Jump to content
powie.de Tech Forum
Sign in to follow this  
efcidstein

uplad in pfile durch hacker

Recommended Posts

Guest

Er schrieb, der Server gehört einem Freund (oder so ähnlich). Freunde sind die häufigsten Schabernackanwender! ;-):-o

Share this post


Link to post
Share on other sites

da muss ich mich mal einmischen...also das der bekannte da unfug getrieben hat schliesse ich zu 100% aus.

1. hätte er nichts davon, denn aus dem alter der bösenbuben-streiche is er raus und gehört genau so zu dem efc wie wir alle. is also an einem einwandfreien funktionieren der seite genauso interessiert wie wir alle.

2. er is "capo dei capi" von dem server...wenn wer böses wollen würde, dann könnte er es viel geschickter anstellen und mit viel einfacheren mitteln.


ich vermute das jemand mein password gehackt hat.....mit etwas ausprobieren wäre es möglich gewesen an dieses zu kommen.

da ich wohl auch der einzige bin, dem solche probleme passiert sind, geh ich mal davon aus.


wenn ihr keine andere möglichkeit seht, wie der hacker die datei auf den server bekommen hat, dann wird es wohl so sein....nichts desto trotz hab ich inzwischen rückmeldung vom server-betreiber. er schaut nach den log-files....sobald sie vorliegen und analysiert wurden schick ich sie powie zur sicherheit nochmals zu...sofern bis dahin noch keine gesicherten ergebnisse vorliegen

Share this post


Link to post
Share on other sites

ok....


Aber ich glaube ich kann dich beruhigen. Das passiert nicht nur dir!


Mir ist vor einiger Zeit ähnliches wiederfahren. Es war weitaus schlimmer, bei mir war auf einer Maschine plötzlich die gesammte HTML Docroot verschwunden. Ein Blick in die Shell Historie zeigte einen Move in ein lustiges Verzeichniss. War also alles noch da. Der "Bösewicht" hatte mein root Passwort geknackt. Das war auch daran festzumachen das ich in anderen LOG Files feststellen konnte das es vorher unzählige erfolglose Anmeldeversuche an der SSH gab. Mein passwort war zwar nicht zu erraten, aber offensichtlich gibt es genug klevere Tools die auch sowas "kombinieren" konnten.


Seitdem sind meien Passwörter nur noch absolut sinnlose Zeichen/Zahlenfolgen in denen keinesfalls irgendein sinnvolles Wort steckt.

Share this post


Link to post
Share on other sites

Zum Thema SSH:

den SSH-Dämon auf einem anderen Port laufen lassen, einen eigenen User anlegen der sich gerademal per SSH anmelden darf und dann per "su" als root anmelden :ugly:

Share this post


Link to post
Share on other sites
Guest
den SSH-Dämon auf einem anderen Port laufen lassen

Hilft begrenzt. Es ist zu beobachten, dass die Scanner nun auch andere Ports scannen.


einen eigenen User anlegen der sich gerademal per SSH anmelden darf

PermitRootLogin ist ein guter Schritt. Bitte noch mit Key-Authentifizierung kombinieren.


dann per "su" als root anmelden

Schlechte Idee. Lieber Befehle per sudo aufrufen. Wer ständig root ist macht leicht kritische Sachen kaputt.


nb:

Man sollte gelegentlich ein Backup von Files und deren Meta-Infos machen. aide oder tripwire sind auch nicht übel.

Share this post


Link to post
Share on other sites

so, die log-files hatte ich mittlerweile bekommen. allerdings kann ich daraus nicht viel erkenne.

in der access_log.txt war folgendes, für den in frage kommenden zeitraum ersichtlich:


87.118.96.178 - - [30/Nov/2006:17:49:08 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 303 "-" "-"

87.118.96.178 - - [30/Nov/2006:17:49:08 +0100] "GET /" 400 974 "-" "-"

213.246.61.91 - - [30/Nov/2006:18:01:33 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 303 "-" "-"

218.162.131.208 - - [30/Nov/2006:19:04:36 +0100] "CONNECT 168.95.4.211:25 HTTP/1.1" 405 961 "-" "-"


in der error_log.txt das folgende:

[Thu Nov 30 17:49:08 2006] [error] [client 87.118.96.178] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

[Thu Nov 30 18:01:33 2006] [error] [client 213.246.61.91] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)


die zeiten passen in etwa zum zeitpunkt des reinspielens des skriptes. aber besonders viel kann ich daraus nicht erkennen...

gibt es noch eine weitere log-datei die vielleicht näheres verbirgt?

Share this post


Link to post
Share on other sites
Guest

Das hat auch nichts mit dem Hack zu tun. Keiner er Aufrufe war erfolgreich (400er-Statuscodes).

Share this post


Link to post
Share on other sites
Guest
You are commenting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×