BlackBoard » Computerecke » Netzwerke/Telekommunikation » Apache Server gehackt » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Apache Server gehackt
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Daedalus
Aufsteiger


Dabei seit: 04.05.2003
Beiträge: 41
Apache Server gehackt       Zum Anfang der Seite springen
Hi,

von nem Bekannten von mir wurde dessen Server, ein Suse 8.1 Linux mit Apache Server bei 1&1, gehackt. Das jedenfalls schliesse ich daraus daas auf dem server auf einmal 10 GB mehr an Daten drauf sind, ausserdem steigt der taffic jedes WE rapide an. Nu zu meiner Frage:

1. Wie kann ich die Dateien die geupped worden sind finden? Ich muss wohl erwähnen das das Log File vom 23. ketzten monats fehlt. Ausserdem nehme ich an das die Verzeichnise gelockt sind, mit einem einfachem find befehl werde ich wohl die dateien net finden. Ausserdem habe ich nur nen Shell zugriff auf den Server.

2. Was kann ich machen um den Übeltäter zu finden?


Danke schonmal im voraus.

Ciao Daeda
20.09.2003 16:29 Daedalus ist offline E-Mail an Daedalus senden Beiträge von Daedalus suchen
zampano zampano ist männlich
Member


Dabei seit: 08.10.2002
Beiträge: 244
      Zum Anfang der Seite springen
Hi Daedalus!
Der Server deines bekannten wurde wahrscheinlich von einer FXP-Crew gehackt, die jetzt darauf ihren Stuff verbreitet.
Klar versuchen die Leute jetzt das ganze zu verstecken.
Versuche doch mal nach *.rar-Dateien, denn die Software/Filme werden meistens so komprimiert und gesplitet.

Dein Bekannter hat wohl nicht die aktuellste Apache-Version installiert. Augen rollen


__________
EDIT:
Den/die Übeltäter zu finden ist wahrscheinlich zu aufwendig. Zudem hacken die Leute über Proxies, was die Suche nochmals erschwert.


cya
o000o

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von zampano: 20.09.2003 16:56.
20.09.2003 16:54 zampano ist offline E-Mail an zampano senden Beiträge von zampano suchen
phlox81 phlox81 ist männlich
Bote des Lichts und Moderator


images/avatars/avatar-2264.jpg

Dabei seit: 19.10.2002
Beiträge: 3.028
Herkunft: Irgendwo im Nirgendwo
      Zum Anfang der Seite springen
SOFORT bei 1&1 Anrufen, und um Sperrung bitten. (das ist wichtig wegen der Jusristerei)
Bei Heise wurde neulich ein ähnlicher Fall in der C't abgedruckt,
dein Freund sollte sich bewusst sein, das da enorme Traffickosten für
ihn entstehen können, von daher wäre es das klügste erstmal den Server
ausserbetrieb zu nehmen, damit für den Hacker er unbrauchbar wird.

Devil

__________________
Intelligenz ist eine Illusion des Menschen

phlox81.de | codenode.de
20.09.2003 17:00 phlox81 ist offline E-Mail an phlox81 senden Homepage von phlox81 Beiträge von phlox81 suchen
Daedalus
Aufsteiger


Dabei seit: 04.05.2003
Beiträge: 41

Themenstarter Thema begonnen von Daedalus
      Zum Anfang der Seite springen
@o000o

wie ich oben schon geschrieben habe nehme ich an das die das Verzeichnis wo die files drinne sind, gelocked sind. Dadurch kann ich nichts einfach nach z. B. .rar, .nfo etc suchen lassen, da das suchprogramm an den gelockten ordnern stecken bleibt (z. B. .com etc).

Der Bekannte hat net die neueste Apache Version drauf, da ihm von 1&1 gesagt wurde er hätte das neuste Linux Suse mit dem neusten Apache bla bla bla....

@Devil81

Das ganze ist bei 1&1 schon gemeldet. Das Problem ist aber das der Bekannte 18 Domains über dem Server laufen hat. Er Kann es sich also nicht leisten mal eben den Server zu stoppen.
Die Kosten musste er bisher selbser tragen unglücklich 1&1 ist der Meinung das der Bekannte die alleinige schuld trägt, da er der System Admin ist.
20.09.2003 17:44 Daedalus ist offline E-Mail an Daedalus senden Beiträge von Daedalus suchen
phlox81 phlox81 ist männlich
Bote des Lichts und Moderator


images/avatars/avatar-2264.jpg

Dabei seit: 19.10.2002
Beiträge: 3.028
Herkunft: Irgendwo im Nirgendwo
      Zum Anfang der Seite springen
Tja, dann viel spass.
Die Traffickosten können in die Tausende Euros gehen, evtl.
hilft es ja schon wenn er ein altes backup einspielt, oder
seine Domains sichert, den Server neu aufsetzt, und dann
das alles wieder draufspielt.

Devil

__________________
Intelligenz ist eine Illusion des Menschen

phlox81.de | codenode.de
20.09.2003 17:55 phlox81 ist offline E-Mail an phlox81 senden Homepage von phlox81 Beiträge von phlox81 suchen
Daedalus
Aufsteiger


Dabei seit: 04.05.2003
Beiträge: 41

Themenstarter Thema begonnen von Daedalus
      Zum Anfang der Seite springen
... die letzte rechnung betrug leider schon 1400€ unglücklich (hätte aber auch schlimer kommen können.)

Ein altes Backup gibt es wohl net.

Die Files vom Server ist er momentan am Sichern (haben nen 2te Server gemietet und überprüfen die Files und schieben sie auf den anderen rüber), aber die ahben da nur ne ISDN Leiotung und das dauert was unglücklich ICh würd die Files ganz gerne schnell finden und löschen.

Es sind übrigens DOS Files in jedem Account drinne. Ist das richtig das die da sind damit man den Apache Server hacken und nen anderen z. B. Serv-U drauf aufspielen kann?

Ciao Daeda
20.09.2003 18:14 Daedalus ist offline E-Mail an Daedalus senden Beiträge von Daedalus suchen
Black Star Black Star ist männlich
Der Pate [Admin]


images/avatars/avatar-2158.jpg

Dabei seit: 11.12.2001
Beiträge: 2.282
Herkunft: /dev/stderr
RE: Apache Server gehackt       Zum Anfang der Seite springen
Zitat:
Original von Daedalus
2. Was kann ich machen um den Übeltäter zu finden?

Ist das syslog von dem Tag noch vorhanden (bei SuSE /var/log/messages oder /var/log/syslog)?

Und mein Tip waere Debian Linux drauf zu spielen.
Da gibt es naemlich vernuenftige security-updates, die sich Problemlos woechentlich oder bei Bedarf einpielen lassen.

einfach
apt-get update
apt-get upgrade
fertig.
(Vorrausgesetzt, man hat security.debian.org in seiner sources.list)

__________________
vescere bracis meis
20.09.2003 18:37 Black Star ist offline E-Mail an Black Star senden Homepage von Black Star Beiträge von Black Star suchen
AC!D AC!D ist männlich
paranoid


images/avatars/avatar-1032.gif

Dabei seit: 31.05.2002
Beiträge: 825
Herkunft: localhost
      Zum Anfang der Seite springen
also erstmal denk ich das das ne fxp crew war, liegt ja auf der hand, also die verwenden sicher nen ftp server is eigentlich auch klar, also würd ich erstmal schaun welchen server und welchen port sie verwenden, wenn du das hasst, kommst du auch an die passes ran, somit auch an den pfad und wenn du die passes hasst hasst du auch die accounts kannst dich also selbst per ftp einloggen die files sehen und löschen, dann würde ich mal noch die ganze software updaten also apache php evtl pop ssh usw

und zur hack technik die du gefragt hasst, also apache läuft fast genauso ab wie iis, aber es muss nciht sein das er sich über den apache eingehackt hat, wie gesagt es kann auch sein das er über pop ssh usw sich eingehackt hat, die fxp leutz sind nich mehr so stupiede wie früher

__________________
“Attack is the secret of defense - defense is the planning of an attack”

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von AC!D: 25.09.2003 16:05.
25.09.2003 16:01 AC!D ist offline E-Mail an AC!D senden Homepage von AC!D Beiträge von AC!D suchen
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
BlackBoard » Computerecke » Netzwerke/Telekommunikation » Apache Server gehackt

Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH