forum gehackt worden |
||
---|---|---|
#0
| ||
05.03.2004, 14:11
Member
Beiträge: 293 |
||
|
||
05.03.2004, 17:27
Member
Beiträge: 201 |
#2
Da hat meine NIDS eben doch glatt das Forum sofort geblockt hier da es einen Attack-Response erkannt hat. Aber immerhin mußte ich so nicht lange nach der Info suchen da mir snort sofort den passenden Link zu diesem "Angriff" gegebene hat
http://www.snort.org/snort-db/sid.html?sid=498 Ich würde auf Grund dieser Erklärung vermuten das dieses der Beweis des Angreifers ist das er auf dem Server root Rechte "erworben" hat. Kann leider den Rest aus Mangel der Sprachkenntnis nicht lesen aber ich denke mal das ganze soll einfach nur sagen "Wir waren hier". Der Serverbetreiber hatr da in diesem Fall anscheinend nicht gut abgesichert. Gut zu wissen das mir meine NIDS hier spätestens bei dem geposteten id Befehl den Angreifer sofort geblockt hätte und Alarm gegeben hätte wie sie es eben getan hat. Immerhin kann die NIDS ja nicht trennen zwischen echten Angriff und nur gepostetem Ergebnis. Vielleicht sollte dein Serverbetreiber auch mal auf eine gute NIDS setzen damit soetwas nicht so schnell wieder geschehen kann. Du selber wirst nur warten können bis der Hoster das alles wieder eingerichtet hat wenn es nicht dein Server ist. |
|
|
||
05.03.2004, 19:09
Member
Beiträge: 1122 |
||
|
||
06.03.2004, 11:52
Member
Themenstarter Beiträge: 293 |
#4
dank dir Dafra... das wollte ich gerade auch fragen
der angriff kam auf jeden fall von dieser rootcorp gruppe. server ist auch wieder online, aber worans gelegen hat haben sie uns noch nicht wissen lassen. __________ Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre! |
|
|
||
06.03.2004, 13:53
Member
Beiträge: 201 |
#5
Hmm, hab ihr denn nicht meinen Link verfolgt oder die Überschrift dort gelesen
http://www.snort.org/about.html NIDS = Network Intrusion Detection System Das ist meist eine Software die wie ein Sniffer jedes einzelne Paket was durch die Netzwerkleitung geht mit anguckt und dann den Inhalt dieses Paketes gegen eine Signatur-Datenbank abgleicht. Ähnlich wie ein Virenscanner nur fürs Netzwerk. Und wenn er dort in den Paketen etwas entdeckt auf das eine Signatur passt schlägt er Alarm und kann über Hilftpogramme sofort die entsprechenden IP's blocken oder gar den Server ganz dicht machen zum Schutz. da hier im Thread ja die Ausgabe von ID "uid=0(root) gid=...." gepostet wurde hat meine NIDS diesen Text natürlich auch im Paket entdeckt und hat Alarm geschlagen und das Forum geblockt da sie der war da läuft was "böses" ab. Normalerweise sollte eine NIDS und evtl. auch HIDS zum Standard eines Serverbetreibers gehören. Dann wäre auch dieser Angriff 99% abgeblockt worden da man normal mit ID seine Rechte prüft bevor man weitermacht. Die meisten Scripte gehen auch so vor: Exploit nutzen und eindringen, per ID prüfen ob es geklappt hat und man root ist und dann loslegen mit dem ändern der Page etc.. Dein Betreiber sollte mal alle Software (Linux, Apache, DNS, FTP usw.) überprüfen ob für diese Versionen Exploits bekannt sind. Meistens wird einfach veraltete Software eingesetz die seit Jahren bekannte Lücken aufweist ( http://www.securityfocus.com/bid ). Sollte da nichts zu finden sein liegt sicher eine Fehlkonfiguration vor. Telnet aktiv und sehr schwaches Passwort eines Users usw. Dieser Beitrag wurde am 06.03.2004 um 14:04 Uhr von MacDefender editiert.
|
|
|
||
06.03.2004, 21:41
Member
Beiträge: 1122 |
||
|
||
07.03.2004, 13:04
Member
Themenstarter Beiträge: 293 |
#7
jo,von mir aus auch ein danke.
der provider hat sich bis jetzt noch nicht dazu geäußert. wie ist das eigentlich rechtlich? kann man den provider anzeigen? __________ Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre! |
|
|
||
07.03.2004, 13:13
Member
Beiträge: 201 |
#8
Denke mal das du da rechtlich nicht viel machen kannst. Solange im Vertrag nicht steht wie "Wir garantieren 99% erreichbarkeit ihrer Seite" usw. hat er ja gegen nichts verstoßen. Schlißlich gibt es kein Gesetz was den Anbieter verpflichtet immer alle Updates zu machen. Und da er ja sicher nicht mit Absicht deine Page für alle zugänglich gemacht hat bleibt da eigentlich keine Möglichkeit.
|
|
|
||
09.03.2004, 15:21
Member
Themenstarter Beiträge: 293 |
#9
hm...ok.
dank dir/euch. wie gesagt, nicht das forum an sich ist gehackt wurden sondern anscheinend der komplette server des providers... datenverluste bei uns gott sei dank keine. kommentar vom hoster ist immer noch nicht eingegangen. __________ Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre! |
|
|
||
so en mist ey!
forum ist gehackt wurden von uns....
als ich drauf gehen wollte kam nur noch das hier:
Zitat
kann da noch jemand was draus entnehmen oder so?vom hoster kam folgendes:
Zitat
irgendwelche kommentare bzw. tipps?__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!