Als ich heute mal wieder auf meinen Server geschaut habe sah ich ein "./g" unter prozesse. ich schau grade mein error.log vom apache durch und da seh ichs.

Server version: Apache/1.3.31 (Debian GNU/Linux)
Server built: Oct 29 2004 12:52:40

Linux blahblah 2.4.27 #2 SMP So Nov 7 00:48:01 CET 2004 i686 GNU/Linux

ich habe vor morgen das telekom security team anzurufen, da der hacker erst versucht hat den source zu kompiliren, ging wohl nicht, da kein gcc installiert war :) und dann hat er das "g" von einer IP gezogen die der telekom gehört.

hat eventuell noch jemand sowas bemerkt?

Gruß
Sven

ich habe vor morgen das telekom security team anzurufen,
Oder direkt T-Online, aus deren Bereich stammt die IP lt. nslookup (*.dip.t-dialin.net). Vielleicht unternehmen die dann gegen den Verursacher etwas, immerhin war es kein harmloser Portscan. Ich würde es dann aber eher per Mail machen, da ist die Chanche größer, daß die jemand liest, der damit etwas anzufangen weiß.

MfG

und wes ein debian packet war wuerde ich es denen auch melden dann koennen die vielleicht was gegen das loch tun! :)

mfg eSpo

hallo!

das schaut verdammt nach eine angriff via php o.ä. aus.
hast du unsichere php/perl/cgi-programme laufen?

//richard

das einzigste was so drauf läuft sind phpBBs mehr eigentlich nicht und einige php homepages, wobei aber alles open_basedir restricted läuft, ich denk glaub ich mal über dieses apache_chroot nach.

naja nun hab ich meinen server nen kernel upgrade gemacht und nu fährt er erstmal nimmer hoch.. morgen mal resetten lassen und schauen was damit ist.

edit: achja, die sachen die er runtergezogen hat lagen alle in /tmp, was wegen apt zu diesem zeitpunkt leider nur nosuid gemountet war und nicht noexec

hi!

ist das phpbb2 aktuell?
alle älteren sind angreifbar.

schau dir mal lieber alle php-skripte durch.

//richard

also einige alte phpBBs waren dabei, 2.0.3 glaub ich eins sogar auch, was nur noch als archiv dient..

also chkrootkit hat nichts ausgegeben was irgendwie mir magenschmerzen machen sollte, aber was war dieses g ?

und abgesehen dass die root bash_history leer war war eigentlich nichts auffälliges. sollt ich den server trotzdem platt machen lassen?

also einige alte phpBBs waren dabei, 2.0.3 glaub ich eins sogar auch, was nur noch als archiv dient..

also chkrootkit hat nichts ausgegeben was irgendwie mir magenschmerzen machen sollte, aber was war dieses g ?

und abgesehen dass die root bash_history leer war war eigentlich nichts auffälliges. sollt ich den server trotzdem platt machen lassen?
hi!

ich würd die kisten auf jeden fall killen...

//richard

naja, mal jemanden finden der mich 450km nach frankfurt fährt und wieder zurück... bahn ist so *******e teuer und führerschein brauch noch 2 monate..

aber danke dir

hmm ich irgendwie die ahnung dass der keine root rechte bekommen hat. auch wenn diese "g" oder das "ov" irgendwie nen ssh server gewesen sein soll waren eigentlich alle ports closed sponsored by IPTables.

nur was dieses ov war werd ich nie herausfinden, da ich trollo den ganzen mist ja gelöscht hab :mad:

nur was dieses ov war werd ich nie herausfinden, da ich trollo den ganzen mist ja gelöscht hab :mad:

Das sollte man wie Du selbst bemerkt hast nie tun...

Der angreifer wird über eine phpBB Lücke reingekommen sein da wie Richard bereits erwähnte alle Versionen vor 2.011 Schwachstellen haben!

Siehe auch:
http://www.heise.de/security/result.xhtml?url=/security/news/meldung/53511

mfg
cane

naja, die lieben freunde vom lka kümmern sich drum. die waren aber mal richtig nett.

nu, ja die ip sagt ja nicht aus, dass er einbrecher auch an dem pc saß.
ich hab auf meinem http auch ein, zwei exploits - wenn die jemand runterläd, heißt das noch lange nicht, dass ich der cracker bin.

greets, Nik

naja, aber ich hab auch firewall logs gefunden wo diese t-online ip auf den port 6667 zugreift, der wohl durch dieses "ov" geöffnet wurde, tja iptables lässt grüßen, danke an dieser stelle nochmal an Harry :)