Kommentare zu: Hackerjagd – r0nin auf der Spur http://blog.computer-tipps.info/2007/02/23/hackerjagd-r0nin-auf-der-spur/ Yet another Linux Blog Fri, 12 Mar 2010 21:30:46 +0100 http://wordpress.org/?v=2.8.4 hourly 1 Von: Alex http://blog.computer-tipps.info/2007/02/23/hackerjagd-r0nin-auf-der-spur/comment-page-1/#comment-204 Alex Wed, 27 Jun 2007 22:57:41 +0000 http://blog.computer-tipps.info/2007/02/23/hackerjagd-r0nin-auf-der-spur/#comment-204 Hi, genau dem Angriff bin ich auch zum Opfer gefallen. Ich bin ursprünglich (komischerweise noch nicht in alamierender Stimmung) auf den Hack aufmerksam geworden. Zuerst sind mir auch die Meldungen von Dateideskriptor 2 in den Apache Logs aufgefallen. Doch als dann irgendwann Grafiken die "log" in dem Dateinamen enthielten, weg waren wurde ich stuziger. Der Angreifer (wahrscheinlich ein Skript Kiddy, das gerade etwas PHP gelernt hat) hat fleißig Filme geshared, wollte jedoch seine Spuren verwischen indem er alle Log-Dateien, also *log*, löscht. Peinlicherweise hat er wirklich einige Grafikdateien und PHP Skripte im Documentroot löschen können, wodurch jedoch erst der Schwindel auffällig geworden ist. Was mich jedoch stuzig macht ist, dass ich nachdem die Sicherheitslücke in der besagten Webapplikation geschlossen wurde, sind weitere evil.php Vorkommen in der access.log gesichtet worden mit dem HTTP Code 200. Wenn ich jedoch diesen Request ausführe bekomme ich 404. Ich bin noch in Alarmbereitschaft und lese noch sorgfältig die Logdateien. So denn. Wollte nur mal eben auch mein Herz ausschütten. Hi,
genau dem Angriff bin ich auch zum Opfer gefallen. Ich bin ursprünglich (komischerweise noch nicht in alamierender Stimmung) auf den Hack aufmerksam geworden. Zuerst sind mir auch die Meldungen von Dateideskriptor 2 in den Apache Logs aufgefallen. Doch als dann irgendwann Grafiken die “log” in dem Dateinamen enthielten, weg waren wurde ich stuziger.
Der Angreifer (wahrscheinlich ein Skript Kiddy, das gerade etwas PHP gelernt hat) hat fleißig Filme geshared, wollte jedoch seine Spuren verwischen indem er alle Log-Dateien, also *log*, löscht. Peinlicherweise hat er wirklich einige Grafikdateien und PHP Skripte im Documentroot löschen können, wodurch jedoch erst der Schwindel auffällig geworden ist.

Was mich jedoch stuzig macht ist, dass ich nachdem die Sicherheitslücke in der besagten Webapplikation geschlossen wurde, sind weitere evil.php Vorkommen in der access.log gesichtet worden mit dem HTTP Code 200. Wenn ich jedoch diesen Request ausführe bekomme ich 404.

Ich bin noch in Alarmbereitschaft und lese noch sorgfältig die Logdateien.

So denn. Wollte nur mal eben auch mein Herz ausschütten.

]]> Von: Icke http://blog.computer-tipps.info/2007/02/23/hackerjagd-r0nin-auf-der-spur/comment-page-1/#comment-128 Icke Thu, 22 Mar 2007 20:17:24 +0000 http://blog.computer-tipps.info/2007/02/23/hackerjagd-r0nin-auf-der-spur/#comment-128 Hey, echt gute Beschreibung. THX :) Ich hatte etwas intensiver danach gesucht "r57" , da mir das in den logfiles aufgefallen war. Bei meiner Kiste hatten die es allerdings nicht geschafft, (soweit ich sehen kann) was rauf zu bekommen. *freu Ich bin nicht unbedingt der "sicherheits-" und "Profi-" User/Admin, was Linux und Server angeht (ist erst mein zweites Jahr jetzt damit). Aber gewisse Basics habe ich gelernt, und da bin ich froh drüber. (Heheh, wenn ich mir alte logfiels anschaue und die heutigen, is ein enormer Unterschied.) Gut, Du kennst dich wahrscheinlich viel besser aus als ich, du bekamst einen "hustenanfall mit lächeln", ich hab natürlich erstmal bissel paranoja geschoben, als ich mir das script anschaute. (Kann man ja in den logs sehen, woher versucht wurde es zu holen, das "r57-file") Da ich keinerlei anzeichen für irgendetwas gefunden hab, auch nix auf irgend nem Port lauscht, was nich lauschen sollte, bin ich doch wieder etwas ruhiger. :) Hey, echt gute Beschreibung. THX :)
Ich hatte etwas intensiver danach gesucht “r57″ , da mir das in den logfiles aufgefallen war. Bei meiner Kiste hatten die es allerdings nicht geschafft, (soweit ich sehen kann) was rauf zu bekommen. *freu
Ich bin nicht unbedingt der “sicherheits-” und “Profi-” User/Admin, was Linux und Server angeht (ist erst mein zweites Jahr jetzt damit).
Aber gewisse Basics habe ich gelernt, und da bin ich froh drüber.
(Heheh, wenn ich mir alte logfiels anschaue und die heutigen, is ein enormer Unterschied.)
Gut, Du kennst dich wahrscheinlich viel besser aus als ich, du bekamst einen “hustenanfall mit lächeln”, ich hab natürlich erstmal bissel paranoja geschoben, als ich mir das script anschaute. (Kann man ja in den logs sehen, woher versucht wurde es zu holen, das “r57-file”)
Da ich keinerlei anzeichen für irgendetwas gefunden hab, auch nix auf irgend nem Port lauscht, was nich lauschen sollte, bin ich doch wieder etwas ruhiger. :)

]]>