HILFE HACKER AM WERK!!!!

Dieses Thema im Forum "Webserver (Software): Linux, Unix, etc." wurde erstellt von dslthomas, 31. März 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. dslthomas

    dslthomas New Member

    Registriert seit:
    3. August 2002
    Beiträge:
    34
    Ich schaue gerade meine Webseiten durch und da muß ich feststellen, dass sich jemand an meinem Account zu schaffen gemacht hat und eine Seite verändert hat!!!!!! Jetzt denke ich mir aber, dass es sicherlich nachzuvollziehen ist, welche IP das war!? Wie stelle ich das an? Ich weis, dass es gestern noch in Ordnung war! Man hat eine index.php geändert und folgenden Text reingeschrieben:
    owned by N1tr0f4n

    team Black Tigerz www.blacktigerz.org

    HACKERS against WAR!

    In Welcher Datei steht auf einem Linux Suse 7.2 mit Confixx Pro 1.65 basierendem Server der entsrechende Eintrag?????? Wie finde ich heraus, wer das war????

    Es ist dringend!!!!!! Danke!
     
  2. cegner

    cegner Eingetragener Provider

    Registriert seit:
    16. Juli 2001
    Beiträge:
    140
    Firmenname:
    Configo Systems GmbH
    Anbieterprofil:
    Klick
    Erst das Handwerk lernen, dann mit Servern spielen.

    Gruss,
    Christof
     
  3. HH | cubos-Internet GmbH

    HH | cubos-Internet GmbH Eingetragener Provider

    Registriert seit:
    26. Juli 2002
    Beiträge:
    1.965
    Ort:
    Aachen
    Firmenname:
    Net-Publics ® GbR
    Anbieterprofil:
    Klick
    http://www.server-inspektion.de
     
  4. dslthomas

    dslthomas New Member

    Registriert seit:
    3. August 2002
    Beiträge:
    34
    Danke, sehr witzig! Solche blöden Sprüche kannst Du Dir verkneifen! Da Du nichts konstruktives zu diesem Thema beitragen kannst, scheint es mit Deinem Wissen ja auch nicht weit bestellt zu sein!
     
  5. dslthomas

    dslthomas New Member

    Registriert seit:
    3. August 2002
    Beiträge:
    34
    Damit meine ich cegner
     
  6. cegner

    cegner Eingetragener Provider

    Registriert seit:
    16. Juli 2001
    Beiträge:
    140
    Firmenname:
    Configo Systems GmbH
    Anbieterprofil:
    Klick
    keine ahnung haben, hilfe verlangen und dann um sich schiessen *LOL*
     
  7. micky

    micky New Member

    Registriert seit:
    1. Juli 2002
    Beiträge:
    176
    hi..


    schaue dir erstmal die .bash_history im root verzeichnis an, ob jemand sich schon als root gleich eingeloggt hat !

    unter usr/log wirst du alle deine anderen logdateien finden !

    ausserdem alle passwörter ändern und dann alle ports die nicht benötigt werden, dicht machen !

    zb. mit einer firewall oder noch besser gleich mit iptables

    falls du interesse hast, könnte ich dir helfen deine kiste dicht zu machen !

    alle standartserverpakete die es so auf dem markt gibt, sind sowieso öffene türen !

    auch confixx ohne die nötigen sicherheitspatches gibt vielen eine einladung !

    gruss micky..
     
  8. dslthomas

    dslthomas New Member

    Registriert seit:
    3. August 2002
    Beiträge:
    34
    Danke Für die Hilfe! Also, ich habe gerade in Usr/log nachgeschaut, da sind nur http zugriffe gespeichert und keine ftp!? Ich gehe mal davon aus, dass sich jemand über ftp eingeloggt hat und diese index.php überschrieben hat. Wo sind diese FTP Zugriffe verzeichnet? Werden diese Zugriffe überhaupt aufgezeichnet?


    Danke!
     
  9. Guest

    Guest Guest

    waah. tu allen einen gefallen und schalte die kiste
    *sofort* ab.. ah, keine widerrede.. SOFORT!
    dann fahr zu deinem server und schau's dir vor ort an..
    (oder lass' es besser anschauen..)
     
  10. fjeromin

    fjeromin New Member

    Registriert seit:
    14. Mai 2001
    Beiträge:
    331
    Ort:
    München
    das ganze war nicht rein zufällig ein YaBB SE-Forum? das hat nämlich eine sicherheitslücke, die es ermöglicht, sowas zu machen.
     
  11. Guest

    Guest Guest

    > das ganze war nicht rein zufällig ein YaBB SE-Forum? das
    > hat nämlich eine sicherheitslücke, die es ermöglicht,
    > sowas zu machen.

    guggsdu..

    > In Welcher Datei steht auf einem Linux Suse 7.2 mit
    > Confixx Pro 1.65 basierendem Server der entsrechende
    > Eintrag??????

    no comment...
    beachtet man dann noch die reaktion des betreibes und
    seine interpunktion, dann ist doch wohl alles klar :/
     
  12. dslthomas

    dslthomas New Member

    Registriert seit:
    3. August 2002
    Beiträge:
    34
    Also, hier mal für alle die "sehr schlau" davon reden, besser die Finger von "sowas" zu lassen:

    Ich habe einen Server bei Server4free mit Webseiten MEINER FAMILIE! Ich versuche mich NICHT als Internetprovider!!!!!!!!! Diese Möglichkeit war nur günstiger als Webspeicher bei Strato & Co, da ich SQL, PHP etc. benötige! DAS WARS! Das "Ding" abschalten ist zwar ne Möglichkeit, aber doch sehr unrealistisch! Ich habe alle Zugangskennungen geändert und FTP gesperrt. Somit kann dies nicht noch einmal passieren! Worum es mir hier geht, ist ganz einfach - Eine ANZEIGE!!! Ich finde es zum (tschuldigung)....kotzen wenn solche möchtegern die Arbeit von anderen zerstören wollen! Die meißten privaten Homepages sind nicht schön, es steckt aber trotz dem eine Menge Arbeit und Zeit drinn und die möchte ich mir nicht kaputt machen lassen! Wenn hier einige denken, aufgrund mehr wissens über die Handhabung von Webservern, dass zerstören von Webseiten zu rechtfertigen - frei nach dem Motto: "selber Schuld" dann ist das zum einem sehr traurig und zum anderen ..... nein, dass lasse ich lieber!

    Leute, bitte, es gibt Menschen die konstruktive Beiträg vorziehen! Und ich denke doch, dass der Gedanke dieses Boards genau dies bezwecken soll!

    Danke!
     
  13. Guest

    Guest Guest

    > Ich habe einen Server bei Server4free mit Webseiten
    > MEINER FAMILIE! Ich versuche mich NICHT als
    > Internetprovider!!!!!!!!! Diese Möglichkeit war nur

    das hat niemand behauptet, darum geht's auch gar nicht..

    > günstiger als Webspeicher bei Strato & Co, da ich SQL,
    > PHP etc. benötige! DAS WARS! Das "Ding" abschalten ist

    das war's nicht. strato & co, wissen schon warum das
    "sooo teuer" ist. es gibt leute, die die kisten
    administrieren muessen, da sie sonst eine gefahr fuer
    die allgemeinheit darstellen.

    > zwar ne Möglichkeit, aber doch sehr unrealistisch! Ich

    nein. jeder der ahnung hat weiss, dass genau *das* die
    angebrachte reaktion ist. abschalten, singleusermode
    booten (oder multiuser ohne netzwerkkabel) und analysieren.

    > habe alle Zugangskennungen geändert und FTP gesperrt.

    moeep. die kamen ggf. auch ueber ssh oder weiss der
    geier, http rein? vll. auch ueber confixx. who knows.
    du weisst es nicht genau, insofern kannst du nicht
    100% sicher sein, dass die nicht mehr draufkommen.

    > Somit kann dies nicht noch einmal passieren! Worum es

    eben nicht, s.o.

    > mir hier geht, ist ganz einfach - Eine ANZEIGE!!! Ich

    ja. voellig legitim. aber es ist u.U. nicht einfach,
    nachzuvollziehen, wer da reinkam. sowas kostet zeit
    und erfahrung. mindestens eins davon hast du nicht.
    also musst du's einkaufen..

    > finde es zum (tschuldigung)....kotzen wenn solche
    > möchtegern die Arbeit von anderen zerstören wollen! Die

    moechtegern? ich glaube die leute hatten mindestens
    mehr ahnung als du. wenn du es ihnen nicht sehr einfach
    gemacht hast und sie einfach ein rootkit benutzt haben
    (wovon ich jetzt aber einfach mal ausgehe), dann sind
    sie u.U. sogar sehr clever (zumindest was den kreativen
    umgang mit linux angeht)

    > meißten privaten Homepages sind nicht schön, es steckt
    > aber trotz dem eine Menge Arbeit und Zeit drinn und die
    > möchte ich mir nicht kaputt machen lassen! Wenn hier
    > einige denken, aufgrund mehr wissens über die Handhabung
    > von Webservern, dass zerstören von Webseiten zu
    > rechtfertigen - frei nach dem Motto: "selber Schuld"
    > dann ist das zum einem sehr traurig und zum anderen
    > ..... nein, dass lasse ich lieber!

    [ ] du verstehst worum es geht.

    > Leute, bitte, es gibt Menschen die konstruktive Beiträg
    > vorziehen! Und ich denke doch, dass der Gedanke dieses
    > Boards genau dies bezwecken soll!

    klar. aber es gibt leute, die konstruktive beitraege
    nicht verstehen (gruende dafuer lassen wir mal ungenannt)
    koennen / wollen.
     
  14. rolf1212

    rolf1212 Erfahrener Benutzer

    Registriert seit:
    24. Februar 2001
    Beiträge:
    2.467
    Ort:
    Saarbrücken/Frankfurt
    Hi,

    wenn Du willst, können wir gerne mal zusammen telefonieren.

    Email ist an Dich raus.

    Grüsse
    Rolf
     
  15. chinthai

    chinthai New Member

    Registriert seit:
    10. Oktober 2000
    Beiträge:
    211
    dslthomas

    eine Anzeige dürfte keinen großen Erfolg haben.
    Vermutlich kommt der Hacker aus Russland, zumindest geht
    der Trace in diese Richtung.
     
  16. micky

    micky New Member

    Registriert seit:
    1. Juli 2002
    Beiträge:
    176
    hi..

    ich würde mir auch mal die ersten logs nach änderung der index.php anschauen,
    der hacker hat sich bestimmt sein ergebnis auf der seite angeschaut !


    gruss micky..
     
  17. dslthomas

    dslthomas New Member

    Registriert seit:
    3. August 2002
    Beiträge:
    34
    Danke! Es gibt doch noch eine vernüntige Argumentation! Also, dass mit dem auf dem Server gelangen stelle ich mir so vor: Es ist nur ein Account betroffen und es wurde eine php Datei überschrieben, daher "Reime" ich mir das so zusammen: Wäre ich ein Hacker und würde Zugang zu Confixx erlangen, dann würde ich... hmmmm... weis nicht, aber sicher mehr als "nur" eine Datei verändern!? Gleiches denke ich über ssh. Trotz alledem habe ich den ssh-Zugang geändert und ein Script installiert, was die IP´s genauer speichert. Diese wiederum werden alle extra gesichert, sodass immer eine kopie vorhanden ist. Den Betroffenen Zugang habe ich erst einmal mit den alten Zugangsdaten belassen, in der Hoffnung "man will sich sein meißterwerk" noch einmal anschauen. Die Webseite habe ich auch nicht geändert - wie gesagt, in der Hoffnung, dass derjenige noch mal nachschaut und ich eine zweite IP des Verursachers habe. Die IP´s reiche ich dann an die zuständigen Provider weiter und sollten zwei IP´s dem gleichem User zugeordnet werden, sollte es klaar sein. (Vorausgesetzt derjenige geht nicht via Proxy Online)

    Habe ich da einen denkfehler??? Habe mit der Telekom gesprochen, die meinten, dass wäre so OK!?
     
  18. dslthomas

    dslthomas New Member

    Registriert seit:
    3. August 2002
    Beiträge:
    34
    Ja, habe ich auch schon gesehen, aber ich denke das dies nur "spinnerei" ist, denn die Domain gibt es auch nicht die angegeben wurde! Die ist noch nicht mal vergeben!
     
  19. rolf1212

    rolf1212 Erfahrener Benutzer

    Registriert seit:
    24. Februar 2001
    Beiträge:
    2.467
    Ort:
    Saarbrücken/Frankfurt
    Es muss nicht unbedingt das Passwort gewesen sein, welches er erraten hat. Sind auf dem Server noch andere Fremdbenutzer eingerichtet. Hast Du schon ein Kernelupgrade vorgenommen? Ist dein Mailer die neuste Version, nutzt Du vielleicht einen alten Bind? Hast Du einen Proftpd mit dem Confixx Patch drauf (Achtung Exploit)? Hast Du alle Pakete aufgerüstet, welche als Errata gekennzeichnet sind und per Netzwerk kommunizieren (Dies nur, wenn keine anderen Benutzer auf dem Server sind, ansonsten alle)? Drauf geachtet, dass Du keinen Wurm auf dem Server hast (Prüf mal nach, wann die Dateien "ps", "ls", "top" usw. das letzte mal geändert wurden). Es gibt millionen Möglichkeiten, um einen Zugriff als Root oder als unpriviligierter Benutzer zu bekommen. Welche Benutzerrechte hatte die ausgetauschte Datei? Gehörte Sie root oder dem Webserverbenutzer. Hast Du einen aktuellen Apache drauf?

    Grüsse
    Rolf

    P.S. Daher wollte ich eigentlich mit Dir telefonieren. Dann hätten wir die Möglichkeiten eingrenzen können.
     
  20. dslthomas

    dslthomas New Member

    Registriert seit:
    3. August 2002
    Beiträge:
    34
    Ach mensch, das ist ja das "blöde" dass es so viele Möglichkeiten gibt! Also, Benutzer sind zwar einige eingerichtet, aber ich bin der einzige der die Zugangsdaten kennt! Die Paßwörter sind auch alle von confixx vergeben, die habe ich erst einmal alle in mit verlaug gesagt völlig irsinnige und sehr lange Paßwörter ausgetauscht. Die Updates sind eigentlich alle gemacht wurden. Kann sich nicht mal jemand (nach absprache) versuchen auf den Server zu hacken???? Mich würde wirklich interessieren ob es noch funktioniert, denn ich habe mittlerweile viel unternommen um den Server ..... na ja zumindest etwas sicherer zu machen!?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen