Serversperre

Gehe zu Seite:

Geschlossen

Fr. 13.11.2009 18:36 Uhr #1

orsnipe Mitglied

Registriert seit
19.06.2008

Beiträge
425

Beitragswertungen

Wir haben das Problem das uns jetzt zum 2. mal der Vserver gesperrt wurde.

Wir haben auf unserem Server das Ilch script und ein Teamspeak und in dem Teamspeakordner legt sich immer eine Datei an: Filename: /home/ts/.tmp/sshd

laut unserem Serveranbieter verorsacht diese immer einen extrem hohen trefic
, wir hatten diese Datei schon 2 mal gelöscht aber sie legt sich immer von selbst neu an , wie kann man dies verhindern ? oder weis einer woher siese kommt ?

Vserver : Linux

verwendete ilchClan Version: 1.1

Schau mich nicht in diesem Ton an, ich hab nen Tinnitus im Auge, ich seh nur Pfeifen.
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 18:41 Uhr #2

GeCk0 Hall Of Fame

Registriert seit
01.05.2009

Beiträge
2.989

Beitragswertungen

eine sshd im temp-ordner ?
hört sich an als wüsste jemand die Zugangsdaten deiner Shell oder hat sich anderweilig "eingehackt"

hatte auch mal nen irc bot im tmp ordner bei mir
habe vom hster aber ausführliche infos und logs erhalten die mir helfen konnten

also am besten zugangsdaten des users "ts" ändern

Zuletzt modifiziert von GeCk0 am 13.11.2009 - 18:41:55

Alle Module von mir sind nun unter php-gecko.de erreichbar
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 18:42 Uhr #3

orsnipe Mitglied

Registriert seit
19.06.2008

Beiträge
425

Beitragswertungen

das ist nur ein teil der meldung , ich weis nicht um was es geht es soll ein IRC sein ich sende es dir mal per PM , die ganze Mail dann kannst hier ja mal posten was du denkst ?!

Schau mich nicht in diesem Ton an, ich hab nen Tinnitus im Auge, ich seh nur Pfeifen.
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 18:51 Uhr #4

GeCk0 Hall Of Fame

Registriert seit
01.05.2009

Beiträge
2.989

Beitragswertungen

jo da kennt jemand deine Zugangsdaten der ServerShell

die IP adresse kennst du ja nun
einfach mit iptables bannen

irc ist ein chat, worüber auch der ilch-chat läuft

ein irc-bot ist zum flooden von channel oder ärgern von usern

un jo, der kann viel Traffic verursachen :>

also zugangsdaten für den user "ts" ändern

Alle Module von mir sind nun unter php-gecko.de erreichbar
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 19:00 Uhr #5

Cartment Mitglied

Registriert seit
14.02.2007

Beiträge
372

Beitragswertungen

Melde doch einfach diese IP Adresse deinem Hoster.
Dann hättest du eine Entschuldigung und den Kerl
vom Beim. Die IP zu sperren bringt da gar nichts

Zuletzt modifiziert von Cartment am 13.11.2009 - 19:01:06
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 19:03 Uhr #6

GeCk0 Hall Of Fame

Registriert seit
01.05.2009

Beiträge
2.989

Beitragswertungen

deswegen sag ich ja, er soll das passwort ändern :>
ich kenns nämlich auch schon

is net schwer zu erraten
das is das Problem wenn man alles zu 100% nach tutorials macht

bei psybnc tuts wird das auch gerne 1:1 übernommen ^^

Zuletzt modifiziert von GeCk0 am 13.11.2009 - 19:05:49

Alle Module von mir sind nun unter php-gecko.de erreichbar
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 19:08 Uhr #7

orsnipe Mitglied

Registriert seit
19.06.2008

Beiträge
425

Beitragswertungen

lol ?
Jetzt ist die frage wie kommt ihr dazu ? und wie kommt er dazu ?
Es gibt meines wissens keinen der TS heist ... Der Server anbieter macht da nix , er droht nur mit server sperre oder kündigung , denn er hat uns ja darauf hingewiesen und auf die IP , ich frag mich nur , wenn er es weis warum sperrt er ihn dann nicht selber ... omg.

Aber ich danke euch auf jeden fall und wir sind jetzt dran das zu ändern ...

Schau mich nicht in diesem Ton an, ich hab nen Tinnitus im Auge, ich seh nur Pfeifen.
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 19:12 Uhr #8

GeCk0 Hall Of Fame

Registriert seit
01.05.2009

Beiträge
2.989

Beitragswertungen
also erstema zu der IP

89.180.204.215 - Geo Information
IP Address 89.180.204.215
Host 89-180-204-215.net.novis.pt
Location PT PT, Portugal
City Lisbon, 14 -
Organization NOVIS Telecom, S.A.
ISP NOVIS Telecom, S.A.
AS Number AS2860 Novis Telecom, S.A.

das ist jedoch ein Proxy-Server und führt über Deutschland, bis in die USA:
cqcounter.com/traceroute/?query=89.180.204.215

zu deiner Frage

beim installieren des TS Servers hast du (warscheinlich laut anleitung)
```
adduser ts
```
als root angelegt

das zeigt mir der ordner "ts" im homeverzeichnis, in dem alle ShellUser einen Ordner erhalten die damit angelegt werden

*edit*
ich seh auch grad, der Username steht auch ain der Log die du mir geschickt hast (vorletzte zeile)

und jo der Bot is ganz nice, also wirklich.
leider wird er zu oft für die falsche Sache verwendet

hier mal die logdatei, ich xxxx nur deine ip damit die nicht jeder kennt
```
HOME=/home/ts
LOGNAME=ts
MAIL=/var/mail/ts
PATH=.:/usr/local/bin:/usr/bin:/bin:/usr/games
PWD=/home/ts/.tmp
SHELL=/bin/sh
SHLVL=3
SSH_CLIENT=89.180.204.215 3651 22
SSH_CONNECTION=89.180.204.215 3651 xxxxxxxxxxxxxxxxx 22
SSH_TTY=/dev/pts/1
TERM=xterm
USER=ts
_=./sshd
```
Zuletzt modifiziert von GeCk0 am 13.11.2009 - 19:20:04
Alle Module von mir sind nun unter php-gecko.de erreichbar
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 19:34 Uhr #9

orsnipe Mitglied

Registriert seit
19.06.2008

Beiträge
425

Beitragswertungen

OK , ich danke für die Ausführliche erleuterrung.
Wir haben jetzt alles geändert und entfernt , ich hoffe das es zu keinen weiteren Problemen kommt in der hinsicht.
Aber es ist gut zu wissen das man hier auch in der hinsicht unterstüzung bekommt.

Danke an Dich und das Ilch Team.

Schau mich nicht in diesem Ton an, ich hab nen Tinnitus im Auge, ich seh nur Pfeifen.
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 20:38 Uhr #10

GeCk0 Hall Of Fame

Registriert seit
01.05.2009

Beiträge
2.989

Beitragswertungen

kein ding
wenn du ein richtiges passwort verwendest sollte das auch nicht mehr passieren, sofern du den zugang keinen anderen leuten weitergibst

Alle Module von mir sind nun unter php-gecko.de erreichbar
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 20:39 Uhr #11

Fire86 Mitglied

Registriert seit
25.04.2009

Beiträge
543

Beitragswertungen

Zitat geschrieben von GeCk0
das ist jedoch ein Proxy-Server und führt über Deutschland, bis in die USA:
cqcounter.com/traceroute/?query=89.180.204.215

Eine gewagte, aber sehr unterhaltsame Theorie. ;>

Kein Support per Email oder ICQ!
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 20:48 Uhr #12

GeCk0 Hall Of Fame

Registriert seit
01.05.2009

Beiträge
2.989

Beitragswertungen

kannst du das Gegenteil belegen ?

traceroute hat mir das so gesagt

*edit*
ich tu halt immer so als würd ich mich auskennen :>

Zuletzt modifiziert von GeCk0 am 13.11.2009 - 20:57:06

Alle Module von mir sind nun unter php-gecko.de erreichbar
0 Mitglieder finden den Beitrag gut.
- zitieren
Fr. 13.11.2009 21:55 Uhr #13

Fire86 Mitglied

Registriert seit
25.04.2009

Beiträge
543

Beitragswertungen

Naja, du benutzt ein externes traceroute script, das auf einem Server in den USA ausgeführt wird.
Da tauchen dann natürlich zwangsweise ein paar Zwischenstationen in den USA auf, und der Traffic aus den USA nach Europa wird wegen Deutschlands zentraler Lage halt oft über selbiges geroutet.

Es besteht zwar die theoretische Möglichkeit, dass der "Hacker" hinter einem Proxy sitzt, aber das wäre nicht ohne weiteres zurückverfolgbar, beim Proxy selber ist Schluss. (Der Sinn eines Proxies halt^^)
Anhand den IP Details würde ich aber behaupten, dass es sich nicht um einen Proxy sondern um eine stinknormale DSL IP handelt, sprich den eigentlichen "Hacker".

Kein Support per Email oder ICQ!
0 Mitglieder finden den Beitrag gut.
- zitieren

Geschlossen

	Zurück zu Plauder Ecke

Beitrag zur Merkliste hinzufügen

ilch Forum » Allgemein » Plauder Ecke » Serversperre