BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- Apache Server gehackt (http://www.black-board.net/thread.php?threadid=13877)

Geschrieben von Daedalus am 20.09.2003 um 16:29:

  Apache Server gehackt

Hi,

von nem Bekannten von mir wurde dessen Server, ein Suse 8.1 Linux mit Apache Server bei 1&1, gehackt. Das jedenfalls schliesse ich daraus daas auf dem server auf einmal 10 GB mehr an Daten drauf sind, ausserdem steigt der taffic jedes WE rapide an. Nu zu meiner Frage:

1. Wie kann ich die Dateien die geupped worden sind finden? Ich muss wohl erwähnen das das Log File vom 23. ketzten monats fehlt. Ausserdem nehme ich an das die Verzeichnise gelockt sind, mit einem einfachem find befehl werde ich wohl die dateien net finden. Ausserdem habe ich nur nen Shell zugriff auf den Server.

2. Was kann ich machen um den Übeltäter zu finden?


Danke schonmal im voraus.

Ciao Daeda


Geschrieben von zampano am 20.09.2003 um 16:54:

 

Hi Daedalus!
Der Server deines bekannten wurde wahrscheinlich von einer FXP-Crew gehackt, die jetzt darauf ihren Stuff verbreitet.
Klar versuchen die Leute jetzt das ganze zu verstecken.
Versuche doch mal nach *.rar-Dateien, denn die Software/Filme werden meistens so komprimiert und gesplitet.

Dein Bekannter hat wohl nicht die aktuellste Apache-Version installiert. Augen rollen


__________
EDIT:
Den/die Übeltäter zu finden ist wahrscheinlich zu aufwendig. Zudem hacken die Leute über Proxies, was die Suche nochmals erschwert.


cya
o000o


Geschrieben von phlox81 am 20.09.2003 um 17:00:

 

SOFORT bei 1&1 Anrufen, und um Sperrung bitten. (das ist wichtig wegen der Jusristerei)
Bei Heise wurde neulich ein ähnlicher Fall in der C't abgedruckt,
dein Freund sollte sich bewusst sein, das da enorme Traffickosten für
ihn entstehen können, von daher wäre es das klügste erstmal den Server
ausserbetrieb zu nehmen, damit für den Hacker er unbrauchbar wird.

Devil


Geschrieben von Daedalus am 20.09.2003 um 17:44:

 

@o000o

wie ich oben schon geschrieben habe nehme ich an das die das Verzeichnis wo die files drinne sind, gelocked sind. Dadurch kann ich nichts einfach nach z. B. .rar, .nfo etc suchen lassen, da das suchprogramm an den gelockten ordnern stecken bleibt (z. B. .com etc).

Der Bekannte hat net die neueste Apache Version drauf, da ihm von 1&1 gesagt wurde er hätte das neuste Linux Suse mit dem neusten Apache bla bla bla....

@Devil81

Das ganze ist bei 1&1 schon gemeldet. Das Problem ist aber das der Bekannte 18 Domains über dem Server laufen hat. Er Kann es sich also nicht leisten mal eben den Server zu stoppen.
Die Kosten musste er bisher selbser tragen unglücklich 1&1 ist der Meinung das der Bekannte die alleinige schuld trägt, da er der System Admin ist.


Geschrieben von phlox81 am 20.09.2003 um 17:55:

 

Tja, dann viel spass.
Die Traffickosten können in die Tausende Euros gehen, evtl.
hilft es ja schon wenn er ein altes backup einspielt, oder
seine Domains sichert, den Server neu aufsetzt, und dann
das alles wieder draufspielt.

Devil


Geschrieben von Daedalus am 20.09.2003 um 18:14:

 

... die letzte rechnung betrug leider schon 1400€ unglücklich (hätte aber auch schlimer kommen können.)

Ein altes Backup gibt es wohl net.

Die Files vom Server ist er momentan am Sichern (haben nen 2te Server gemietet und überprüfen die Files und schieben sie auf den anderen rüber), aber die ahben da nur ne ISDN Leiotung und das dauert was unglücklich ICh würd die Files ganz gerne schnell finden und löschen.

Es sind übrigens DOS Files in jedem Account drinne. Ist das richtig das die da sind damit man den Apache Server hacken und nen anderen z. B. Serv-U drauf aufspielen kann?

Ciao Daeda


Geschrieben von Black Star am 20.09.2003 um 18:37:

  RE: Apache Server gehackt

Zitat:
Original von Daedalus
2. Was kann ich machen um den Übeltäter zu finden?

Ist das syslog von dem Tag noch vorhanden (bei SuSE /var/log/messages oder /var/log/syslog)?

Und mein Tip waere Debian Linux drauf zu spielen.
Da gibt es naemlich vernuenftige security-updates, die sich Problemlos woechentlich oder bei Bedarf einpielen lassen.

einfach
apt-get update
apt-get upgrade
fertig.
(Vorrausgesetzt, man hat security.debian.org in seiner sources.list)


Geschrieben von AC!D am 25.09.2003 um 16:01:

 

also erstmal denk ich das das ne fxp crew war, liegt ja auf der hand, also die verwenden sicher nen ftp server is eigentlich auch klar, also würd ich erstmal schaun welchen server und welchen port sie verwenden, wenn du das hasst, kommst du auch an die passes ran, somit auch an den pfad und wenn du die passes hasst hasst du auch die accounts kannst dich also selbst per ftp einloggen die files sehen und löschen, dann würde ich mal noch die ganze software updaten also apache php evtl pop ssh usw

und zur hack technik die du gefragt hasst, also apache läuft fast genauso ab wie iis, aber es muss nciht sein das er sich über den apache eingehackt hat, wie gesagt es kann auch sein das er über pop ssh usw sich eingehackt hat, die fxp leutz sind nich mehr so stupiede wie früher


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH