Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Server kompromittiert (c99shell) - was tun?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: Dobronizer

Dobronizer (Level 1) - Jetzt verbinden

14.10.2008, aktualisiert 22.12.2008, 13899 Aufrufe, 10 Kommentare

Hallo liebe Mitadministratoren,
ich betreue die Website eines Kunden, die bei euserv gehostet wird. Heute erhielt ich einen Anruf, dass ein Zugang zu seiner Seite nicht mehr möglich ist. Ich warf einen Blick auf seine Site und stelle fest, dass statt des üblichen Internetauftritts das Webfrontend einer phpshell mit dem Namen "c99shell" geöffnet wird. Ich habe mir einen kurzen Überblick verschafft, was das Ding leisten kann und bin entsetzt! Hier ein Screenshot: d67e4e0f373b00caa2b1c5f22a5b24ec-c999shell - Klicke auf das Bild, um es zu vergrößern
Natürlich habe ich sofort die komplette Site von einem Backup auf den Server zurückgespiegelt, doch das hilft nichts - vermutlich ist auch nicht nur der Account meines Kunden betroffen, sondern der gesamte Server.

Hat jemand einen Vorschlag, was ich jetzt auf die Schnelle tun könnte (außer den Hoster davon zu informieren)?
Mitglied: Iwan
14.10.2008 um 15:08 Uhr
hallo,

auch wenn du es nicht hören willst:
informier den Hoster sofort!
Bitte warten ..
Mitglied: mcpharma
14.10.2008 um 15:10 Uhr
Ich würde erstmal alle Daten vom Server nehmen, damit dem Kunde kein Schaden entsteht.

Hoster informieren, dass der mal das Problem lokal analysieren soll...

Ist es ein VHost, oder Root-Server ?? sieht mir nach einem VHost aus
Bitte warten ..
Mitglied: Dobronizer
14.10.2008 um 15:18 Uhr
Ja, es handelt sich um einen VHost. EUserv ist schon informiert. Ich hoffe, ich bekomme von denen mal eine Rückmeldung, wie es passieren konnte, dass sich jemand einen shell-Zugang installieren konnte, aber ich denke, EUserv wird nicht gerade mit Informationen darüber protzen...
Bitte warten ..
Mitglied: theton
14.10.2008 um 15:31 Uhr
Ich tippe auf eine Sicherheitslücke in der Webapplikation deines Kunden, oder wenn es sich um eine VServer handelt, wurde dieser ggf. eine Weile nicht aktualisiert. Dafür ist bei VServern der Mieter verantwortlich und nicht das hostende RZ. Haben zumindest die meisten VServer-Anbieter so in ihren AGB stehen.
Bitte warten ..
Mitglied: Gagarin
14.10.2008 um 17:17 Uhr
Was dich in erster Linie jetzt interessieren sollte ist die Ursache.

Wenn du die Moeglichkeit hast dann versuche an die Logs zu kommen.

Desweiteren solltest du bevor du dein Images wiederverwendest es ueberpruefen und die ausgenutzte Schwachstelle finden. Anderfalls ist es eine Sache von Minuten bis der Server wieder owned ist.
Bitte warten ..
Mitglied: Dobronizer
15.10.2008 um 07:30 Uhr
Ich werde berichten, wenn sich etwas vonseiten EUserv klärt.
Bitte warten ..
Mitglied: Dobronizer
20.10.2008 um 18:13 Uhr
Die Site läuft wieder. Auch wenn sich EUserv mir gegenüber nicht sehr informativ verhalten hat, habe ich in der Datenbank zumindest eine Spur gefunden, auf wessen Konto der Hack ging. Es handelt sich dabei um eine türkische Hackergruppe, die sich selbst offenbar "Warrior-Turk" nennt und noch eine Reihe weiterer Seiten 'defaced' hat.
Ich werde weiterhin versuchen, über diese Gruppe genug herauszufinden, um ihnen ein wenig an den Karren zu fahren. Sollte jemand diesbezüglich schon Informationen haben, so möge er sie bitte hier hinterlassen! Vielen Dank
Bitte warten ..
Mitglied: gnarff
22.12.2008 um 01:49 Uhr
Du kannst den Jungs von Warrior-Tuerk nicht an den Karren fahren, warum das so ist, kannst Du bei guten Tuerkischkenntnissen auf folgender Seite herausfinden:
1. Cyber-Warrior Net
2. CYBEr Warrior

Das es moeglich war die C99 auf den Host hochzuladen spricht in diesem Fall nicht gerade fuer die Qualitaet des Anbieters.

Saludos
gnarff
Bitte warten ..
Mitglied: Dobronizer
22.12.2008 um 02:36 Uhr
Leider habe ich keine Türkisch-Kenntnisse, wäre aber trotzdem interessiert zu erfahren, warum ich denen nicht an den Karren fahren kann.

Ich kann es ja noch irgendwie nachvollziehen, wenn jemand versucht, "gegnerische" Sites zu hacken oder zu defacen oder was auch immer... ob es nun strategische, persönliche oder politische Gründe hat, auch wenn ich es nicht gutheiße. Warum sich aber die "Jungs" an harmlosen Sites vergreifen, die keinerlei Anlass zu Angriffen bieten, kann ich nicht nachvollziehen. Dafür gibts ja noch nichtmal Fame. Das nervt nur und stärkt die Intoleranz solchen "Jungs" gegenüber. Und die verplempern nicht nur meine, sondern auch noch ihre Zeit damit. No Respect!

Saludos!
Bitte warten ..
Mitglied: gnarff
22.12.2008 um 16:01 Uhr
Ich werde Dir via PN antworten und den Thread schliessen, da die eigentliche Frage ja nun beantwortet wurde und Politik, in welcher Geschmacksrichtung auch immer, nicht Gegenstand unseres Forums ist.

Saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Hyper-V
Server 2016 und Server 2012 (1)

Frage von KellogsFR zum Thema Hyper-V ...

Windows Update
gelöst Server melden sich nicht bei WSUS-Server (9)

Frage von Alternativende zum Thema Windows Update ...

Tipps & Tricks
gelöst Netztrennung (Firma, Gast) und Datenumzug von File-Server auf NAS (8)

Frage von Daniel776 zum Thema Tipps & Tricks ...

Windows Server
Windows Server 2016 - Terminal Server (2)

Frage von artus-Excalibur zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(2)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
gelöst Leiten "dumme" Switches VLAN-Tags mit durch? (26)

Frage von coltseavers zum Thema Netzwerkprotokolle ...

Netzwerkgrundlagen
Kann auf Freigabe nicht Zugreifen (16)

Frage von leon123 zum Thema Netzwerkgrundlagen ...

Windows Server
gelöst Neues KB für W10 1607 und W2K16 wieder mal nicht im WSUS 3.0, hat das noch jemand? (16)

Frage von departure69 zum Thema Windows Server ...

Router & Routing
FTTH bzw FTTB Router (13)

Frage von ukulele-7 zum Thema Router & Routing ...