Moin, einer meiner Server wurde gehacked von iSKORPiTX - direkt gründlich. Root Passwort war auch geändert, so daß ich den gerade neu aufsetze. Gab es da heute wieder so eine Welle von Angriffen?

1. Ignoriere den Gast

2. Nicht daß ich wüßte. Hast Du herausgefunden, wie die Angreifer in das System eingedrungen sind? Wäre sinnig, das bei der Neuinstallation zu berücksichtigen.

Was heißt Angriffswelle?

Der hackt nicht erst seit gestern.

http://forum.politik.de/forum/showthread.php?s=&threadid=139586

Server die im Internet stehen sind nonstop Angriffen ausgesetzt!!!

Ja, ich weiss, hatte ich dann auch gelsen, dachte der/die/das macht das in Wellen.

Ist mir in 9 Jahren auch das erste Mal passiert, ich nehme an phpbb oder ein anders Script auf dem Server liefen 2-3. Hab den Server neu gestartet und dann ging nix mehr. Hatte aber noch ein Backup auf einem zweiten Server, daher nicht so wichtig. War auch nix Wichtiges drauf, nur nervig :( Starte erstmal nur die Seiten von den ich weiss, das da nix mehr passiert.

Wer Linux auf dem Server nutzt ist selber Schuld :)


Aha.

Wie komsmt du zu dem Schluss?

Ja ist klar, ich administriere auch Windows Server und wer die ins Netz stellt, gehört schon mal präventiv wegen Fahrlässigkeit angezeigt ;D

was haste für distri?

Als kommt das auf die Distri an....
PHP (früher war es Perl) ist auf Linux System seit einiger Zeit extrem unter Beschuss und gerade wer eines der bekannteren PHP Projekte für Foren, Blogs, Gallerien, etc. einsetzt, sollte die immer sofort updaten wenn es eine neuere Version gibt die irgendwas mit dem stopfen von Sicherheitslecks zu tun hat.
Wird das nicht gemacht, dauert ned lange und man hat massenweise Attacken gegen die entsprechenden Scripts laufen.

Daher ist auf unseren Servern z.B. outgoing per lokale IPTables Firewall der Port 80 gesperrt für alle User ausser dem root - das verhindert schonmal 99% aller injections welche Schadenscode nachladen. Dazu noch Suhosin für PHP installiert sowie mod_itk um jeden Apache Prozess unter einem eigenen unpriv. User laufen zu lassen.
Trotzdem kann es immer noch vorkommen, dass unliebsame Mitesser auf den Server kommen, unsauberer (PHP) Code sei dank. (und davon gibts unmengen von...wirklich unmengen)

Das werde ich wohl mal abgucken. Da ist das Problem mit den ganzen tollen Scripten, mal eben schnell ´ne Website mit einem CMS. Einmal gebastelt, vergessen, gehacked.
War ein kleiner Server den ich nicht wirklich grossartig gewartet habe. Ich wusste das da ein Risiko ist, dass es direkt so heftig wird, hätte ich nicht gedacht. Root Passwort geändert und und und. Nach einem Reboot kam der überhaupt nicht mehr hoch. War mir aber egal, da ich den eh gebügelt hab, wer weiss wo da was steckt.

Ja ist klar, ich administriere auch Windows Server und wer die ins Netz stellt, gehört schon mal präventiv wegen Fahrlässigkeit angezeigt ;D

Ich habe einige im Netz stehen. Bisherige Bilanz: Alle leben noch. Oh, einige seit mehr als 2 Jahren ;)

Wie man so schön sagt: Es kommt auf den Admin an. ;)
Jemand der bei einem Windows 2003 versagt, versagt auch bei Linux.

Gruß,
TC

P.S.: Das war nicht als Angriff gemeint, vielmehr als Richtigstellung zur Aussage "Windows direkt im Internet = Fahrlässigkeit"

Ja, ist schon richtig. Das war auch mein erst Hack seit 9 Jahren. Zumal ich mir des Risikos auf dem Server bewusst war. Mit einem Win2003 Server kann man nur sehr viel schneller etwas falsch machen, weil falsch konfiguriert.

(Und die Performance ist Shyce :duckundweg: :D )

Ja, ist schon richtig. Das war auch mein erst Hack seit 9 Jahren. Zumal ich mir des Risikos auf dem Server bewusst war. Mit einem Win2003 Server kann man nur sehr viel schneller etwas falsch machen, weil falsch konfiguriert.

(Und die Performance ist Shyce :duckundweg: :D )
Mit der Aussage würd ich aufpassen - denn diese ist äusserst Konfigurationsabhängig :D
Wenn man z.B. die PHP Performance auf einem Win2003 Server anschaut wo das ganze als CGI oder selbst als ISAPI läuft, (vs Linux/Apache mit mod_php oder fastcgi) dann ja - 10x langsamer kommt da schnell mal hin.

Stellst Du aber einen Win2008 Server mit fastcgi hin, dann geht auch hier das PHP ab wie Schmitts Katze.
Oder wenn Du ein gleiches Projekt unter Windows03/IIS6 in ASP umsetzt, dann ist da auch nix langsamer als in einem LAMP Environment mit PHP.

Und zur Sicherheit....wenn alle Servicepacks und Hotfixes installiert sind, steht so ein Windows Server selbst ohne Firewall problemlos im Netz.
Wer was anderes erzählt hat keine Ahnung!

hm, außer ein paar geänderten admin passwörtern von alten joomla systemen habe ich von unseren ca 1500 webhosting kunden noch keine rückmeldung bekommen. :D

aber root passwort geändert? da muss gründlich was schief gegangen sein.

edit: wenn ich unsere mod_security log anschaue anschaue komme ich mir wie vor nen matrix screen vor. zu 95% kommt joomla/phpbb vor.

mfg

Waren 2 phpbbs und ein uraltes e107 drauf, das hab ich in Verdacht. SSH Login war nur als einfacher User per Key möglich, kann mir nicht vorstellen, dass der auf diesem Weg reinkam. Wird wohl ein Script auf dem Server platziert haben, welches alle Web-Verzeichnisse gescannt hat. Ich kann das leider nicht mehr nachvollziehen, wie gesagt nach dem Reboot kam der überhaupt nicht mehr hoch. Hab den dann direkt gebügelt und die letzten Backups von der Nacht aufgespielt, ging schneller als rumzuwuseln. Dafür hat man so etwas ja ;) War und ist übrigens Debian 64 Lamp drauf.

Bei zwei meiner Kunden sind übrigens auch die Win-Server im Netz (Exchange Web Access) wenn immer schön brav die Updates laufen, passiert auch eigentlich nix, ist schon richtig.

Gibst da schon ein Update für das phpBB? Ich habe auch eine Seite mit phpBB. Ich habe kein Interesse, dass dieser Wichser mir alles plättet.

Ich hatte die PHPBB 3.0.0. laufen, natürlich direkt auf die 3.0.2 geändert. Wie gesagt, ich vermute das E107, hab das nun auch abgeklemmt. Guck mal ob ich das noch rausfinde.

War wohl auch nicht der Einzige.

http://www.zone-h.org/component/option,com_attacks/Itemid,43/filter_defacer,iSKORPiTX

Also is phpBB 2.0.23 auch betroffen?

Diesen Hacker sollte man echt einsperren und kopp ab.

Diesen Hacker sollte man echt einsperren und kopp ab.
weil er dir zeigt wie angreifbar gewisse server sind? :lol:

wäre er bösartig hätte er einfach irgend nen trojaner installiert und den server in ein botnetz integriert und der besitzer des servers hätte nie davon erfahren. durch das unbrauchbar machen der installation wurde genau das verhindert.