Hi Liste, als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war noch alles i. O., als ich es eben tat hatte ich eine schöne neue index.html mit folgendem Text (und einem ebenso schönen Bild):
<snip> Your System Was Hacked !!! Sorry . Ownz Your B0x Team: V3n0xXx / d4rkv1rus / iCr4sh0v3r / hEx irc.gigachat.net #A.O.S ( Conhecimento acima de tudo !!! ) Greetz for Friends: ! Skyhell,crackt0r,kbcao,darkly,O-mAsTeR, P3S4D3L0 , kbcao, VidaLoka, al4nc4ds, Zack , V4mu , Fire_Devil , Malkavian (Biba), Lord_Devil , unknown , doph , mendigo , Ackstr0n_X , cCkw , BrasilianBoy , YC , Pharoeste , Hellsink , h4rv3st , sh0x , failed , Sinistr0 , define , gridrunk , Elemento_pcX, Slackirc^^ , Terror_br . </snip> Nunja, den betroffenen "Server" habe ich sofort vom Netz getrennt, und mich lokal eingeloggt um zumindest einen kleinen Überblick zu bekommen. In der /var/log/auth.log fand sich keinerlei login seit gestern abend, und das war ich selbst. Das Verzeichnis /var/www/limbo (auf das meine Domain verwies) enthielt besagte HTML-Datei sowie ein Bild, alle anderen Verzeichnisse in /var/www (es liegen hier noch zwei 'Websites') waren jedoch unberüht. Die /var/log/apache2/access.log ist komplett leer. Die Versionen der Pakete auf dem Server sind aktuelles Debian-Testing, ich möchte hier im Hinblick auf das Dartenvolumen nicht riesig lange Listen verschicken. Jetzt liegt es natürlich im Bereich des möglichen das diese "Hacker" die entsprechenden Angaben gelöscht bzw. geändert haben, doch halte ich dies nicht für sehr wahrscheinlich. Genauso wäre es möglich, dass sie irgendwo auf dem System ein rootkit installiert haben bzw. eine der ausführbaren Dateien geändert haben. Überprüfen kann ich dies nicht. Doch wie soll ich jetzt weiter vorgehen? Der Angriff muss heute Mittag geschehen sein, heute nacht war ich vom Netz getrennt. Eine Neuinstallation der zu diesem Zeitpunkt laufenden Systeme (Hardwarerouter; Linux-Router; Server) würde ich gerne vermeiden, Backups habe ich nur von den Konfigurationsdateien erstellt, nicht von von den gesammten Partitionen. Was sollte ich jetzt noch überprüfen, was sollte ich neu installieren (der Aufwand sollte sich jeweils lohnen, ich bin nicht paranoid[1]) Danke für eure Ratschläge, Claudius -- Claudius Hubig ,= ,-_-. =. 224491597 Es gibt auch Linux-Aussteiger. ((_/)o o(\_)) Y!M:opensource2017 Aber die Rückfallquote steigt mit `-'(. .)`-' claudiushubig.tk jeder Win-Version. (Walter Saner) \_/ [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)