forum gehackt worden

#1 tach....

so en mist ey!
forum ist gehackt wurden von uns....
als ich drauf gehen wollte kam nur noch das hier:

Zitat

RootCorp Attack You uname -a;id Linux s16 2.4.24 #3 Don Jan 8 11:21:30 CET 2004
i686 unknown uid=0(root) gid=0(root) groups=65534(nogroup),100(users) F*** os
kiddies da brasmerda!! Somos: *FOCUSED - SPECTROMAN ? TERROR_BR* * * * * * c
é o novo membro ?* * yes* *do** u speak portuguese ?* * hahaha* * yes* * é tu q tem o
local ?* * yes* * c q arranjou pra eles ?* * no* * quem foi ?* * pedro di lara* kkkkkkkk eu
mereço hauehauheauae kkkkkkkkkkkkk diz qeu foi um gringo rootcorp@linuxmail.org

kann da noch jemand was draus entnehmen oder so?

vom hoster kam folgendes:

Zitat

Guten Tag,

auf Ihren Server wurde eine DOS-Attacke (Distributed-Denial-of-Service-
Attacke) gestartet. Bevor weiterer Schaden entsteht mussten wir den Service komplett abstellen. Unsere Techniker sind vor Ort und bemueht, alles wieder auf den Weg zu bringen.

irgendwelche kommentare bzw. tipps?
__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!

#2 Da hat meine NIDS eben doch glatt das Forum sofort geblockt hier da es einen Attack-Response erkannt hat. Aber immerhin mußte ich so nicht lange nach der Info suchen da mir snort sofort den passenden Link zu diesem "Angriff" gegebene hat

http://www.snort.org/snort-db/sid.html?sid=498

Ich würde auf Grund dieser Erklärung vermuten das dieses der Beweis des Angreifers ist das er auf dem Server root Rechte "erworben" hat. Kann leider den Rest aus Mangel der Sprachkenntnis nicht lesen aber ich denke mal das ganze soll einfach nur sagen "Wir waren hier". Der Serverbetreiber hatr da in diesem Fall anscheinend nicht gut abgesichert.

Gut zu wissen das mir meine NIDS hier spätestens bei dem geposteten id Befehl den Angreifer sofort geblockt hätte und Alarm gegeben hätte wie sie es eben getan hat. Immerhin kann die NIDS ja nicht trennen zwischen echten Angriff und nur gepostetem Ergebnis. Vielleicht sollte dein Serverbetreiber auch mal auf eine gute NIDS setzen damit soetwas nicht so schnell wieder geschehen kann. Du selber wirst nur warten können bis der Hoster das alles wieder eingerichtet hat wenn es nicht dein Server ist.

#3 Äh mal eine Frage was ist NIDS ??
MFG
DAFRA

#4 dank dir Dafra... das wollte ich gerade auch fragen

der angriff kam auf jeden fall von dieser rootcorp gruppe.
server ist auch wieder online, aber worans gelegen hat haben sie uns noch nicht wissen lassen.
__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!

#5 Hmm, hab ihr denn nicht meinen Link verfolgt oder die Überschrift dort gelesen
http://www.snort.org/about.html

NIDS = Network Intrusion Detection System

Das ist meist eine Software die wie ein Sniffer jedes einzelne Paket was durch die Netzwerkleitung geht mit anguckt und dann den Inhalt dieses Paketes gegen eine Signatur-Datenbank abgleicht. Ähnlich wie ein Virenscanner nur fürs Netzwerk. Und wenn er dort in den Paketen etwas entdeckt auf das eine Signatur passt schlägt er Alarm und kann über Hilftpogramme sofort die entsprechenden IP's blocken oder gar den Server ganz dicht machen zum Schutz.

da hier im Thread ja die Ausgabe von ID "uid=0(root) gid=...." gepostet wurde hat meine NIDS diesen Text natürlich auch im Paket entdeckt und hat Alarm geschlagen und das Forum geblockt da sie der war da läuft was "böses" ab. Normalerweise sollte eine NIDS und evtl. auch HIDS zum Standard eines Serverbetreibers gehören. Dann wäre auch dieser Angriff 99% abgeblockt worden da man normal mit ID seine Rechte prüft bevor man weitermacht. Die meisten Scripte gehen auch so vor: Exploit nutzen und eindringen, per ID prüfen ob es geklappt hat und man root ist und dann loslegen mit dem ändern der Page etc..

Dein Betreiber sollte mal alle Software (Linux, Apache, DNS, FTP usw.) überprüfen ob für diese Versionen Exploits bekannt sind. Meistens wird einfach veraltete Software eingesetz die seit Jahren bekannte Lücken aufweist ( http://www.securityfocus.com/bid ).
Sollte da nichts zu finden sein liegt sicher eine Fehlkonfiguration vor. Telnet aktiv und sehr schwaches Passwort eines Users usw.

#6 Ah danke für die Ausführliche Erklärung.
MFG
DAFRA

#7 jo,von mir aus auch ein danke.
der provider hat sich bis jetzt noch nicht dazu geäußert.

wie ist das eigentlich rechtlich?
kann man den provider anzeigen?
__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!

#8 Denke mal das du da rechtlich nicht viel machen kannst. Solange im Vertrag nicht steht wie "Wir garantieren 99% erreichbarkeit ihrer Seite" usw. hat er ja gegen nichts verstoßen. Schlißlich gibt es kein Gesetz was den Anbieter verpflichtet immer alle Updates zu machen. Und da er ja sicher nicht mit Absicht deine Page für alle zugänglich gemacht hat bleibt da eigentlich keine Möglichkeit.

#9 hm...ok.
dank dir/euch.

wie gesagt, nicht das forum an sich ist gehackt wurden sondern anscheinend der komplette server des providers...
datenverluste bei uns gott sei dank keine.
kommentar vom hoster ist immer noch nicht eingegangen.
__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!