ilch Forum » Allgemein » Plauder Ecke » Serversperre

Geschlossen
  1. #1
    User Pic
    orsnipe Mitglied
    Registriert seit
    19.06.2008
    Beiträge
    425
    Beitragswertungen
    11 Beitragspunkte
    Wir haben das Problem das uns jetzt zum 2. mal der Vserver gesperrt wurde.

    Wir haben auf unserem Server das Ilch script und ein Teamspeak und in dem Teamspeakordner legt sich immer eine Datei an: Filename: /home/ts/.tmp/sshd

    laut unserem Serveranbieter verorsacht diese immer einen extrem hohen trefic
    , wir hatten diese Datei schon 2 mal gelöscht aber sie legt sich immer von selbst neu an , wie kann man dies verhindern ? oder weis einer woher siese kommt ?

    Vserver : Linux


    verwendete ilchClan Version: 1.1
    Schau mich nicht in diesem Ton an, ich hab nen Tinnitus im Auge, ich seh nur Pfeifen.
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    GeCk0 Hall Of Fame
    Registriert seit
    01.05.2009
    Beiträge
    2.989
    Beitragswertungen
    96 Beitragspunkte
    eine sshd im temp-ordner ?
    hört sich an als wüsste jemand die Zugangsdaten deiner Shell oder hat sich anderweilig "eingehackt"

    hatte auch mal nen irc bot im tmp ordner bei mir
    habe vom hster aber ausführliche infos und logs erhalten die mir helfen konnten

    also am besten zugangsdaten des users "ts" ändern


    Zuletzt modifiziert von GeCk0 am 13.11.2009 - 18:41:55
    Alle Module von mir sind nun unter php-gecko.de erreichbar
    0 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    orsnipe Mitglied
    Registriert seit
    19.06.2008
    Beiträge
    425
    Beitragswertungen
    11 Beitragspunkte
    das ist nur ein teil der meldung , ich weis nicht um was es geht es soll ein IRC sein ich sende es dir mal per PM , die ganze Mail dann kannst hier ja mal posten was du denkst ?!
    Schau mich nicht in diesem Ton an, ich hab nen Tinnitus im Auge, ich seh nur Pfeifen.
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    GeCk0 Hall Of Fame
    Registriert seit
    01.05.2009
    Beiträge
    2.989
    Beitragswertungen
    96 Beitragspunkte
    jo da kennt jemand deine Zugangsdaten der ServerShell

    die IP adresse kennst du ja nun
    einfach mit iptables bannen

    irc ist ein chat, worüber auch der ilch-chat läuft

    ein irc-bot ist zum flooden von channel oder ärgern von usern

    un jo, der kann viel Traffic verursachen :>

    also zugangsdaten für den user "ts" ändern
    Alle Module von mir sind nun unter php-gecko.de erreichbar
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    Cartment Mitglied
    Registriert seit
    14.02.2007
    Beiträge
    372
    Beitragswertungen
    0 Beitragspunkte
    Melde doch einfach diese IP Adresse deinem Hoster.
    Dann hättest du eine Entschuldigung und den Kerl
    vom Beim. Die IP zu sperren bringt da gar nichts


    Zuletzt modifiziert von Cartment am 13.11.2009 - 19:01:06
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    GeCk0 Hall Of Fame
    Registriert seit
    01.05.2009
    Beiträge
    2.989
    Beitragswertungen
    96 Beitragspunkte
    deswegen sag ich ja, er soll das passwort ändern :>
    ich kenns nämlich auch schon lachen

    is net schwer zu erraten
    das is das Problem wenn man alles zu 100% nach tutorials macht

    bei psybnc tuts wird das auch gerne 1:1 übernommen ^^


    Zuletzt modifiziert von GeCk0 am 13.11.2009 - 19:05:49
    Alle Module von mir sind nun unter php-gecko.de erreichbar
    0 Mitglieder finden den Beitrag gut.
  7. #7
    User Pic
    orsnipe Mitglied
    Registriert seit
    19.06.2008
    Beiträge
    425
    Beitragswertungen
    11 Beitragspunkte
    lol ?
    Jetzt ist die frage wie kommt ihr dazu ? und wie kommt er dazu ?
    Es gibt meines wissens keinen der TS heist ... Der Server anbieter macht da nix , er droht nur mit server sperre oder kündigung , denn er hat uns ja darauf hingewiesen und auf die IP , ich frag mich nur , wenn er es weis warum sperrt er ihn dann nicht selber ... omg.

    Aber ich danke euch auf jeden fall und wir sind jetzt dran das zu ändern ...
    Schau mich nicht in diesem Ton an, ich hab nen Tinnitus im Auge, ich seh nur Pfeifen.
    0 Mitglieder finden den Beitrag gut.
  8. #8
    User Pic
    GeCk0 Hall Of Fame
    Registriert seit
    01.05.2009
    Beiträge
    2.989
    Beitragswertungen
    96 Beitragspunkte
    also erstema zu der IP

    89.180.204.215 - Geo Information
    IP Address 89.180.204.215
    Host 89-180-204-215.net.novis.pt
    Location PT PT, Portugal
    City Lisbon, 14 -
    Organization NOVIS Telecom, S.A.
    ISP NOVIS Telecom, S.A.
    AS Number AS2860 Novis Telecom, S.A.


    das ist jedoch ein Proxy-Server und führt über Deutschland, bis in die USA:
    cqcounter.com/traceroute/?query=89.180.204.215

    zu deiner Frage

    beim installieren des TS Servers hast du (warscheinlich laut anleitung)

    adduser ts

    als root angelegt

    das zeigt mir der ordner "ts" im homeverzeichnis, in dem alle ShellUser einen Ordner erhalten die damit angelegt werden

    *edit*
    ich seh auch grad, der Username steht auch ain der Log die du mir geschickt hast (vorletzte zeile)

    und jo der Bot is ganz nice, also wirklich.
    leider wird er zu oft für die falsche Sache verwendet

    hier mal die logdatei, ich xxxx nur deine ip damit die nicht jeder kennt

    HOME=/home/ts
    LOGNAME=ts
    MAIL=/var/mail/ts
    PATH=.:/usr/local/bin:/usr/bin:/bin:/usr/games
    PWD=/home/ts/.tmp
    SHELL=/bin/sh
    SHLVL=3
    SSH_CLIENT=89.180.204.215 3651 22
    SSH_CONNECTION=89.180.204.215 3651 xxxxxxxxxxxxxxxxx 22
    SSH_TTY=/dev/pts/1
    TERM=xterm
    USER=ts
    _=./sshd



    Zuletzt modifiziert von GeCk0 am 13.11.2009 - 19:20:04
    Alle Module von mir sind nun unter php-gecko.de erreichbar
    0 Mitglieder finden den Beitrag gut.
  9. #9
    User Pic
    orsnipe Mitglied
    Registriert seit
    19.06.2008
    Beiträge
    425
    Beitragswertungen
    11 Beitragspunkte
    OK , ich danke für die Ausführliche erleuterrung.
    Wir haben jetzt alles geändert und entfernt , ich hoffe das es zu keinen weiteren Problemen kommt in der hinsicht.
    Aber es ist gut zu wissen das man hier auch in der hinsicht unterstüzung bekommt.

    Danke an Dich und das Ilch Team.
    Schau mich nicht in diesem Ton an, ich hab nen Tinnitus im Auge, ich seh nur Pfeifen.
    0 Mitglieder finden den Beitrag gut.
  10. #10
    User Pic
    GeCk0 Hall Of Fame
    Registriert seit
    01.05.2009
    Beiträge
    2.989
    Beitragswertungen
    96 Beitragspunkte
    kein ding
    wenn du ein richtiges passwort verwendest sollte das auch nicht mehr passieren, sofern du den zugang keinen anderen leuten weitergibst
    Alle Module von mir sind nun unter php-gecko.de erreichbar
    0 Mitglieder finden den Beitrag gut.
  11. #11
    User Pic
    Fire86 Mitglied
    Registriert seit
    25.04.2009
    Beiträge
    543
    Beitragswertungen
    0 Beitragspunkte
    ZitatZitat geschrieben von GeCk0
    das ist jedoch ein Proxy-Server und führt über Deutschland, bis in die USA:
    cqcounter.com/traceroute/?query=89.180.204.215

    Eine gewagte, aber sehr unterhaltsame Theorie. ;>
    Kein Support per Email oder ICQ!
    0 Mitglieder finden den Beitrag gut.
  12. #12
    User Pic
    GeCk0 Hall Of Fame
    Registriert seit
    01.05.2009
    Beiträge
    2.989
    Beitragswertungen
    96 Beitragspunkte
    kannst du das Gegenteil belegen ?

    traceroute hat mir das so gesagt lachen

    *edit*
    ich tu halt immer so als würd ich mich auskennen :>


    Zuletzt modifiziert von GeCk0 am 13.11.2009 - 20:57:06
    Alle Module von mir sind nun unter php-gecko.de erreichbar
    0 Mitglieder finden den Beitrag gut.
  13. #13
    User Pic
    Fire86 Mitglied
    Registriert seit
    25.04.2009
    Beiträge
    543
    Beitragswertungen
    0 Beitragspunkte
    Naja, du benutzt ein externes traceroute script, das auf einem Server in den USA ausgeführt wird.
    Da tauchen dann natürlich zwangsweise ein paar Zwischenstationen in den USA auf, und der Traffic aus den USA nach Europa wird wegen Deutschlands zentraler Lage halt oft über selbiges geroutet.

    Es besteht zwar die theoretische Möglichkeit, dass der "Hacker" hinter einem Proxy sitzt, aber das wäre nicht ohne weiteres zurückverfolgbar, beim Proxy selber ist Schluss. (Der Sinn eines Proxies halt^^)
    Anhand den IP Details würde ich aber behaupten, dass es sich nicht um einen Proxy sondern um eine stinknormale DSL IP handelt, sprich den eigentlichen "Hacker".
    Kein Support per Email oder ICQ!
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Plauder Ecke

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten