Hallo Leute,
ich habe heute zufällig mitbekommen, dass sich da jemand in meinen Server eingeschliechen hat.
Einer meiner User hatte wohl ein schwaches Passwort (er selber benutzt immer einen RSAkey).
Der Eindringling hatte einen psyBNC-Bouncer in /dev/shm/.../.bash installiert und die exe "ps x" genannt. Mich hat dann nur gewundert, warum ein "ps x" schon 6 Tage läuft und an Port 4321 lauscht o.O
Ich hab mal ein bissl in der psyBNC config und den Logs geschaut und festgestellt, dass es ein Rumänia ist :)
Ich habe nun psyBNC geöscht und das Passwort des Users geändert.
Ich hatte aber gestern kurz nach seinem Login kurzzeitig eine riesen Last von über 40 auf dem Server und zur selben Zeit wurde ein riesen Traffic verursacht.
Hat jemand eine Ahnung, wie ich rausfinden kann, was da passiert ist? In den Logs kann ich nichts finden.
"Hacker" auf Server
-
ponchofiesta
- Posts: 48
- Joined: 2005-12-07 12:25
- Location: Luckau
- Contact:
Re: "Hacker" auf Server
Schätze mal er hat den psyBNC als Warez Ã?berbringer genutzt
Re: "Hacker" auf Server
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
ponchofiesta
- Posts: 48
- Joined: 2005-12-07 12:25
- Location: Luckau
- Contact:
Re: "Hacker" auf Server
Er hatte ja nur die Reche dieses Users, also konnte er ja nicht allzuviel anrichten.
Der psyBNC wurde auch tatsächlich zum Chatten genutzt. Es gab 4 User, die auch täglich eingeloggt waren und gechattet haben.
Der psyBNC wurde auch tatsächlich zum Chatten genutzt. Es gab 4 User, die auch täglich eingeloggt waren und gechattet haben.
Re: "Hacker" auf Server
Genau, und nur um zu chatten hackt man sich in einen Server SCNR
Gruß Christian
BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
-
ponchofiesta
- Posts: 48
- Joined: 2005-12-07 12:25
- Location: Luckau
- Contact:
Re: "Hacker" auf Server
Man kann es ja eigentlich nicht als Hacken bezeichnen (daher auch in Anführungszeichen), denn er hat ja einfach Glück gehabt, dass der User so ein leichtes Passwort hatte.
-
djholliday
- Posts: 26
- Joined: 2004-11-23 16:18
- Location: Nürnberg
Re: "Hacker" auf Server
Es ist egal wie der Hacker (Cracker) auf dein System gekommen ist.
Fakt ist, dein System ist gehackt worden.
Jetzt sollte die Standardprozedur ablaufen
- Rescuemodus booten
- Logfiles sichern
- Rechner neu aufsetzen
wer sagt denn, dass der Benutzer keinen Kernelexploit ausgenutzt hat um ein Rootkit zu installieren und somit das ganze System zu kompromitieren?
Just my 2 cent ...
Fakt ist, dein System ist gehackt worden.
Jetzt sollte die Standardprozedur ablaufen
- Rescuemodus booten
- Logfiles sichern
- Rechner neu aufsetzen
wer sagt denn, dass der Benutzer keinen Kernelexploit ausgenutzt hat um ein Rootkit zu installieren und somit das ganze System zu kompromitieren?
Just my 2 cent ...