• Forum
• Ilch Clan 1.1
• Allgemein
• Server abgeschaltet, Sicherheitslücke

ilch Forum » Ilch Clan 1.1 » Allgemein » Server abgeschaltet, Sicherheitslücke

1. Mo. 07.02.2011 12:32 Uhr #1

   

   lt.stoned Mitglied

   Registriert seit

   29.07.2008

   Beiträge

   80

   Beitragswertungen

   

   Moin,
   
   
   auf meinem VServer von hosteurope.de läuft seit einiger Zeit Ilch 1.1
   
   Nun wurde mir der Server abgeschaltet, wegen angeblicher illegaler Aktivitäten.
   Wie es aussieht ging von meinem Vserver irgendwas in Richtung DoS, Bruteforce, etc. aus.
   
   Da dort nur Ilch läuft, liegt die Vermutung nah, das durch irgendeine Sicherheitslücke der Code eingeschleust wurde.
   
   Ich werd mich jetzt an die Log-Files machen und schauen wo das ganze her kommt.
   
   Ist da irgendwas drüber bekannt? Vielleicht gerade "in Mode"?
   
   Wenn sich da jemand richtig gut auskennt und Lust hat zu helfen, kann er sich gerne melden. Ich bin da nicht wirklich ein Fachmann...
   0 Mitglieder finden den Beitrag gut.

   • zitieren
2. Mo. 07.02.2011 12:46 Uhr #2

   

   HeX Hall Of Fame

   Registriert seit

   14.01.2006

   Beiträge

   2.113

   Beitragswertungen

   

   an ilch 1.1 sind keine Lücken bekannt, und wenn uns welche bekannt sein würden, dann würde umgehend ein Patch bereitgestellt.
   
   Also dein server soll Dos Anfragen generiert haben? Dann kann es z.B auch ein Lücke in deinem Sicherheitssystem. Es könnte ja dein root passwort erraten wurden sein....
   
   Also, schaue mal deine Logs an, dort wird sich sicher eine Antwort finden
   
   Wenn dir etwas komisch vorkommt, dann frage hier oder besser in einem der vielen Linuxforen.
   
   mfg

   Discite moniti!
   www.pixelbash.de
   0 Mitglieder finden den Beitrag gut.

   • zitieren
3. Mo. 07.02.2011 12:49 Uhr #3

   

   lt.stoned Mitglied

   Registriert seit

   29.07.2008

   Beiträge

   80

   Beitragswertungen

   

   Nun die offizielle Mitteilung von meinem Hoster ist :"Von Ihrem Server wurden Daten an Dritte versendet, die sich dadurch gestört fühlen".
   
   Ich geh mal einfach davon aus das es sich um so etwas wie DoS oder Bruteforce handelt.
   
   Mich wundert nur das mein Admin-Kennwort recht komplex ist und ich auch schon seit ewigen Zeiten nicht mehr angemeldet war.
   0 Mitglieder finden den Beitrag gut.

   • zitieren
4. Mo. 07.02.2011 12:57 Uhr #4

   

   lt.stoned Mitglied

   Registriert seit

   29.07.2008

   Beiträge

   80

   Beitragswertungen

   

   Welche Log-Dateien ich nun aber genau untersuchen müsste, weiss ich ehrlich gesagt nicht.
   0 Mitglieder finden den Beitrag gut.

   • zitieren
5. Mo. 07.02.2011 18:51 Uhr #5

   

   she Mitglied

   Registriert seit

   13.11.2010

   Beiträge

   1.115

   Beitragswertungen

   

   Die access.log die ist für den Zugriff auf die Seite zuständig. error.log ist für die Warnung / Errors zuständig.

   Google+ shelfinger.eu
   Das Wissen verfolgt mich - doch ich bin schneller!
   0 Mitglieder finden den Beitrag gut.

   • zitieren
6. Mo. 07.02.2011 21:52 Uhr #6

   

   lt.stoned Mitglied

   Registriert seit

   29.07.2008

   Beiträge

   80

   Beitragswertungen

   

   Hallo,
   
   ich hab den Übeltäter gefunden. So wie es aussieht war Ilch wirklich unschuldig. Sorry das ich diesen Verdacht hatte...
   
   Der User mit dem mein TS3-Server lief, hat ein Script ausgeführt das udp.pl heisst. Darin findet sich folgende nette Botschaft:
   

   Zitat

   
   "#!/usr/bin/perl
   #####################################################
   # udp flood.
   #
   # gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.
   #
   # --/odix
   ######################################################"

   
   
   Ich versteh nur noch nicht ganz wie das ganz überhaupt auf den Server gelangt ist. Hab ich eine Chance das irgendwo heraus zu finden?
   
   Wenn ich die Logs richtig deute, hat er irgendwelche sinnlosen Daten an japanische Server geschickt.
   
   
   Zuletzt modifiziert von lt.stoned am 07.02.2011 - 21:53:37
   0 Mitglieder finden den Beitrag gut.

   • zitieren