ilch Forum » Ilch Clan 1.1 » Allgemein » Server abgeschaltet, Sicherheitslücke

Geschlossen
  1. #1
    User Pic
    lt.stoned Mitglied
    Registriert seit
    29.07.2008
    Beiträge
    80
    Beitragswertungen
    0 Beitragspunkte
    Moin,


    auf meinem VServer von hosteurope.de läuft seit einiger Zeit Ilch 1.1

    Nun wurde mir der Server abgeschaltet, wegen angeblicher illegaler Aktivitäten.
    Wie es aussieht ging von meinem Vserver irgendwas in Richtung DoS, Bruteforce, etc. aus.

    Da dort nur Ilch läuft, liegt die Vermutung nah, das durch irgendeine Sicherheitslücke der Code eingeschleust wurde.

    Ich werd mich jetzt an die Log-Files machen und schauen wo das ganze her kommt.

    Ist da irgendwas drüber bekannt? Vielleicht gerade "in Mode"?

    Wenn sich da jemand richtig gut auskennt und Lust hat zu helfen, kann er sich gerne melden. Ich bin da nicht wirklich ein Fachmann...
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    an ilch 1.1 sind keine Lücken bekannt, und wenn uns welche bekannt sein würden, dann würde umgehend ein Patch bereitgestellt.

    Also dein server soll Dos Anfragen generiert haben? Dann kann es z.B auch ein Lücke in deinem Sicherheitssystem. Es könnte ja dein root passwort erraten wurden sein....

    Also, schaue mal deine Logs an, dort wird sich sicher eine Antwort finden zwinker

    Wenn dir etwas komisch vorkommt, dann frage hier oder besser in einem der vielen Linuxforen.

    mfg
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    lt.stoned Mitglied
    Registriert seit
    29.07.2008
    Beiträge
    80
    Beitragswertungen
    0 Beitragspunkte
    Nun die offizielle Mitteilung von meinem Hoster ist :"Von Ihrem Server wurden Daten an Dritte versendet, die sich dadurch gestört fühlen".

    Ich geh mal einfach davon aus das es sich um so etwas wie DoS oder Bruteforce handelt.

    Mich wundert nur das mein Admin-Kennwort recht komplex ist und ich auch schon seit ewigen Zeiten nicht mehr angemeldet war.
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    lt.stoned Mitglied
    Registriert seit
    29.07.2008
    Beiträge
    80
    Beitragswertungen
    0 Beitragspunkte
    Welche Log-Dateien ich nun aber genau untersuchen müsste, weiss ich ehrlich gesagt nicht.
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    she Mitglied
    Registriert seit
    13.11.2010
    Beiträge
    1.115
    Beitragswertungen
    82 Beitragspunkte
    Die access.log die ist für den Zugriff auf die Seite zuständig. error.log ist für die Warnung / Errors zuständig.
    Google+ shelfinger.eu
    Das Wissen verfolgt mich - doch ich bin schneller!
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    lt.stoned Mitglied
    Registriert seit
    29.07.2008
    Beiträge
    80
    Beitragswertungen
    0 Beitragspunkte
    Hallo,

    ich hab den Übeltäter gefunden. So wie es aussieht war Ilch wirklich unschuldig. Sorry das ich diesen Verdacht hatte...

    Der User mit dem mein TS3-Server lief, hat ein Script ausgeführt das udp.pl heisst. Darin findet sich folgende nette Botschaft:
    ZitatZitat

    "#!/usr/bin/perl
    #####################################################
    # udp flood.
    #
    # gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.
    #
    # --/odix
    ######################################################"


    Ich versteh nur noch nicht ganz wie das ganz überhaupt auf den Server gelangt ist. Hab ich eine Chance das irgendwo heraus zu finden?

    Wenn ich die Logs richtig deute, hat er irgendwelche sinnlosen Daten an japanische Server geschickt.


    Zuletzt modifiziert von lt.stoned am 07.02.2011 - 21:53:37
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Allgemein

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten