Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

polizei!!! hilfe einbrecher !!!!

k.0815 / 12 Antworten / Flachansicht Nickles

hi!

tja, scheiße, nun hat mich wohl doch erwicht.habe bisher noch nie probs mit einruchsversuchen und so gehabt, zumindest ist bisher anscheinend keiner durchgekommen. gestern habe ich meinen server mal neu installiert (mandrake8.2), und entweder ich hab da irgendwas falsch gemacht, und das system ist viel unsicherer als vorher, was aber niht so sein sollte, sonder eigentlich recht gleich, oder es hat gerade jetzt jemand auf mich abgesehn.
aufgefallen ist es dadurch, das nach dem aufstehen mein webserver nicht mehr lief. wollte dann per ssh auf den server connecten, um zu sehn was los ist, da behauptet ssh auf einmal ich sei nich mehr berechtigt. hmm? warum das? ging doch gestern abend noch. naja, dann bin ich halt rinter an den server, melde mich als root an, und brech fast ab. da muß ich lesen, ich wäre das letzte mal mit 201plapla.pla.ro connected. das war mich sicherheit nicht so, wenn ich nich am server selbst war, dann am meinem rechner, und dann würde da stehen 0815.net. daraus schließe ich, das da jemand in meinem system war, der da nicht reinsollte. darufhin hab ich natrülich gleich angefangen, die logfiles zu untersuchen, wo sich andere interesante entdeckungen machen ließen. der oder die schweine haben nen neuen user angelegt, meinen webserver runtergefahren, anscheindend die berechtigungen der bestehenden user verändert, und was weiß ich noch alles, bin noch am suchen.
hier mal n paar dinge aus den logfiles, die ich nicht für normal halte:
Thu Jan 16 20:21:14 2003] [error] [client 213.255.96.171] File does not exist: /mnt/fileserver/webserver/html/sumthin
[Thu Jan 16 20:25:33 2003] [error] [client 210.104.240.42] Client sent malformed Host header

Jan 16 22:46:39 websvr postfix/smtp[8631]: 7D43615004: to=

bei Antwort benachrichtigen
xafford k.0815 „ok, danke für die infos. so, server läuft nun wieder seit einigen stunden,...“
Optionen

das sind Windows IIS die (immer noch) von Code Red (oder war´s nimda?) befallen sind und nach anderen IIS im netz anhand von offenen ports80 suchen um diese ebenfalls zu infizieren. außer der bandbreitenverschwendung ist dies bei einem nicht-IIS ungefährlich. bei so fällen erübrigt sich meist auch eine mail an den web oder hostmaster, da diese in 98% der fälle ohnehin nicht reagieren.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen