Re: OT: "You system was hacked !!! Sorry."

[niels jende]

Claudius Hubig schrieb:

niels jende <[EMAIL PROTECTED]> wrote:
  

Hallo Claudius,

als allererstes waren es keine Hacker sondern Cracker!Hacker sind 
bekannternassen die WhiteHats, also die guten Buben!

Desweiteren schau doch mal auf



Habe ich "Hacker" nicht in Anführungszeichen gesetzt? Der Unterschied
ist mir nämlich durchaus bekannt.


  
Dort wirst Du auch hinsichtlich Tools zum Abwehren eben dieser Angriffe 
gewiss fündig!



Was ich dort als Privatanwender soll, weiß ich nicht so recht


Moin Claudius!
Dann schau Dich mal auf der Seite genau um und dann wirst Du auch 
erstklassige Präventionstools finden, welche Deinen Server wunderbar vor 
solchen Angriffen schützen. Ebenso findest Du dort ausreichend tools, 
falls Du Forensik betreiben möchtest!


Gruß
Niels

Send instant messages to your online friends http://au.messenger.yahoo.com 



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Andreas Hergesell]

Am Mittwoch, 22. Februar 2006 18:36 schrieb Thomas Stein:
> On 22.02.2006, 17:21 Uhr, Andreas Hergesell wrote:
> > Am Dienstag, 21. Februar 2006 18:00 schrieb Claudius Hubig:
> > > 
> > > Your System Was Hacked !!! Sorry .
> >
> > Meinst du nicht es wäre sinnvoll die Kiste vom Netz zu nehmen?
> > Andreas
>
> Wie Christian in der ursprünglichen Mail schrieb, hat er das
> sofort getan.

Upps, das hat mir mein lokaler Cache wohl nicht weiter mitgeteilt...

Sorry!

Andreas

Re: OT: "You system was hacked !!! Sorry."

[Thomas Stein]

On 22.02.2006, 17:21 Uhr, Andreas Hergesell wrote:
> Am Dienstag, 21. Februar 2006 18:00 schrieb Claudius Hubig:
> > 
> > Your System Was Hacked !!! Sorry .
> Meinst du nicht es wäre sinnvoll die Kiste vom Netz zu nehmen?
> Andreas

Wie Christian in der ursprünglichen Mail schrieb, hat er das sofort
getan.

MfG

Thomas Stein
-- 
54. Uh huh.."nu -k $USER".. no problemsure thing...

--Top 100 things you don't want the sysadmin to say


signature.asc
Description: Digital signature

Re: OT: "You system was hacked !!! Sorry."

[Andreas Hergesell]

Am Dienstag, 21. Februar 2006 18:00 schrieb Claudius Hubig:
> Hi Liste,
>
> als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war
> noch alles i. O., als ich es eben tat hatte ich eine schöne neue
> index.html mit folgendem Text (und einem ebenso schönen Bild):
>
> 
> Your System Was Hacked !!! Sorry .


Meinst du nicht es wäre sinnvoll die Kiste vom Netz zu nehmen?


So long

Andreas

Re: OT: "You system was hacked !!! Sorry."

[Claudius Hubig]

niels jende <[EMAIL PROTECTED]> wrote:
>Hallo Claudius,
>
>als allererstes waren es keine Hacker sondern Cracker!Hacker sind 
>bekannternassen die WhiteHats, also die guten Buben!
>Desweiteren schau doch mal auf

Habe ich "Hacker" nicht in Anführungszeichen gesetzt? Der Unterschied
ist mir nämlich durchaus bekannt.


>Dort wirst Du auch hinsichtlich Tools zum Abwehren eben dieser Angriffe 
>gewiss fündig!

Was ich dort als Privatanwender soll, weiß ich nicht so recht

Claudius
-- 
Claudius Hubig,= ,-_-. =.224491597
Es gibt auch Linux-Aussteiger.   ((_/)o o(\_))  Y!M:opensource2017
Aber die Rückfallquote steigt mit `-'(. .)`-' claudiushubig.tk 
jeder Win-Version. (Walter Saner) \_/ [EMAIL PROTECTED]


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Wolfgang Jeltsch]

Am Dienstag, 21. Februar 2006 19:47 schrieb Claudius Hubig:
> [...]

> (1) Das Problem des DirectoryListings ist mir bekannt und mMn
> mittlerweile behoben.

Könnte mich jemand bitte aufklären, um was für ein Problem es da geht?

> [...]

Viele Grüße
Wolfgang

Re: OT: "You system was hacked !!! Sorry."

[niels jende]

Hallo Claudius,

als allererstes waren es keine Hacker sondern Cracker!Hacker sind 
bekannternassen die WhiteHats, also die guten Buben!

Desweiteren schau doch mal auf

http://www.computech.ch

Dort wirst Du auch hinsichtlich Tools zum Abwehren eben dieser Angriffe 
gewiss fündig!


Gruß
Niels
Send instant messages to your online friends http://au.messenger.yahoo.com 



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[niels jende]

Claudius Hubig schrieb:

Reinhold Plew <[EMAIL PROTECTED]> wrote:
  

Hi,

Claudius Hubig wrote:


Hi Liste,

als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war noch
alles i. O., als ich es eben tat hatte ich eine schöne neue index.html
mit folgendem Text (und einem ebenso schönen Bild):


Your System Was Hacked !!! Sorry .
  

das ist nicht zufällig das System, welches Du unten in Deiner
Signature stehen hast?

Da gibt es bei Aufruf nämlich manchmal ein Directory Listing
Deines DocumentRoot



Doch, das ist es :(.

Ich möchte jetzt nicht jede Mail einzeln beantworten, sonder diese hier
kurz zusammenfassen.

(1) Das Problem des DirectoryListings ist mir bekannt und mMn
mittlerweile behoben.

(2) Neuinstallation: Wird in den Ferien stattfinden, bis da hin muss
ich noch ein bisschen experimentieren.

(3) Backup: Nun, was erscheint da denn sinnvoll? Ein Backup, dass der
Server selbst ausführt ist natürlich genauso unsicher, solange das
Backupziel erreichbar ist. Ich müsste also eine weitere Maschine
einrichten, auf der die Backups gespeichert sind. Werde ich mir
überlegen. Ansonsten könnte ich noch versuchen mit einer Vollsicherung
und danach mittels rsync eine Sicherung der sich ändernden Daten
vorzunehmen. Auch da bräuchte ich einen weiteren Rechner und vor allem 
Speicherplatz.


  

Was sagt den Nessus oder hast Du den noch gar nicht laufen lassen???
Send instant messages to your online friends http://au.messenger.yahoo.com 



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Philipp Frik]

Claudius Hubig schrieb:

>Hi Liste,
>
>als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war noch
>alles i. O., als ich es eben tat hatte ich eine schöne neue index.html
>mit folgendem Text (und einem ebenso schönen Bild):
>
>
>Your System Was Hacked !!! Sorry .
>
>Ownz Your B0x
>
>Team: V3n0xXx / d4rkv1rus / iCr4sh0v3r / hEx
>
>irc.gigachat.net #A.O.S
>
>( Conhecimento acima de tudo !!! ) 
>
>Greetz for Friends: !
>
>Skyhell,crackt0r,kbcao,darkly,O-mAsTeR, P3S4D3L0 , kbcao, VidaLoka,
>al4nc4ds, Zack , V4mu , Fire_Devil , Malkavian (Biba), Lord_Devil ,
>unknown , doph , mendigo , Ackstr0n_X , cCkw , BrasilianBoy , YC ,
>Pharoeste , Hellsink , h4rv3st , sh0x , failed , Sinistr0 , define ,
>gridrunk , Elemento_pcX, Slackirc^^ , Terror_br .
>
>
>
>  
>
Ist halt n Typisches defacement was über Sicherheitslücken zustande
kommt. Zuzeit sind viele bots unterwegs die auf Mambo, awstats, Joomala
usw. losgeht. Im Normalfall tauchen die Bots meist erst verstärkt auf
wenn des CMS schon nen Update erfahren hat also sollte hier drauf
geachtet werden dass halt des CMS immer aufm Aktuellen stand ist. Des
weiteren hab ich auf dem webserver unter meiner fuchtel den
libapache2-mod-security drauf. Aber nicht die Version aus debian sondern
ne eigen gebaut weil es doch nen erheblichen unterschied zwischen 1.8.7
und 1.9.2.0 gibt. Dazu hab ich dann die Rules von hier
http://www.gotroot.com/mod_security+rules genommen und somit werden die
meisten angriffe abgewehrt. Gut 100% Sicherheit hast erst dann wennst
den Netzstercker ziehst aber bissal hilfts auf jeden fall :)
Wennd du die von mir gebauten Packete haben willst hier is der link:
http://www.theorie.physik.uni-muenchen.de/~kotty/debian/
 . Die
laufen ohne Probleme unter sarge.

>Danke für eure Ratschläge,
>
>Claudius
>  
>

Gruß

Philipp




-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[niels jende]

Ich würde zur Not auch noch mal Nessus scannen lassen mit den neuesten

Plugins versteht sich von selbst, oder!?

Greetz
Niels




  


Send instant messages to your online friends http://au.messenger.yahoo.com 



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Matthias Haegele]

...]

Ich möchte jetzt nicht jede Mail einzeln beantworten, sonder diese hier
kurz zusammenfassen.

(1) Das Problem des DirectoryListings ist mir bekannt und mMn
mittlerweile behoben.

(2) Neuinstallation: Wird in den Ferien stattfinden, bis da hin muss
ich noch ein bisschen experimentieren.

(3) Backup: Nun, was erscheint da denn sinnvoll? Ein Backup, dass der
Server selbst ausführt ist natürlich genauso unsicher, solange das
Backupziel erreichbar ist. Ich müsste also eine weitere Maschine
einrichten, auf der die Backups gespeichert sind. Werde ich mir
überlegen. Ansonsten könnte ich noch versuchen mit einer Vollsicherung
und danach mittels rsync eine Sicherung der sich ändernden Daten
vorzunehmen. Auch da bräuchte ich einen weiteren Rechner und vor allem 
Speicherplatz.
Am besten die Platte ausbauen (wenns geht), in einen sauberen Rechner 
mit Bootsystem einbauen und die Filesysteme auf der "gecrackten Platte" 
read-only mounten falls Du Forensik betreiben willst.
Zur Not würde wahrscheinlich auch von CD booten gehen, solange die 
Filesysteme ro gemountet werden.

Halt uns auf jeden Fall auf dem laufenden.

Grüsse
MH


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Matthias Haegele]

Christian Lox schrieb:

Claudius Hubig schrieb:



Nunja, in dem Channel hab ich noch ein bisschen mehr erfahren,
scheinbar war dies ein Problem mit Limbo und PHP - da muss ich mich mal
miteinander auseinandersetzen inwieweit man was einschränken könnte.




Bei Mambo gabs IIRC in den letzten Tagen/Wochen ne böse Lücke.
Wenn ich das recht sehe, hängt Mambo und Limbo irgendwie zusammen, oder.
Nicht unwahrscheinlich, daß dieselbe Lücke ausgenutzt wurde.

Verdächtige Dateien im /tmp ?.
Würde die Logs nach Einträgen vim Apache/CMS untersuchen auch auf 
anlegen von Dateien im tmp ...


Christian

Grüsse
MH


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/


Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Claudius Hubig]

Claudius Hubig <[EMAIL PROTECTED]> wrote:
>Reinhold Plew <[EMAIL PROTECTED]> wrote:
>>Hi,
>>
>>Claudius Hubig wrote:
>>> Hi Liste,
>>> 
>>> als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war noch
>>> alles i. O., als ich es eben tat hatte ich eine schöne neue index.html
>>> mit folgendem Text (und einem ebenso schönen Bild):
>>> 
>>> 
>>> Your System Was Hacked !!! Sorry .
>>
>>das ist nicht zufällig das System, welches Du unten in Deiner
>>Signature stehen hast?
>>
>>Da gibt es bei Aufruf nämlich manchmal ein Directory Listing
>>Deines DocumentRoot
>
>Doch, das ist es :(.
>
>Ich möchte jetzt nicht jede Mail einzeln beantworten, sonder diese hier
>kurz zusammenfassen.
>
>(1) Das Problem des DirectoryListings ist mir bekannt und mMn
>mittlerweile behoben.
>
>(2) Neuinstallation: Wird in den Ferien stattfinden, bis da hin muss
>ich noch ein bisschen experimentieren.
>
>(3) Backup: Nun, was erscheint da denn sinnvoll? Ein Backup, dass der
>Server selbst ausführt ist natürlich genauso unsicher, solange das
>Backupziel erreichbar ist. Ich müsste also eine weitere Maschine
>einrichten, auf der die Backups gespeichert sind. Werde ich mir
>überlegen. Ansonsten könnte ich noch versuchen mit einer Vollsicherung
>und danach mittels rsync eine Sicherung der sich ändernden Daten
>vorzunehmen. Auch da bräuchte ich einen weiteren Rechner und vor allem 
>Speicherplatz.

Ich hasse diesen [Strg]+[Return] Shortcut, weiß jemand wie man den bei
Sylpheed-Claws abstellt?

(4) rkhunter: Habe ich laufen lassen, ergab keine Probleme.

(5) Einfallstor: Ist mir mittlerweile bekannt, anscheinend eine
PHP/Limbo ('Lite Mambo') Fehler. Werde ich bei der Neuinstallation
ebenfalls ersetzen.

Soweit ist bei mir alles geklärt, ich danke allen für ihre Hilfe. :)

Claudius
-- 
Claudius Hubig,= ,-_-. =.224491597
Es gibt auch Linux-Aussteiger.   ((_/)o o(\_))  Y!M:opensource2017
Aber die Rückfallquote steigt mit `-'(. .)`-' claudiushubig.tk 
jeder Win-Version. (Walter Saner) \_/ [EMAIL PROTECTED]

-- 
Claudius Hubig,= ,-_-. =.224491597
Es gibt auch Linux-Aussteiger.   ((_/)o o(\_))  Y!M:opensource2017
Aber die Rückfallquote steigt mit `-'(. .)`-' claudiushubig.tk 
jeder Win-Version. (Walter Saner) \_/ [EMAIL PROTECTED]


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Claudius Hubig]

Reinhold Plew <[EMAIL PROTECTED]> wrote:
>Hi,
>
>Claudius Hubig wrote:
>> Hi Liste,
>> 
>> als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war noch
>> alles i. O., als ich es eben tat hatte ich eine schöne neue index.html
>> mit folgendem Text (und einem ebenso schönen Bild):
>> 
>> 
>> Your System Was Hacked !!! Sorry .
>
>das ist nicht zufällig das System, welches Du unten in Deiner
>Signature stehen hast?
>
>Da gibt es bei Aufruf nämlich manchmal ein Directory Listing
>Deines DocumentRoot

Doch, das ist es :(.

Ich möchte jetzt nicht jede Mail einzeln beantworten, sonder diese hier
kurz zusammenfassen.

(1) Das Problem des DirectoryListings ist mir bekannt und mMn
mittlerweile behoben.

(2) Neuinstallation: Wird in den Ferien stattfinden, bis da hin muss
ich noch ein bisschen experimentieren.

(3) Backup: Nun, was erscheint da denn sinnvoll? Ein Backup, dass der
Server selbst ausführt ist natürlich genauso unsicher, solange das
Backupziel erreichbar ist. Ich müsste also eine weitere Maschine
einrichten, auf der die Backups gespeichert sind. Werde ich mir
überlegen. Ansonsten könnte ich noch versuchen mit einer Vollsicherung
und danach mittels rsync eine Sicherung der sich ändernden Daten
vorzunehmen. Auch da bräuchte ich einen weiteren Rechner und vor allem 
Speicherplatz.


-- 
Claudius Hubig,= ,-_-. =.224491597
Es gibt auch Linux-Aussteiger.   ((_/)o o(\_))  Y!M:opensource2017
Aber die Rückfallquote steigt mit `-'(. .)`-' claudiushubig.tk 
jeder Win-Version. (Walter Saner) \_/ [EMAIL PROTECTED]


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Christian Lox]

Claudius Hubig schrieb:

> Nunja, in dem Channel hab ich noch ein bisschen mehr erfahren,
> scheinbar war dies ein Problem mit Limbo und PHP - da muss ich mich mal
> miteinander auseinandersetzen inwieweit man was einschränken könnte.
> 

Bei Mambo gabs IIRC in den letzten Tagen/Wochen ne böse Lücke.
Wenn ich das recht sehe, hängt Mambo und Limbo irgendwie zusammen, oder.
Nicht unwahrscheinlich, daß dieselbe Lücke ausgenutzt wurde.

Christian


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Reinhold Plew]

Hi,

Claudius Hubig wrote:
> Hi Liste,
> 
> als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war noch
> alles i. O., als ich es eben tat hatte ich eine schöne neue index.html
> mit folgendem Text (und einem ebenso schönen Bild):
> 
> 
> Your System Was Hacked !!! Sorry .

das ist nicht zufällig das System, welches Du unten in Deiner
Signature stehen hast?

Da gibt es bei Aufruf nämlich manchmal ein Directory Listing
Deines DocumentRoot

Gruss
Reinhold


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Daniel Leidert]

Am Dienstag, den 21.02.2006, 18:00 +0100 schrieb Claudius Hubig:

> als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war noch
> alles i. O., als ich es eben tat hatte ich eine schöne neue index.html
> mit folgendem Text (und einem ebenso schönen Bild):
> 
> 
[..]
> Nunja, den betroffenen "Server" habe ich sofort vom Netz getrennt,
> und mich lokal eingeloggt um zumindest einen kleinen Überblick zu
> bekommen.
> 
> In der /var/log/auth.log fand sich keinerlei login seit gestern abend,
> und das war ich selbst.
> 
> Das Verzeichnis /var/www/limbo (auf das meine Domain verwies) enthielt
> besagte HTML-Datei sowie ein Bild, alle anderen Verzeichnisse
> in /var/www (es liegen hier noch zwei 'Websites') waren jedoch unberüht.
> 
> Die /var/log/apache2/access.log ist komplett leer.
> 
> 
> Die Versionen der Pakete auf dem Server sind aktuelles Debian-Testing,
> ich möchte hier im Hinblick auf das Dartenvolumen nicht riesig lange
> Listen verschicken.
> 
> Jetzt liegt es natürlich im Bereich des möglichen das diese "Hacker"
> die entsprechenden Angaben gelöscht bzw. geändert haben, doch halte ich
> dies nicht für sehr wahrscheinlich.

Das ist, IMHO, eine sehr gefährliche Meinung. Zum Säubern der Logs gibt
es genauso Tools. Das ist kaum Arbeit (selbst für Sciptkiddies).

> Genauso wäre es möglich, dass sie
> irgendwo auf dem System ein rootkit installiert haben bzw. eine der
> ausführbaren Dateien geändert haben. Überprüfen kann ich dies nicht.

Dann ...

> Doch wie soll ich jetzt weiter vorgehen? Der Angriff muss heute Mittag
> geschehen sein, heute nacht war ich vom Netz getrennt.
> 
> Eine Neuinstallation der zu diesem Zeitpunkt laufenden Systeme
> (Hardwarerouter; Linux-Router; Server) würde ich gerne vermeiden,
> Backups habe ich nur von den Konfigurationsdateien erstellt, nicht von
> von den gesammten Partitionen.
> 
> Was sollte ich jetzt noch überprüfen, was sollte ich neu installieren
> (der Aufwand sollte sich jeweils lohnen, ich bin nicht paranoid[1])

... gehört das System platt gemacht und neu aufgesetzt. Du weißt eben
nicht, was dein Server im Moment alles tut. Vorher würde ich aber
versuchen, das Einfallstor zu ermitteln (das betroffene System auf
offene Ports scannen, wenn du MD5-Summen oder Aide-Daten der
Installation hast, diese mal prüfen, evtl. chkrootkit und rkhunter
laufen lassen, nach bekannten Sicherheitslücken der installierten
Programme suchen oder gleich jemanden beauftragen, der von Forensik
Ahnung hat), sonst hat deine nä. Installation kaum Chancen auf ein
längeres Leben. Und beim nä. Versuch würde ich dir regelmäßige und
vernünftige Backups dringend anraten. Denn das ist dein eigentliches
Problem. Hättest du eine vernünftige Backupstrategie, dann würdest du
nicht von "Neuinstallation vermeiden" etc. sprechen und hättest schnell
wieder ein laufendes System ohne großen Datenverlust.

MfG Daniel

Re: OT: "You system was hacked !!! Sorry."

[Claudius Hubig]

Roeschu Ostwald <[EMAIL PROTECTED]> wrote:
>Die üblichen Rootkit Hunter z.B http://www.rootkit.nl/ oder
>chrkrootkit. Finden aber natürlich nur bekannte Standard rootkits.

Aha, danke :)

>Leute die Rootkits platzieren verunstalten in der Regel aber nicht
>einfach die Websites sondern haben andere Absichten und versuchen
>unentdeckt zu bleiben...weshalb das verunstalten der Websites in
>diesem Falle eher weniger Sinn machen würde.

Klingt logisch.

>In diesem Falle würd ich eher davon ausgehen das dies einfach ein
>Defacement ist. Die Leute verunstalten möglichst viele Seiten und
>melden dies dann an einen Zentralen Server welcher eine Rangliste der
>diversen "hackergruppen" und der Anzahl verunstalteter Seiten listet.
>Passiert in der Regel vorallem wenn die z.B Brasilianer Schulferien
>haben...

Nunja, in dem Channel hab ich noch ein bisschen mehr erfahren,
scheinbar war dies ein Problem mit Limbo und PHP - da muss ich mich mal
miteinander auseinandersetzen inwieweit man was einschränken könnte.

>Bei mir wurde mal ein Windows Server über Frontpage mit solchen
>Hintergründen gehackt, mein Server war dann in so einer Rangliste
>gelistet..

Ich werde mal suchen!

>Wenn du allerdings keine Spuren findest und dir nicht sicher bist
>müsstest du theoretisch den Server halt schon neu aufsetzten. Ich weiss das 
>ist in
>der Regel nicht einfach im Alltag aber wenn man nicht weiss wie sie
>reinkamen...Ich hab damals allerdings den Server auch nicht neu
>aufgesetzt...soviel zu praxis und theorie..

Die nächsten Ferien stehen ja vor der Haustür, da hab ich Zeit .oO

Danke jedenfalls für deine Antwort.

Greetinx

Claudius
-- 
Claudius Hubig,= ,-_-. =.224491597
Es gibt auch Linux-Aussteiger.   ((_/)o o(\_))  Y!M:opensource2017
Aber die Rückfallquote steigt mit `-'(. .)`-' claudiushubig.tk 
jeder Win-Version. (Walter Saner) \_/ [EMAIL PROTECTED]


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: OT: "You system was hacked !!! Sorry."

[Roeschu Ostwald]

Hallo

> Was sollte ich jetzt noch überprüfen, was sollte ich neu installieren
> (der Aufwand sollte sich jeweils lohnen, ich bin nicht paranoid[1])

Die üblichen Rootkit Hunter z.B http://www.rootkit.nl/ oder
chrkrootkit. Finden aber natürlich nur bekannte Standard rootkits.

Leute die Rootkits platzieren verunstalten in der Regel aber nicht
einfach die Websites sondern haben andere Absichten und versuchen
unentdeckt zu bleiben...weshalb das verunstalten der Websites in
diesem Falle eher weniger Sinn machen würde.

In diesem Falle würd ich eher davon ausgehen das dies einfach ein
Defacement ist. Die Leute verunstalten möglichst viele Seiten und
melden dies dann an einen Zentralen Server welcher eine Rangliste der
diversen "hackergruppen" und der Anzahl verunstalteter Seiten listet.
Passiert in der Regel vorallem wenn die z.B Brasilianer Schulferien
haben...

Bei mir wurde mal ein Windows Server über Frontpage mit solchen
Hintergründen gehackt, mein Server war dann in so einer Rangliste
gelistet..

Wenn du allerdings keine Spuren findest und dir nicht sicher bist
müsstest du theoretisch den Server halt schon neu aufsetzten. Ich weiss das ist 
in
der Regel nicht einfach im Alltag aber wenn man nicht weiss wie sie
reinkamen...Ich hab damals allerdings den Server auch nicht neu
aufgesetzt...soviel zu praxis und theorie..

Und halt vielleicht in Zukunft Aide oder was ähnlich verwenden um die
Spuren im nachhinein erkennen zu könne.

viel spass









-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

OT: "You system was hacked !!! Sorry."

[Claudius Hubig]

Hi Liste,

als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war noch
alles i. O., als ich es eben tat hatte ich eine schöne neue index.html
mit folgendem Text (und einem ebenso schönen Bild):


Your System Was Hacked !!! Sorry .

Ownz Your B0x

Team: V3n0xXx / d4rkv1rus / iCr4sh0v3r / hEx

irc.gigachat.net #A.O.S

( Conhecimento acima de tudo !!! ) 

Greetz for Friends: !

Skyhell,crackt0r,kbcao,darkly,O-mAsTeR, P3S4D3L0 , kbcao, VidaLoka,
al4nc4ds, Zack , V4mu , Fire_Devil , Malkavian (Biba), Lord_Devil ,
unknown , doph , mendigo , Ackstr0n_X , cCkw , BrasilianBoy , YC ,
Pharoeste , Hellsink , h4rv3st , sh0x , failed , Sinistr0 , define ,
gridrunk , Elemento_pcX, Slackirc^^ , Terror_br .


Nunja, den betroffenen "Server" habe ich sofort vom Netz getrennt,
und mich lokal eingeloggt um zumindest einen kleinen Überblick zu
bekommen.

In der /var/log/auth.log fand sich keinerlei login seit gestern abend,
und das war ich selbst.

Das Verzeichnis /var/www/limbo (auf das meine Domain verwies) enthielt
besagte HTML-Datei sowie ein Bild, alle anderen Verzeichnisse
in /var/www (es liegen hier noch zwei 'Websites') waren jedoch unberüht.

Die /var/log/apache2/access.log ist komplett leer.


Die Versionen der Pakete auf dem Server sind aktuelles Debian-Testing,
ich möchte hier im Hinblick auf das Dartenvolumen nicht riesig lange
Listen verschicken.

Jetzt liegt es natürlich im Bereich des möglichen das diese "Hacker"
die entsprechenden Angaben gelöscht bzw. geändert haben, doch halte ich
dies nicht für sehr wahrscheinlich. Genauso wäre es möglich, dass sie
irgendwo auf dem System ein rootkit installiert haben bzw. eine der
ausführbaren Dateien geändert haben. Überprüfen kann ich dies nicht.

Doch wie soll ich jetzt weiter vorgehen? Der Angriff muss heute Mittag
geschehen sein, heute nacht war ich vom Netz getrennt.

Eine Neuinstallation der zu diesem Zeitpunkt laufenden Systeme
(Hardwarerouter; Linux-Router; Server) würde ich gerne vermeiden,
Backups habe ich nur von den Konfigurationsdateien erstellt, nicht von
von den gesammten Partitionen.

Was sollte ich jetzt noch überprüfen, was sollte ich neu installieren
(der Aufwand sollte sich jeweils lohnen, ich bin nicht paranoid[1])

Danke für eure Ratschläge,

Claudius
-- 
Claudius Hubig,= ,-_-. =.224491597
Es gibt auch Linux-Aussteiger.   ((_/)o o(\_))  Y!M:opensource2017
Aber die Rückfallquote steigt mit `-'(. .)`-' claudiushubig.tk 
jeder Win-Version. (Walter Saner) \_/ [EMAIL PROTECTED]


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)