Viktor's Supportboard (https://www.v-gn.de/wbb/index.php)
- Programmieren (https://www.v-gn.de/wbb/board.php?boardid=87)
-- Servertechnik (https://www.v-gn.de/wbb/board.php?boardid=104)
--- Seite gehackt- Suche Hilfe bei Log Auswertung (https://www.v-gn.de/wbb/thread.php?threadid=7311)


Geschrieben von tom209 am 19.05.2007 um 18:30:

  Seite gehackt- Suche Hilfe bei Log Auswertung

Hallo

Leider ist meine Seite gehackt und bin auch der Suche nach Hilfe wie man die Logfiles auswerten kann. Ich möchte gerne erfahren wie die auf meine Seite reingegangen sind.

Hat jemand eine Idee??

Vielen Dank



Geschrieben von toni am 20.05.2007 um 18:57:

 

Hallo Tom,

tut mir leid das deine seite angegriffen wurde, aber was genau ist den angegriffen worden, der server, dein forum, deine HP oder was?

wenn dein forum angegriffen wurde, dann wahrscheinlich durch eine sql injektion- dieses könnte daran liegen wenn du keine sichere hacks installiert hast oder du dein forum nicht aktualisierst,
wenn es der server war, dann eventuell durch einr ddos atacke.....................k.a. was sonst noch,
ich hoffe doch sehr das du backups gemacht hast und das erste was du machen solltest erstmal sicherheit schaffen also alle passwörter ändern.



Geschrieben von knuddelchen27 am 20.05.2007 um 19:11:

  zusatz

@totototo nicht immer nur die hälfte schreiben großes Grinsen

ddos attacke glaube ich eher weniger weil Denial of Service Denial of Service zum lahm legen der server geeignet iss aber nicht wirklich zum hacken großes Grinsen

Brute-Force-Methode könnte man schon in betracht ziehen. großes Grinsen



Geschrieben von tom209 am 20.05.2007 um 20:24:

 

Hallo,

Danke für die Antworten. Ich habe ein eigenen Server wo mehrere Webseiten darauf gehostet sind. Es würde bei allen Webseiten was geändert. Das komische dabei ist das nur in allen index.php oder index.html was geändert worden ist.

Was noch merkwürdig ist das die Änderung Zeitgleich geschehen ist.

Leider weiß ich nicht von wo die rein gekommen sind.

Danke



Geschrieben von toni am 21.05.2007 um 08:33:

 

Hallo,
vermutlich wie knuddelchen schon beschrieben hat über einen bruteforce, ich gehe mal davon aus das dein ssh port noch auf 22 steht Augenzwinkern das würde ich schon mal ändern (sollte zumindenst die script kiddies abhalten) und einen user anlegen.

das heisst das direkten einloggen per root verbieten, so müssen die zumindenst schonmal 2 passwörter knacken.

welches acp benutzt du denn?



Geschrieben von Merlynn am 21.05.2007 um 16:24:

 

Zitat:
Original von totototo
ich gehe mal davon aus das dein ssh port noch auf 22 steht Augenzwinkern das würde ich schon mal ändern (sollte zumindenst die script kiddies abhalten) und einen user anlegen.


Wie genau meinst Du das mit dem User anlegen??? Und wo sieht man desen ssh port???

Totototo, Du musst nochmal nachlegen... sorry!


LG, Merlynn



Geschrieben von Viktor am 21.05.2007 um 19:56:

 

Hallo,

wenn man einen eigen Server hat hat man auch einen SSH Zugriff. fröhlich

Der Zugriff wird im Standard über den Post 22 gemacht. fröhlich

Das sollte mal ändern so das der Zugriff nicht mehr so leicht ist. großes Grinsen

Der Angreifer muss jetzt erst den Port finden also suchen. großes Grinsen

Viele Hacker scannen das Netz nach dem Post 22 ab um so schneller Server zu finden. fröhlich

Gruß
Viktor Augenzwinkern



Geschrieben von toni am 21.05.2007 um 20:04:

 

Hallo Merlynn,
es ist so wie viktor es sagt, entscheidend ist das du einen eigenen server hast.........wenn das der fall ist sollte man sich nie als root direkt an den server anmelden sondern erst durch einen "normalen" benutzer.
wenn du dann als normaler benutzer angemeldet bist dann zu root werden bzw. als root anmelden und dann kannst du mit dem administrieren des servers anfangen.

wie man den ssh port ändert ist hier im forum in einem anderen beitrag erklärt bzw. für debian war ein link hinterlegt wo es beschrieben wird.

hoffe das war einigermaßen verständlich großes Grinsen

gruß
toni



Geschrieben von Merlynn am 21.05.2007 um 21:43:

 

OK, dankeschön!!!


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab® GmbH