PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : r0nin?



WarEagle
08.12.04, 20:29
Hi,

ich habe eben im log bei mir gesehen, dass ein Prozess "r0nin" lief, der wurde auch 300 mal runtergeladen.
Hat jemand ne idee was das sein kann?


" r0nin
Download Descripcion del articulo:
Backdoor q nos permite entrar como nobody a una shell del server infectado"
na klasse....

cane
08.12.04, 21:23
Ja, ein Backdoor.

Am besten den Rechner vom Netz nehmen und neuinstallieren...

Eventuell vorher eine Kopie der gesamten Platte machen wenn Du vorhast den Angreifer anzuzeigen...

mfg
cane

WarEagle
08.12.04, 21:34
Ja, ein Backdoor.

Am besten den Rechner vom Netz nehmen und neuinstallieren...


Bin gerade dabei die Backups zu machen (also nochmal tagatuelle zu den regelmäßigen) und dann wird der platt gemacht.



Eventuell vorher eine Kopie der gesamten Platte machen wenn Du vorhast den Angreifer anzuzeigen...

Bringt ja nix, der exploit wurde von http://hoob.webcindario.com/DASHIERENTFERNENISTEINGEFUEGTDAMITSICHNICHTJEMANDI NFIZIERTr0nin geladen, ich habe auch http://www.delikon.de/neuepage/fmtgerman.txt den overflow bei mir gefunden.
Ich würde nur gerne wissen wie das gegangen ist, damit ich beim neuaufbau dieses vermeiden kann.

cane
08.12.04, 22:34
Ich würde nur gerne wissen wie das gegangen ist, damit ich beim neuaufbau dieses vermeiden kann.

Deswegen mach Dir eine Bitgenaue Kopie mittels dd.
Dann kannst Du mit Forensic-Tools wie Autopsy nachvollziehen wie der Angreifer vorgegangen ist...

mfg
cane

WarEagle
08.12.04, 23:02
Deswegen mach Dir eine Bitgenaue Kopie mittels dd.
Dann kannst Du mit Forensic-Tools wie Autopsy nachvollziehen wie der Angreifer vorgegangen ist...

mfg
cane
Server steht bei 1&1, von daher kann ich das vergessen, eine dd-kopie einer 80gb-platte über netzwerk ist ne schlechte idee.

cane
08.12.04, 23:42
Dann mach den Backup doch auf deinen kostenlosen FTP-Backup-Space...

Am besten partitionsweise...

mfg
cane

delikon
20.01.05, 20:41
hi
ich bin durch google auf dieses post gestoßen..
ich bin der eigentümer von www.delikon.de
und ich wollte nur mal fragen was der fmt artikel mit dem einbruch zutun hat.

ich hoffe nichts

beste grüße

schnabeltasse
20.01.05, 23:47
hi
ich bin durch google auf dieses post gestoßen..
ich bin der eigentümer von www.delikon.de
und ich wollte nur mal fragen was der fmt artikel mit dem einbruch zutun hat.

ich hoffe nichts

beste grüßeschwer zu sagen, wenn der artikel ein 404 ist
:rolleyes:

BBlack
22.01.05, 09:52
Sehr beliebt und verbreitet der gute r0nin, ein Update von php und falls es aum laufen ist von phpbb auf 2.0.11 sollte reichen um das Problem aus der Welt zu schaffen. Falls der Server vernünftig eingerichtet ist, und der Webserver lediglich Schreibrechte auf den tmp Verzeichnissen hatte ist an für sich auch kein neu aufsetzen erforderlich wenn man alles entfernt und die entsprechenden Updates durchführt.