|
|
|
|
Apache Server gehackt |
Daedalus
Aufsteiger
Dabei seit: 04.05.2003
Beiträge: 41
|
|
Apache Server gehackt |
|
Hi,
von nem Bekannten von mir wurde dessen Server, ein Suse 8.1 Linux mit Apache Server bei 1&1, gehackt. Das jedenfalls schliesse ich daraus daas auf dem server auf einmal 10 GB mehr an Daten drauf sind, ausserdem steigt der taffic jedes WE rapide an. Nu zu meiner Frage:
1. Wie kann ich die Dateien die geupped worden sind finden? Ich muss wohl erwähnen das das Log File vom 23. ketzten monats fehlt. Ausserdem nehme ich an das die Verzeichnise gelockt sind, mit einem einfachem find befehl werde ich wohl die dateien net finden. Ausserdem habe ich nur nen Shell zugriff auf den Server.
2. Was kann ich machen um den Übeltäter zu finden?
Danke schonmal im voraus.
Ciao Daeda
|
|
20.09.2003 16:29 |
|
|
phlox81
Bote des Lichts und Moderator
Dabei seit: 19.10.2002
Beiträge: 3.028
Herkunft: Irgendwo im Nirgendwo
|
|
SOFORT bei 1&1 Anrufen, und um Sperrung bitten. (das ist wichtig wegen der Jusristerei)
Bei Heise wurde neulich ein ähnlicher Fall in der C't abgedruckt,
dein Freund sollte sich bewusst sein, das da enorme Traffickosten für
ihn entstehen können, von daher wäre es das klügste erstmal den Server
ausserbetrieb zu nehmen, damit für den Hacker er unbrauchbar wird.
Devil
__________________ Intelligenz ist eine Illusion des Menschen
phlox81.de | codenode.de
|
|
20.09.2003 17:00 |
|
|
Daedalus
Aufsteiger
Dabei seit: 04.05.2003
Beiträge: 41
Themenstarter
|
|
@o000o
wie ich oben schon geschrieben habe nehme ich an das die das Verzeichnis wo die files drinne sind, gelocked sind. Dadurch kann ich nichts einfach nach z. B. .rar, .nfo etc suchen lassen, da das suchprogramm an den gelockten ordnern stecken bleibt (z. B. .com etc).
Der Bekannte hat net die neueste Apache Version drauf, da ihm von 1&1 gesagt wurde er hätte das neuste Linux Suse mit dem neusten Apache bla bla bla....
@Devil81
Das ganze ist bei 1&1 schon gemeldet. Das Problem ist aber das der Bekannte 18 Domains über dem Server laufen hat. Er Kann es sich also nicht leisten mal eben den Server zu stoppen.
Die Kosten musste er bisher selbser tragen
1&1 ist der Meinung das der Bekannte die alleinige schuld trägt, da er der System Admin ist.
|
|
20.09.2003 17:44 |
|
|
phlox81
Bote des Lichts und Moderator
Dabei seit: 19.10.2002
Beiträge: 3.028
Herkunft: Irgendwo im Nirgendwo
|
|
Tja, dann viel spass.
Die Traffickosten können in die Tausende Euros gehen, evtl.
hilft es ja schon wenn er ein altes backup einspielt, oder
seine Domains sichert, den Server neu aufsetzt, und dann
das alles wieder draufspielt.
Devil
__________________ Intelligenz ist eine Illusion des Menschen
phlox81.de | codenode.de
|
|
20.09.2003 17:55 |
|
|
Daedalus
Aufsteiger
Dabei seit: 04.05.2003
Beiträge: 41
Themenstarter
|
|
... die letzte rechnung betrug leider schon 1400€
(hätte aber auch schlimer kommen können.)
Ein altes Backup gibt es wohl net.
Die Files vom Server ist er momentan am Sichern (haben nen 2te Server gemietet und überprüfen die Files und schieben sie auf den anderen rüber), aber die ahben da nur ne ISDN Leiotung und das dauert was
ICh würd die Files ganz gerne schnell finden und löschen.
Es sind übrigens DOS Files in jedem Account drinne. Ist das richtig das die da sind damit man den Apache Server hacken und nen anderen z. B. Serv-U drauf aufspielen kann?
Ciao Daeda
|
|
20.09.2003 18:14 |
|
|
AC!D
paranoid
Dabei seit: 31.05.2002
Beiträge: 825
Herkunft: localhost
|
|
also erstmal denk ich das das ne fxp crew war, liegt ja auf der hand, also die verwenden sicher nen ftp server is eigentlich auch klar, also würd ich erstmal schaun welchen server und welchen port sie verwenden, wenn du das hasst, kommst du auch an die passes ran, somit auch an den pfad und wenn du die passes hasst hasst du auch die accounts kannst dich also selbst per ftp einloggen die files sehen und löschen, dann würde ich mal noch die ganze software updaten also apache php evtl pop ssh usw
und zur hack technik die du gefragt hasst, also apache läuft fast genauso ab wie iis, aber es muss nciht sein das er sich über den apache eingehackt hat, wie gesagt es kann auch sein das er über pop ssh usw sich eingehackt hat, die fxp leutz sind nich mehr so stupiede wie früher
__________________
“Attack is the secret of defense - defense is the planning of an attack”
Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von AC!D: 25.09.2003 16:05.
|
|
25.09.2003 16:01 |
|
|
|
|
|
|