RootForum Community

hi leude,

mein rootie wurde heute gehackt!

und zwar von dieser ip: 201.0.234.143 (höchstwahrscheinlich)

es wurde "nur" alle index seiten durch statische seiten ersetzt.

hier der inhalt:

sh-2.05a# uname -a;id;cat /etc/issue

Linux ..... 2.4.18 #1 SMP Fri Aug 9 13:15:20 CEST 2002 i686 unknown

unknown uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),5(tty),6(d isk),10(wheel)

Welcome to SuSE Linux 7.2 (i386) - Kernel r (l).

m4dsk4t3r@hotmail.com

Fuck all governments !!!


scheint die gleiche gruppe zu sein wie bei:

http://www.grabmal24.de/
http://www.gundem.com.tr/
http://www.hewett-kier.com/
usw.... suche im google ergibt coole ergebnisse

wie haben die es geschafft?`

cu

edei

ps:
logfiles sagen nix aus!

Meine Glaskugel zum Wahrsagen ist leider kaputt. Sie ist mir gestern vom Schreibtisch gefallen. Wie wärs mal mit Logfiles? Wenn du die entsprechenden Abschnitte postest, können dir vielleicht einige Leute beim Rekonstruktieren helfen. Allerdings würde es mich überraschen, wenn dein Besucher die Logfiles nicht gelöscht hat.

da es sich wahrscheinlich um einen größeren angriff auf einige server handelt, dachte ich, dass es vielleicht jemand bereits kennt!

http://www.google.de/search?q=m4dsk4t3r ... 8&filter=0

Wieso bist du dir so sicher, dass die Logfiles nichts aussagen?
Sind sie nun gelöscht oder nicht? Ich fürchte ohne Logfiles wird dir keiner helfen können.

sorry, wollte schreiben: logfiles gelöscht!

jo wenn sich das so verbreitet weiss denn niemand wo hier die Tür offen war/ist???

Seitdem das neue Sicherheitsleck offen ist tummeln sich wieder nen haufen möchtegern Scriptkiddies im Netz.

Der Ausgabe entnehme ich auch das du nen uralten Kernel einsetzt.

Es läuft ned zufälllig PHPNuke ?
Oder nen Gameserver ?

PS: Nen Useraccess zu bekommen is ned schwer da reichen kleine Lücken

phpnuke läuft drauf!

könnte das aber mit dem php 4.06 zusammenhängen?

ich weiss, dass keiner von euch ein wahrsager usw. ist, aber ich dachte einfach, durch die häufigkeit dieser attacken würde jemand schon genau wissen was es diesemal ist!

danke

edei

Ok folgende Theorie:

Jemmand is durch eine der vielen Sicherheitslücken in phpNuke eingedrungen. Und hat dann den neuen root explo ausgeführt. Fertig.

Die Uhralte PHP war dabei sicherlich nich hinterlich

So wie es scheint stecken die dahinter
das is übrigens ne tolle liste

http://www.delta5.com.br/mirror/

Ich hoffe ich stecke irgendwann dort nicht drauf

hi leude,

nun ist es klar woran es lag das mein server gehackt werden konnte:

http://nukecops.com/postp74178.html

also ein hinweis an alle die phpnuke mit dem my_egallery module einsetzen!

cu

edei

Solche Angriffe gegen unsichere PHP-Skripte sind leider keine Seltenheit. Sehr lesenswerter Artikel hierzu auch siehe http://www.securityfocus.com/guest/24043

Und ganz ehrlich: wer PHPNuke einsetzt ist selbst Schuld. ;)

da muss ich CaptainCrunch nur zustimmen.
Der Code ist teilweise so schrecklich :(

danke für eure comments!

ja ich nutze phpnuke, und ich weiss das ich selber schuld bin!

aber darum geht´s doch nicht, oder wollen wir einen glaubenskrieg vom zaun brechen?

Nein, das will niemand. Aber mir wurde phpNuke auch zu heiss, leider sind dort zu viele Probleme für meinen Geschmack vorhanden. Andauernd hört man von extremen Sicherheitslöchern bei denen und Dein Server ist ja mal wieder der beste Beweis.

Für mich wäre (war) das ein Grund, Nuke lebewohl zu sagen. Ok, ich wurde (noch) nicht gehackt aber die Chancen mit Nuke sind einfach höher und so wichtig kann kein Skript sein, daß man die Gefahren ignoriert ....

Ok, wenn ich nur Webspace auf nem fremden Rechner hätte, wäre mir das nicht ganz so wichtig, auch wenn ich dort durch die Installation von Nuke in Rechenschaft gezogen werden könnte.

Gruß Outi

PS: Sorry für die "kurze" Rede aber wenn Dir mehrere Leute sagen "Kauf Dir nicht den Tresor von Humpelpumpel, der hat keine Rückwand", dann würde ich mir zumindest Gedanken darüber machen, selbst wenn Humpelpumpel die Rückwand mit Pappe flickt.

wenn ich mir nur kurz alle sicherheitslöcher(nicht nur nuke) der letzten 12 monate in erinnerung rufe, bleibt nur ein schluß: offline zu gehen!

es tut mir auch leid, euch mit meinen probs genervt zu haben!

cu

edei

Nur, falls das falsch rübergekommen ist (oder du den Smiley übersehen haben solltest ;) ) : ich wollte dich durch den Spruch nicht "schief von der Seite anmachen", sondern nur darauf hinweisen, dass PHPNuke nun einmal eine offene Einladung an sämtliche Scriptkiddies dort draußen ist.

bleibt nur ein schluß: offline zu gehen!

Ich sag's gerne mal wieder: "Sicherheit" gibt es nicht, man kann nur versuchen, das Risiko so klein wie möglich zu halten.

Nein, Du hast nicht genervtm, das war alles nur als gut gemeinter Rat zu verstehen. Sinvoll ist es eben, dem Schaden immer ein Stückchen voraus zu sein, sich also immer informieren und wenn einem die Sache nicht mehr gewachsen ist, entsprechend zu handeln. Offline wäre zwar die einfachste und sicherste Lösung aber was wäre die Welt heute ohne Risiko.

Wenn ich Angst habe einen Unfall zu haben, dann darf ich auch nicht mehr vor die Tür gehen. Wenn mir aber jemand sagt "Fahradfahren ohne Bremse führt irgendwann zum Unfall", überlege ich mir, ob ich dann nicht doch lieber auf was anderes Umsteige.

Ich hoffe, dieser Vergleich (ja, meine sind nie die Besten, ich weiss) zeigt Dir ein wenig, wie die Sache gemeint war. Vielleicht habe ich mich auch anstochern lassen, da gerade Nuke ein Pulverfass ist und Du den Eindruck erwecktest, daß Du ohne Nuke nicht weitermachen willst.

Sorry, so sollte das nicht rüberkommen.

Gruß Outi