Archiv verlassen und diese Seite im Standarddesign anzeigen : r0nin?
Hi,
ich habe eben im log bei mir gesehen, dass ein Prozess "r0nin" lief, der wurde auch 300 mal runtergeladen.
Hat jemand ne idee was das sein kann?
" r0nin
Download Descripcion del articulo:
Backdoor q nos permite entrar como nobody a una shell del server infectado"
na klasse....
Ja, ein Backdoor.
Am besten den Rechner vom Netz nehmen und neuinstallieren...
Eventuell vorher eine Kopie der gesamten Platte machen wenn Du vorhast den Angreifer anzuzeigen...
mfg
cane
Ja, ein Backdoor.
Am besten den Rechner vom Netz nehmen und neuinstallieren...
Bin gerade dabei die Backups zu machen (also nochmal tagatuelle zu den regelmäßigen) und dann wird der platt gemacht.
Eventuell vorher eine Kopie der gesamten Platte machen wenn Du vorhast den Angreifer anzuzeigen...
Bringt ja nix, der exploit wurde von http://hoob.webcindario.com/DASHIERENTFERNENISTEINGEFUEGTDAMITSICHNICHTJEMANDI NFIZIERTr0nin geladen, ich habe auch http://www.delikon.de/neuepage/fmtgerman.txt den overflow bei mir gefunden.
Ich würde nur gerne wissen wie das gegangen ist, damit ich beim neuaufbau dieses vermeiden kann.
Ich würde nur gerne wissen wie das gegangen ist, damit ich beim neuaufbau dieses vermeiden kann.
Deswegen mach Dir eine Bitgenaue Kopie mittels dd.
Dann kannst Du mit Forensic-Tools wie Autopsy nachvollziehen wie der Angreifer vorgegangen ist...
mfg
cane
Deswegen mach Dir eine Bitgenaue Kopie mittels dd.
Dann kannst Du mit Forensic-Tools wie Autopsy nachvollziehen wie der Angreifer vorgegangen ist...
mfg
cane
Server steht bei 1&1, von daher kann ich das vergessen, eine dd-kopie einer 80gb-platte über netzwerk ist ne schlechte idee.
Dann mach den Backup doch auf deinen kostenlosen FTP-Backup-Space...
Am besten partitionsweise...
mfg
cane
hi
ich bin durch google auf dieses post gestoßen..
ich bin der eigentümer von www.delikon.de
und ich wollte nur mal fragen was der fmt artikel mit dem einbruch zutun hat.
ich hoffe nichts
beste grüße
schnabeltasse
20.01.05, 23:47
hi
ich bin durch google auf dieses post gestoßen..
ich bin der eigentümer von www.delikon.de
und ich wollte nur mal fragen was der fmt artikel mit dem einbruch zutun hat.
ich hoffe nichts
beste grüßeschwer zu sagen, wenn der artikel ein 404 ist
:rolleyes:
Sehr beliebt und verbreitet der gute r0nin, ein Update von php und falls es aum laufen ist von phpbb auf 2.0.11 sollte reichen um das Problem aus der Welt zu schaffen. Falls der Server vernünftig eingerichtet ist, und der Webserver lediglich Schreibrechte auf den tmp Verzeichnissen hatte ist an für sich auch kein neu aufsetzen erforderlich wenn man alles entfernt und die entsprechenden Updates durchführt.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.