Vserver gehackt
- Ersteller gunslinger1979
- Erstellt am
- Registriert
- Jan. 2009
- Beiträge
- 695
Der Übeltäter war tatsächlich TS3.
Es war auch kein Konfigurationsfehler oder ähnliches, da wohl wirklich über eine Lücke ein Schadenscode in einem Temporären Verzeichnis abgelegt wird.
Den "Gruß" hab ich noch gefunden.
Bin in sofern beruhigt das es kein Fehler von mir war. Ich nehm das aber ernst und werd mich erstmal ausführlich mit Serversicherheit befassen ;-) von einfach "kündigen" lernt man schließlich nix.
So wie ich das sehe hat der Server nach implementierung des Codes irgendwelche japanischen IRC-Servern geflooded. Warum auch immer...
Es war auch kein Konfigurationsfehler oder ähnliches, da wohl wirklich über eine Lücke ein Schadenscode in einem Temporären Verzeichnis abgelegt wird.
Den "Gruß" hab ich noch gefunden.
Bin in sofern beruhigt das es kein Fehler von mir war. Ich nehm das aber ernst und werd mich erstmal ausführlich mit Serversicherheit befassen ;-) von einfach "kündigen" lernt man schließlich nix.
So wie ich das sehe hat der Server nach implementierung des Codes irgendwelche japanischen IRC-Servern geflooded. Warum auch immer...
Madman1209
Fleet Admiral
- Registriert
- Nov. 2010
- Beiträge
- 28.101
Hi,
krass. Sowas ist echt bitter. Aber zum Glückm konntest du es klären! Viel Spaß beim einlesen in die Serversicherheit, ist ein interessantes Thema!
VG,
Mad
krass. Sowas ist echt bitter. Aber zum Glückm konntest du es klären! Viel Spaß beim einlesen in die Serversicherheit, ist ein interessantes Thema!
VG,
Mad
IRC Server werden gerne genutzt um übernommenen PCs Anweisungen zu schicken.
TS3 solltest du immer aktuell halten, da hatte ich auch schon ein böses Erlebniss mit. Leg dafür am besten einen eigenen Benutzer an der lediglich auf das TS Verzeichniss zugreifen darf, damit nimmst du schonmal viel Schadenspotential raus.
- Registriert
- Jan. 2009
- Beiträge
- 695
Mal ein kleines Update.
Nach dem wir nun alle Logs analysiert haben, lässt sich der Weg des Script "udp.pl" nun halbwegs nachvollziehen.
Teamspeak 3 bietet ja die Möglichkeit zum File-Upload und es existiert das ein oder andere Exploit, um sich in TS Admin-Rechte zu verschaffen. Zu diesen Exploits gibts sogar How-Tos bei Youtube. Ist also nicht mal eine große Kunst...
Dann ist es recht einfach die Datei hochzuladen und auszuführen. Sie läuft dann auch mit der ID von Teamspeak.
Ich werd jetzt auf dem neuen TS3-Server grundsätzlich den File-Upload sperren.
Nach dem wir nun alle Logs analysiert haben, lässt sich der Weg des Script "udp.pl" nun halbwegs nachvollziehen.
Teamspeak 3 bietet ja die Möglichkeit zum File-Upload und es existiert das ein oder andere Exploit, um sich in TS Admin-Rechte zu verschaffen. Zu diesen Exploits gibts sogar How-Tos bei Youtube. Ist also nicht mal eine große Kunst...
Dann ist es recht einfach die Datei hochzuladen und auszuführen. Sie läuft dann auch mit der ID von Teamspeak.
Ich werd jetzt auf dem neuen TS3-Server grundsätzlich den File-Upload sperren.
Madman1209
Fleet Admiral
- Registriert
- Nov. 2010
- Beiträge
- 28.101
Hi,
puuuuuh. Da hääte ich nicht dran gedacht...macht aber Sinn.
Sauerei sowas. Aber wenigstens konntest du es klären!
VG,
Mad
puuuuuh. Da hääte ich nicht dran gedacht...macht aber Sinn.
Sauerei sowas. Aber wenigstens konntest du es klären!
VG,
Mad
BrollyLSSJ
Vice Admiral Pro
- Registriert
- Juni 2007
- Beiträge
- 6.828
Falls du noch wissen willst, wie man TS3 mit eingeschraenkten Rechten (extra Benutzer) anlegt, koenntest du mal im Forum von EUSERV nach TS3 und Gugy suchen. Er hat dort ein Tutorial reingestellt. Wenn du das befolgst, kannst du eigentlich nichts falsch machen und auch das Updaten von TS3 ist sehr einfach.
