Page 1 of 1
hackerangriff???
Posted: 2002-12-27 02:47
by ssh3.de
Hallo,
Ich habe folgendes Problem:
meine Seite auf meinen Server ist zu 80% gelöscht worden! Laut dem Logdateien auf dem Server wahr das aber ich???? Ich wahr der letzte vor der löschung und und erster nach der löschung.
Ich habe die ganze /var/log/messages durchgekemmt.
Ich habe aber gestern abend auf dem
config.puretec.de
die lizenz für confixx 1.6 Pro beantragt. Habe aber ncihts am system gemacht.
Keiner kennt die daten!
Wie konnte es geschehen sein? Wieso ist dann nicht alles weg nur meine Homepage unter
/home/www/web1/html
und die sicherheitskopie die unter einen ganz anderen verzeichniss lag???
Das kann doch kein zufall sin?
Hat da jemand neIdee um da uf die schliche zu kommen?
MfG
Filip
:evil:
Re: hackerangriff???
Posted: 2002-12-27 08:55
by captaincrunch
Wie wr das doch gleich mit der Glaskugel, die gerade in der Reinigung ist ?
Re: hackerangriff???
Posted: 2002-12-27 11:18
by floschi
Nungut, wenn dann handelt es sich wohl eher um einen Cracker, nicht um einen Hacker.
Desweiteren, kannst nur du beurteilen, wie sicher dein Passwort wirklich war, wer alles noch Zugang zum Rechner hat (auch per FTP usw.) und evtl. irgendwelche dummen Skripte einschleusen konnte (PHP, Perl usw.), die sowas machen können (z.B. auch per Upload-Funktion)? PHP-Nuke & Konsorten sind da sehr berühmt für diese Lücken...
Wenn wirklich ein "Cracker" bei dir war, ist er wenigstens intelligent genug gewesen, seine Spuren zu verwischen... scheint ja mangels Sicherheitseinstellungen kein größeres Problem zu sein (sxid, logcheck, syslog-ng,...).
Eventuell, aber wirklich nur ganz eventuell hat sich jemand deine 1&1-Daten geschnappt, sofern du von 1&1 unterrichtet wurdest (per Email, die genau das anspricht). Wenn nicht, scheidet diese Möglichkeit insofern aus, dass du ein sicheres Kennwort im Kundenlogin nutzt.
Wobei diese Möglichkeit dann auch wieder ausscheidet, weil einen Reboot müsstest du in den Logfiles ja sehen.
Fazit: Was du wie unsicher oder sicher konfiguriert hast (Passwörter!), kannst nur du wissen.
Gruß
Olfi ;)
Klingonische hölle
Posted: 2002-12-28 13:23
by ssh3.de
Ich habe mein Passwort für mein FTP ziemlich gut gewählt. Wieviel % der Befölkerung guckt Startrek und vieviele davon können den ausdruck der Klingonichen hölle.
Und wieviele davon kennen mich und hacken oder cracken mein system?
Jetzt habe ich das Passwort geändert. Mein Rootpasswort wahr noch originna. Das habe ich auch noch geändert.
Nuke habe ich nicht, Upload schon. Aber nirgendso angewenden bloß in php eingeschaltet.
(sxid, logcheck, syslog-ng,...) --> Kannst Du mir mehr dazu sagen?
Das was ich nciht verstehe ist das nicht alle daten weg sind sondern die aktuellsten und bilder usw. das sind ca 75% und genau die die schmerzen. ich hatte keine möglichket miene sicherheitskopie zu sichern. Die wahr auch weg.
Naja
Dummheit muß bestraft werden.
Welche der tools ist am leichtesten oder effektrivsten?
Re: Klingonische hölle
Posted: 2002-12-28 14:30
by floschi
ssh3.de wrote:Ich habe mein Passwort für mein FTP ziemlich gut gewählt. Wieviel % der Befölkerung guckt Startrek und vieviele davon können den ausdruck der Klingonichen hölle.
Real existierende Wörter stehen in allen Brute-Force Wörterbüchern, sind also selbst mit ner Zahl dahinter oder davor so gut wie nutzlos.
ssh3.de wrote:Und wieviele davon kennen mich und hacken oder cracken mein system?
Das ist schon eher eine Frage. Wie sieht's in deinem allernächsten Umfeld aus? Aber das ist deine Sache...
ssh3.de wrote:Jetzt habe ich das Passwort geändert. Mein Rootpasswort wahr noch originna. Das habe ich auch noch geändert.
Hast du von 1&1 die Email wegen dem offenen Kundenlogin bekommen? Wenn ja, war das fahrlässig und ich würde es melden. Wenn nein, dann wurde es ja Zeit, das zu ändern ;)
ssh3.de wrote:Nuke habe ich nicht, Upload schon. Aber nirgendso angewenden bloß in php eingeschaltet.
Wenn du ein PHP-Skript hast, mit dem Daten upgeloaded werden können, dann kann das durchaus für alles mögliche benutzt werden, sofern es nicht wirklich sicher ist.
ssh3.de wrote:(sxid, logcheck, syslog-ng,...) --> Kannst Du mir mehr dazu sagen?
Gerne. Das sind alles Skripte, die die Systemsicherheit in klein wenig erhöhen... google kann dir da Bände darüber erzählen.
ssh3.de wrote:Das was ich nciht verstehe ist das nicht alle daten weg sind sondern die aktuellsten und bilder usw. das sind ca 75% und genau die die schmerzen. ich hatte keine möglichket miene sicherheitskopie zu sichern. Die wahr auch weg.
Und es gibt keine andere Möglichkeit, z.B. Festplattenfehler oder falscher Shellbefehl (was kann ein falsches rm -r * alles anrichten) oder sonstwas deinerseits?
ssh3.de wrote:Welche der tools ist am leichtesten oder effektrivsten?
Wenn es das gäbe, wäre die Welt in Ordnung. Es ist das Zusammenspiel vieler kleiner Tools auf einem ganz speziellen System mit seinen speziellen Aufgaben. Da kann dir nur viel Lesen und ausprobieren weiterhelfen, pauschal lässt sich nix sagen.
Gruß
Olfi ;)
scandisk
Posted: 2002-12-29 16:16
by ssh3.de
wie heiß der befehl der das fs durchcheckt?
MfG
Filip
Re: hackerangriff???
Posted: 2002-12-29 16:27
by kase
fsck.ext2 -y /dev/hda1
fsck.ext2 -y /dev/hda3
Re: hackerangriff???
Posted: 2002-12-29 17:49
by sascha
Aber bitte nur im Rescue System bzw. wenn die Partitionen nicht gemountet sind machen!
Re: hackerangriff???
Posted: 2003-01-02 23:26
by Anonymous
Ich hab gerade in einem Log eine Brutforce FTP Attacke auf einen meiner Server entdeckt, lustigerweise kam die auch aus dem 1&1 Netz.
446 Loginversuche unter verschiedenen Usern (Web, backup, admin, webmaster...) innerhalb von 8 Sekunden.
Sollte ich das mal melden, oder ist das "normal" ?
Re: hackerangriff???
Posted: 2003-01-02 23:42
by hugo
Salve!
Also, normal ist das nicht, ich würde mich bei 1&1 beschweren, den Logfile kannst Du denen ja als Anhang schicken!
Hugo ;)
Re: hackerangriff???
Posted: 2003-01-02 23:54
by floschi
JON DOE wrote:Sollte ich das mal melden, oder ist das "normal" ?
Melden, kann nicht schaden ;)
Ich denke zwar, dass da wieder mal ein Server von einem "Supermegaoberhoster" gecrackt wurde und missbraucht wurde, aber so wird der wenigstens drauf aufmerksam gemacht...
Grüßle
Olfi ;)
Wohl ein festplattenfehler oder???
Posted: 2003-01-04 03:08
by ssh3.de
Code: Select all
root@rescue:/# df
Filesystem 1k-blocks Used Available Use% Mounted on
/dev/ram0 31729 11202 20527 35% /
root@rescue:/# fsck.ext2 -y /dev/hda1
e2fsck 1.25 (20-Sep-2001)
/dev/hda1 was not cleanly unmounted, check forced.
Pass 1: Checking inodes, blocks, and sizes
Pass 2: Checking directory structure
Pass 3: Checking directory connectivity
Pass 4: Checking reference counts
Pass 5: Checking group summary information
/dev/hda1: 39/65536 files (0.0% non-contiguous), 3168/65536 blocks
root@rescue:/# fsck.ext2 -y /dev/hda3
e2fsck 1.25 (20-Sep-2001)
/dev/hda3 was not cleanly unmounted, check forced.
Pass 1: Checking inodes, blocks, and sizes
Inode 131081, i_blocks is 72, should be 48. Fix? yes
Inode 131080, i_blocks is 2560, should be 2520. Fix? yes
Inode 835715, i_blocks is 120, should be 64. Fix? yes
Inode 4390922, i_blocks is 1440, should be 1408. Fix? yes
Inode 4390920, i_blocks is 5544, should be 5504. Fix? yes
Inode 4390921, i_blocks is 160, should be 120. Fix? yes
Inode 4489414, i_blocks is 11048, should be 11000. Fix? yes
Inode 4538480, i_blocks is 64, should be 8. Fix? yes
Pass 2: Checking directory structure
Pass 3: Checking directory connectivity
Pass 4: Checking reference counts
Pass 5: Checking group summary information
Block bitmap differences: -2331 -2332 -2333 -2715 -2716 -2717 -2718 -2719 -4803 -4804 -4805 -4806 -4807 -4808 -4809 -5310 -5311 -5312 -5313 -13514 -13515 -13516 -13517 -13518 -14319 -14320 -14321 -14322 -14323 -9035923 -9035924 -9035925 -9035926 -9035927 -9035928 -9077774 -9077775 -9077776 -9077777 -9077778 -9077779 -9077780
Fix? yes
Free blocks count wrong for group #0 (19812, counted=19841).
Fix? yes
Free blocks count wrong for group #275 (8054, counted=8060).
Fix? yes
Free blocks count wrong for group #277 (31355, counted=31362).
Fix? yes
Free blocks count wrong (8518289, counted=8518331).
Fix? yes
/dev/hda3: ***** FILE SYSTEM WAS MODIFIED *****
/dev/hda3: 94625/4898816 files (0.2% non-contiguous), 1269270/9787601 blocks
root@rescue:/#
Soll mir Puretec eine neue Platte einbauen???
MfG
Filip
Re: hackerangriff???
Posted: 2003-01-04 09:46
by captaincrunch
Na klar, besteh aber bitte auf eine IBM ...
Die Frage ist wohl eher, ob du den Server normal runtergefahren, oder hart resettet hast. Wenn zweiteres der Fall ist (wonach es aussieht), brauchst du dich über den Filesystemcheck nicht zu wundern ... wäre die Platte defekt, würde das ganze wohl anders aussehen ...
Re: hackerangriff???
Posted: 2003-01-04 15:17
by flo
Denk bitte daran, daß auf der neuen Platte kein Bit Deiner alten Installation ist ...
Und so, wie das aussieht, ist der Rechner einfach nciht heruntergefahren worden - sollte die Platte wirklich defekt sein, sollten im /var/log/warn (SuSE) DMA-Fehler, IDE-Timeouts und ähnliches auftauchen.
grep kernel /var/log/warn spuckt die evtl. relevanten Dinge aus - so wie ich das sehe, hast Du kein (Harware-)Problem mit der Platte.
Grüße,
flo.