig gemacht, kontaktiere aber zurzeit andere Betroffene, sodaß wir das Abuse Senden koordinieren, dass der Provider dies nun wirklich ernst nimmt.

Alle relevanten log Einträge hab ich schon mit grep gefiltert.

BTw:
hab es jetzt lokal probiert mit phpBB 2.0.7 --->
es ist unglaublich einfach :S

Also bitte alle auf 2.0.11 upgraden !

Update:
Es scheint als ob der Angriff von einem gehackten dedicated Gameserver gestartet wurde.
uffff.

Philipp · 03.12.2004, 00:42

Bei The Planet werden solche Meldungen normalerweise gleich ernst genommen und untersucht. Diese Server werden dann meistens vom Netz genommen und der Betreiber muss einen Serverrestore für $75 machen bevor der entsprechende Server wieder angeschlossen wird.

Sloter · 03.12.2004, 09:14

Ich finde leider die Mails nicht mehr.
Aber vor 3-5 Monate hat ein Server von ThePlanet eine mir bekannte Maschine attackiert und ThePlanet hat es nicht die Bohne interressiert.

Wenn du dich auf der Maschine vom Angreifer umsiehst, findest du ein verzeichnis mit allmöglichen Hackertools und Scripten die Exploits ausnützen.

Vielleicht sollte man ThePlanet in arabisch anschreiben, das sie reagieren

Sloter

Dumdideldum · 03.12.2004, 10:07

dann borgst mir aber deine mail addy

artemisia · 03.12.2004, 11:45

Zitat:

Original geschrieben von Sloter
Vielleicht sollte man ThePlanet in arabisch anschreiben, das sie reagieren :D

Sloter

jösses, jösses ...

guter anfang honey ;-)

artemisia

(sry, wegen ot)

Philipp · 03.12.2004, 13:30

Zitat:

Original geschrieben von Sloter
Ich finde leider die Mails nicht mehr.
Aber vor 3-5 Monate hat ein Server von ThePlanet eine mir bekannte Maschine attackiert und ThePlanet hat es nicht die Bohne interressiert.

Wurde der Server nicht vom Netz genommen? Eine Email Bestätigung gibt es meistens nicht. Sämtliche Beschwerden werden aber trotzdem untersucht.

Sloter · 03.12.2004, 15:01

Nö, Server wurde nicht vom Netz genommen.
Leider finde ich die Mails nicht mehr, Imho war es sogar die selbe Maschine.

Schau dich um auf der Maschine, man findet sehr leicht das Verzeichnis mit der Software.

@dumdideldum
Feigling, es genügen ein paar Wörter.
Ahmed dankt ServerPlanet für die Unterstützung im Kampf gegen den Imperialismus

Sloter

02.12.2004, 14:23	#14
Dumdideldum Inventar Registriert seit: 01.08.2001 Alter: 47 Beiträge: 1.508	thx für deine Hilfe phillip. Ich hab die IP Range schon ausfindig gemacht, kontaktiere aber zurzeit andere Betroffene, sodaß wir das Abuse Senden koordinieren, dass der Provider dies nun wirklich ernst nimmt. Alle relevanten log Einträge hab ich schon mit grep gefiltert. BTw: hab es jetzt lokal probiert mit phpBB 2.0.7 ---> es ist unglaublich einfach :S Also bitte alle auf 2.0.11 upgraden ! Update: Es scheint als ob der Angriff von einem gehackten dedicated Gameserver gestartet wurde. uffff. ____________________________________ Linux is like a wigwam: No windows, no Gates, Apache inside.

03.12.2004, 10:07	#17
Dumdideldum Inventar Registriert seit: 01.08.2001 Alter: 47 Beiträge: 1.508	dann borgst mir aber deine mail addy ____________________________________ Linux is like a wigwam: No windows, no Gates, Apache inside.

03.12.2004, 00:42	#15
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Bei The Planet werden solche Meldungen normalerweise gleich ernst genommen und untersucht. Diese Server werden dann meistens vom Netz genommen und der Betreiber muss einen Serverrestore für $75 machen bevor der entsprechende Server wieder angeschlossen wird.

03.12.2004, 09:14	#16
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Ich finde leider die Mails nicht mehr. Aber vor 3-5 Monate hat ein Server von ThePlanet eine mir bekannte Maschine attackiert und ThePlanet hat es nicht die Bohne interressiert. Wenn du dich auf der Maschine vom Angreifer umsiehst, findest du ein verzeichnis mit allmöglichen Hackertools und Scripten die Exploits ausnützen. Vielleicht sollte man ThePlanet in arabisch anschreiben, das sie reagieren Sloter

03.12.2004, 15:01	#20
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Nö, Server wurde nicht vom Netz genommen. Leider finde ich die Mails nicht mehr, Imho war es sogar die selbe Maschine. Schau dich um auf der Maschine, man findet sehr leicht das Verzeichnis mit der Software. @dumdideldum Feigling, es genügen ein paar Wörter. Ahmed dankt ServerPlanet für die Unterstützung im Kampf gegen den Imperialismus Sloter

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)