Server gehackt - Seite 2

valo · 22.08.2002, 12:45

port 777 wird von serv u verwendet...

serv u is ab v3 in 2 teile geteilt... das server programm und das config/admin programm, diese kommuniziern über den port 777...

pong · 22.08.2002, 12:52

>>User2=leech|1|0

es wird halt irgendwer gwesen sein, und um anleitungen etc. zu sowas zu finden reicht google und a bissl zeit aus.. traurig aber wahr

LouCypher · 22.08.2002, 13:03

Was ich an der ganzen sache nicht verstehe, ist dass wenn man so einen ftp server einrichtet muss es auch leute geben die ihn benutzen. Es wurden seitdem zwar einige zugriffe auf port 21 registriert allerdings auch nicht mehr als vorher ausserdem waren alle an die ip des routers und nicht an die ip des servers gerichtet. Zugriffsversuche auf port 777 gabs überhaupt keine.

valo · 22.08.2002, 14:03

die zugriffe auf port 777 laufen ja auch auf dem gleichen rechner ab, zumindest meistens... kann aber sein, dass da einfach nur die essentiellen dateien rüberkopiert wurden und das wars... und die config schon vorher gemacht wurde...

BOfH · 22.08.2002, 14:05

Ob es klug wäre, die gehackte Maschine gleich zu benutzen ?

LouCypher · 22.08.2002, 14:33

2 sachen verstehe ich noch immer nicht, wie sind kanpp 4 GB an warez auf den server gekommen, und wieso gibts absolut keine verdächtigen zugriffe von aussen? Über eine terminal sitzung kann man ja keine daten übertragen, und das pw von der firewall kannte nur ich und dass war sicher. Laufwerk c hatte nur die standard c$ administrative freigabe, dh. nur der admin hätte da was reinkopieren können. Die einzige erklärung für mich ist dass sich jemand vor ort als admin eingeloggt hat und das ftp programm sowie die software rüberkopiert hat. Ich hab halt auditing für alle benutzer in diesem ordner aktiviert und werd mal sehen was sich tut.

Eine sache gibts noch, 2 tage nachdem dieses ftp zeug installiert wurde an einem freitag nachmittag war die internet verbindung im eimer. Ping response zeiten von 9 Sekunden (ja NEUN, 9000ms), router resets brachten nichts, erst ein server reboot am montag hat das problem für ein paar stunden gelöst danach gings wieder los. Man könnte meinen dass da die warez kopiert wurden, allerdings hat die firewall nichts auffälliges gemeldet, die logs haben mich trotz verbindungsproblemen erreicht. Es gab nur zugriffsversuche auf die firewall keinen einzigen auf die ip adresse des servers

BOfH · 22.08.2002, 14:37

Steht dieser Server beim Kunden ? Wer weiß schon wieviele witzige Mitarbeiter in einer Firma einen Drang haben, am Server rumzufummeln

exeron · 22.08.2002, 14:45

Ich glaube es gibt genug dumme User die denken, dass es keiner merken würde das sie einen FTP Server rennen lassen und etwas Warez verbreiten. Du wirst diesen DAU gleich gefunden haben

.

LouCypher · 22.08.2002, 14:57

Glaubts mir dort gibts keinen der sowas zsammbringen würde, vielleicht ein sicherngsband wechseln oder einen pc einschalten, aber software installieren ... nie

is ein reiner dau verein, ausserdem gibts nur 5 mitarbeiter.

exeron · 22.08.2002, 15:16

DAU's machen auch das unmögliche möglich.
Aber Sicherungsband wechseln ist eh eine gute Leistung

22.08.2002, 12:45	#11
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	port 777 wird von serv u verwendet... serv u is ab v3 in 2 teile geteilt... das server programm und das config/admin programm, diese kommuniziern über den port 777... ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

22.08.2002, 12:52	#12
pong Inventar Registriert seit: 25.12.2000 Alter: 41 Beiträge: 9.063 Mein Computer	>>User2=leech\|1\|0 es wird halt irgendwer gwesen sein, und um anleitungen etc. zu sowas zu finden reicht google und a bissl zeit aus.. traurig aber wahr ____________________________________ \"Ein Gewitter reinigt die Luft\", sagte der Mann, nachdem ein Blitz seine Frau erschlug Nicht klicken! Erstposteralarm/Beschwerde/Kummerkasten Verplattet

22.08.2002, 13:03	#13
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Was ich an der ganzen sache nicht verstehe, ist dass wenn man so einen ftp server einrichtet muss es auch leute geben die ihn benutzen. Es wurden seitdem zwar einige zugriffe auf port 21 registriert allerdings auch nicht mehr als vorher ausserdem waren alle an die ip des routers und nicht an die ip des servers gerichtet. Zugriffsversuche auf port 777 gabs überhaupt keine. ____________________________________ Greetings LouCypher

22.08.2002, 14:03	#14
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	die zugriffe auf port 777 laufen ja auch auf dem gleichen rechner ab, zumindest meistens... kann aber sein, dass da einfach nur die essentiellen dateien rüberkopiert wurden und das wars... und die config schon vorher gemacht wurde... ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

22.08.2002, 14:33	#16
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	2 sachen verstehe ich noch immer nicht, wie sind kanpp 4 GB an warez auf den server gekommen, und wieso gibts absolut keine verdächtigen zugriffe von aussen? Über eine terminal sitzung kann man ja keine daten übertragen, und das pw von der firewall kannte nur ich und dass war sicher. Laufwerk c hatte nur die standard c$ administrative freigabe, dh. nur der admin hätte da was reinkopieren können. Die einzige erklärung für mich ist dass sich jemand vor ort als admin eingeloggt hat und das ftp programm sowie die software rüberkopiert hat. Ich hab halt auditing für alle benutzer in diesem ordner aktiviert und werd mal sehen was sich tut. Eine sache gibts noch, 2 tage nachdem dieses ftp zeug installiert wurde an einem freitag nachmittag war die internet verbindung im eimer. Ping response zeiten von 9 Sekunden (ja NEUN, 9000ms), router resets brachten nichts, erst ein server reboot am montag hat das problem für ein paar stunden gelöst danach gings wieder los. Man könnte meinen dass da die warez kopiert wurden, allerdings hat die firewall nichts auffälliges gemeldet, die logs haben mich trotz verbindungsproblemen erreicht. Es gab nur zugriffsversuche auf die firewall keinen einzigen auf die ip adresse des servers ____________________________________ Greetings LouCypher

22.08.2002, 14:05	#15
BOfH Veteran Registriert seit: 05.01.2000 Alter: 49 Beiträge: 380	Ob es klug wäre, die gehackte Maschine gleich zu benutzen ?

22.08.2002, 14:37	#17
BOfH Veteran Registriert seit: 05.01.2000 Alter: 49 Beiträge: 380	Steht dieser Server beim Kunden ? Wer weiß schon wieviele witzige Mitarbeiter in einer Firma einen Drang haben, am Server rumzufummeln

22.08.2002, 14:45	#18
exeron Veteran Registriert seit: 31.07.2001 Alter: 41 Beiträge: 349	Ich glaube es gibt genug dumme User die denken, dass es keiner merken würde das sie einen FTP Server rennen lassen und etwas Warez verbreiten. Du wirst diesen DAU gleich gefunden haben . ____________________________________ Never change a running system !!!

22.08.2002, 14:57	#19
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Glaubts mir dort gibts keinen der sowas zsammbringen würde, vielleicht ein sicherngsband wechseln oder einen pc einschalten, aber software installieren ... nie is ein reiner dau verein, ausserdem gibts nur 5 mitarbeiter. ____________________________________ Greetings LouCypher

22.08.2002, 15:16	#20
exeron Veteran Registriert seit: 31.07.2001 Alter: 41 Beiträge: 349	DAU's machen auch das unmögliche möglich. Aber Sicherungsband wechseln ist eh eine gute Leistung ____________________________________ Never change a running system !!!

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)