ComputerBase Menü
Aktuelles

Vserver gehackt

gunslinger1979

gunslinger1979

Lieutenant
Registriert
Jan. 2009
Beiträge
695
Moin,

ich hab einen Vserver mit einem CMS laufen und bekam nun von meinem Hoster die Meldung, das dieser abgeschaltet werden musste, weil von ihm irgendwas in Richtung Bruteforce, DoS, etc. ausging.

Jetzt kann ich ihn natürlich nicht wieder starten, weil ich nicht weiss wie dieser Code darauf gelangt ist.

Kennt sich jemand gut mit dem Thema aus? Ich wäre über Hilfe sehr dankbar..

Ich könnte dann eine Liste mit den betroffenen Dateien versenden. Momentan wär mir natürlich am liebsten, wenn ich wüsste, was der Schadcode genau getrieben hat.
 
kann man nicht viel machen.Vserver im backup modus hochfahren.Daten sichern ,und neu installieren lassen.
 
das allgemeine problem, der billigen server.
zuviele leute ohne ahnung mieten sich einen.

ne wirklich sinvolle lösung, wäre nen komplettes plattmachen und neuinstallieren der daten!
auch die cms daten ! lediglich die datenbanken kannste noch nutzen, alles andere wäre grob fahrlässig.

ansonst bei joomla und co schön auf die sicherheitsanfälligen plugins achten.
 
Das Problem an der Sache war, das es eine Seite für einen Clan ist. Damals war jemand im Clan der Fachinformatiker war und sich auch wirklich gut auskannte.

Der ist irgendwann gegangen und wenn ich ehrlich bin, habe ich seit dem nur die nötigsten Sicherheitsupdates gemacht.

Es wird darauf hinaus laufen, das ich alles plattmache. Das ist aber auch gar nicht so wild.. wollte eh etwas neues machen.

Mich würde jetzt nur brennend interessieren, was der Code genau gemacht hat und wie er reinkam. Dafür reicht mein Wissen nur leider nicht...
 
Kann ich mir selber garnicht vorstellen, aber SQL Injektion könnte der Grund dafür sein. Also direkt Brutforce auf denn vLogin zu verwenden ist eher sinnlos, also wenn du Remote Control gemacht hast, kann sein das es von deinem Rechner aus kommt.

Sonst ist der Server einfach geflootet worden, mit DoS Attaken.
 
Inwiefern geflootet?

Die Attacken sollen ja von meinem Server ausgegangen sein...
 
Hi,

oder jemand hat einen Torrent-Tracker installiert :)

Hat ausser dir jemand Zugriff auf den Server gehabt?

VG,
Mad

Edit: Ah ok, VON deinem Server aus... dann war's wohl was anderes :)
 
Es scheint definitiv so zu sein das irgendwie ein Schadcode auf meinem Server gelandet ist, der dann irgendwas gemacht hat, was irgendwen gestört hat ;-) Viel mehr weiss ich nicht...
 
Kannst du dich mit deinem Server-Vermieter nicht auseinandersetzen und irgendwelche Logs / Protokoll einsehen? Wenn du nett frägst sagt dir da ein Techniker vielleicht was da los war und in welche Richtung.

Wäre schon interessant zu wissen.

VG,
Mad
 
Hab ich versucht.. die wollen Kohle sehen für eine Analyse. 25 Euro pro 15 Minuten :freak:

Immerhin darf ich den Server aber wieder kurz hochfahren, um selbst zu suchen was los ist. Daher gehe ich mal davon aus das ich nichts allzu dramatisches sein kann, sonst dürfte ich ihn wohl kaum einfach wieder starten.

Nur bevor ich ihn hochfahre, bräuchte ich irgendwelche Ansätze, will den ja nur so kurz wie möglich Online lassen.
 
Hi,

puh, das ist ja Wucher :)

Gib mal ein Paar Infos zu dem Server: Welches OS läuft, welche Joomla, was sonst noch alles etc.

Hast du ne Software-Firewall auf dem Server und kannst erstmal alles blocken? Evtl am Ende sogar auswerten? Das wäre natürlich perfekt, dann siehst du was wohin telefonieren will.

VG,
Mad
 
Der Server liegt bei Hosteurope, als Betriebssystem läuft Ubuntu mit Firewall. An die Firewall-Settings komme ich aber nicht ran. Dafür bräuchte es ein erweitertes Managing-Paket ;-)


Hab allerdings vergessen zu erwähnen das neben dem CMS (was ILCH ist, nicht Joomla), auch noch TS3 lief. Da kann theoretisch auch der Angreifer hergekommen sein.

Ich konnte vom Hoster jetzt noch ein erweitertes Log-File erhalten, das wohl von denjenigen stammt die das gemeldet haben.

So wie ich das verstehe versuchte mein Server eine Verbindung zu IP 124.219.XX.XX aufzubauen. Als Port interessanterweise :ircd

Also hat es schon mal irgendwas mit IRC zu tun..
 
Zuletzt bearbeitet:
gunslinger1979 schrieb:
auch noch TS3 lief
Zum Vergrößern anklicken....

es gab einige TS3-Versionen die leicht angreifbar waren und andere die man dazu "überreden" konnte mal das ganze Netzwerk zu fluten.

Nichtsdestotrotz bleibt es grob fahrlässig einen (v)Server zu betreiben ohne sich damit auszukennen, bei dem nächsten Hack bist du eventuell deutlich schnlimmer dran: Verteilen von Raubkopien oder KiPos, Angreifen von Firmennetzwerken usw.

Also tu dir einen gefallen und such jemanden der sich damit wirklich auskennt oder beende den Vertrag und miete dir einfach irgendwo Webspace für die Seite und einen TS3-Server bei dem du nichts administrieren musst.
 
Ja da ist durchaus was dran.

Ist irgendwie wie mit Kreditkarten. Du kriegst sie an jeder Ecke aber das man die Rechnungen irgendwann bezahlen muss, sagt einem niemand.

Weiss jemand welchen Sinn es hat solche IRC-Bots/Skripte was auch immer auf einem Server zu platzieren?
 
d.h. du hast kein zugriff an iptables ? welcher process will auf diese port
 
Kann ich nicht nachschauen ;-)

Ich hab den Server nachwievor gestoppt.

Ich will erst genau wissen was ich alles runterladen bzw. nachsehen muss, um den so kurz wie möglich laufen zu lassen.
 
kennst du dich mit putty aus ?
du kannst doch processe killen

schade das dir von nicht von support geholfen wird
 
Ich hab Putty benutzt um den TS-Server zu installieren etc. soweit auskennen das ich wüsste welche Prozesse ich zu killen hab, kenn ich mich aber nicht.

Ich finds auch etwas schwach von dem Support. Zu gute halten muss man ihnen aber das keine Kosten fürs Sperren bzw. Entsperren entstehen. Bei anderen Hostern zahlt man dafür wohl...



bash 11317 speak 7u IPv4 1893626073 TCP XX.XX.XXX.XXX:43968->124.219.XX.XX:ircd (ESTABLISHED)


lrwxrwxrwx 1 speak speak 0 Feb 3 18:07 /proc/11317/cwd -> /var/tmp/ /.b
lrwxrwxrwx 1 speak speak 0 Feb 3 18:07 /proc/11317/exe -> /var/tmp/ /.b/bash


/var/tmp/ /
/var/tmp/ /udp.tgz
/var/tmp/ /.b
/var/tmp/ /.b/autorun
/var/tmp/ /.b/bash
/var/tmp/ /.b/h
/var/tmp/ /.b/inst
/var/tmp/ /.b/mech.levels
/var/tmp/ /.b/randfiles
/var/tmp/ /.b/randfiles/randaway.e
/var/tmp/ /.b/randfiles/randinsult.e
/var/tmp/ /.b/randfiles/randkicks.e
/var/tmp/ /.b/randfiles/randnicks.e
/var/tmp/ /.b/randfiles/randpickup.e
/var/tmp/ /.b/randfiles/randsay.e
/var/tmp/ /.b/randfiles/randsignoff.e
/var/tmp/ /.b/randfiles/randversions.e
/var/tmp/ /.b/run
/var/tmp/ /.b/start
/var/tmp/ /.b/vhosts
/var/tmp/ /.b/mech.set
/var/tmp/ /.b/mech.dir
/var/tmp/ /.b/cron.d
/var/tmp/ /.b/update
/var/tmp/ /.b/mech.pid
/var/tmp/ /.b/Moldova.seen
/var/tmp/ /.b/mech.session
/var/tmp/ /.b/bnc.seen
/var/tmp/ /.b/Nemetz.seen
/var/tmp/ /.b/Vikeng.seen
/var/tmp/ /.b/Onest.seen
/var/tmp/ /.b/Shell.seen
/var/tmp/ /.b/Oliviana.seen


Diese Dateien bzw. Verbindungen stehen damit wohl irgendwie in Zusammenhang. Kann damit nur rein gar nix anfangen...
 
Zuletzt bearbeitet:
gunslinger1979 schrieb:
Ich finds auch etwas schwach von dem Support.
Zum Vergrößern anklicken....

tut mir leid aber (v)Server-Anbieter haben pro Tag dutzende Fälle wo Personen wie du sich einen (v)Server zulegen, gehackt werden und der Hoster dann eingreifen muss. Und bei dem Kampfpreis kann man dir nunmal keinen Support in der Art bieten wie "ja wir machen dir das".

Dein (v)Server kostet wieviel im Monat? 10€ vllt? Davon muss die Hardware, Traffic, Strom und alle Angestellten bezahlt werden, da bleibt nichts mehr übrig um noch extra qualifiziertes (und somit teures) Personal anzustellen und deinen (v)Server zu überprüfen.


Tu dir einen Gefallen und kündige ihn wirklich, denn spätestens in einem Jahr wird wieder so etwas passieren wenn neue Sicherheitslücken gefunden werden, von denen du nicht weiß wie man sie schließt, dir fehlt ja jegliches Linux-Grundverständnis.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

rallyco
Unbekanntes USB-Gerät (VID_0000&PID0002)
2
Antworten
22
Aufrufe
2.095
rallyco
rallyco
A
Einfache 32bit Umgebung
Antworten
17
Aufrufe
2.059
anywish
A
DevPandi
Leserartikel Kühler- gegen Steckergate: DevPandis Hin und Her
2 3 4
Antworten
72
Aufrufe
16.258
Robman86
Robman86
-->fReAkShOw<--
Altes System ablösen
2
Antworten
37
Aufrufe
2.962
-->fReAkShOw<--
-->fReAkShOw<--
L
Neuer langlebiger Allround PC
Antworten
9
Aufrufe
1.341
Darkseth88
Darkseth88
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz