Hackversuche auf SSH ?

Wichtig ist erstmal, dass die Info ans Abuseteam raus ist.
Click to expand...

Bereits erfolgt.


Ohne das Thema jetzt hier weiter zu auszudehnen...

Aber das der Server gehackt worden ist, ist aufgrund der geringen Verusche + kurzen Zeit eher unwarscheinlich.

Denn normalerweise wird einen gehackten Server ein Script verpasst, was aus einer Wort-Datei ließt um diese zu versuchen. Die zusammengestellten Logs sind so klein, das ich mir hier sogar das Packen sparen konnte.

Der Vermutung liegt also nahe, das der Kunde evtl. mal ein bissel versucht hat jm. zu hacken....

Egal... Thema für heute erledigt. Das Abuse Team wird das ja wohl bis Montag rausbekommen haben...
sonst werden wir hier demnächst unser Geld mit einer Glaskugel verdienen...


Thx @ALL.... und an Wolfgang für die Mühe
 
Tja... S4Y halt...

viel Versprechen... nix halten.... wie gewöhnlich...

Hatte damals eine Mail mit den kompletten Logs geschickt.

Aus Zeitgründen aber nicht mehr weiter nachgefragt, da ja gesagt worden ist, das die den Server dann erstmal dicht machen.

@ska = hast du den Server mal angepingt ? Läuft das Teil etwa noch ?


wäre ja ein starkes Stück von S4Y... Die würden sich ja wissentlich Strafbar machen. Müßte man mal ja fast die Rechtschutzversicherung nerven.
 
Habt Ihr schon was erreicht ?

Denn meine Logfiles sind auch voll. Und das ist ein Root bei 1&1.
Wenn Ihr noch nichts erreicht habt, werde ich mich auch mal an server4you wenden.

Denn der war ja gestern noch aktiv:

Jun 23 22:13:40 sXXXXXXX sshd[32545]: error: PAM: Authentication failure for illegal user web2 from kilo038.server4you.de


gruß

Stefan
 
Hi,

nur soviel: der ist nach der Aktion letztes Wochenende gesperrt worden.
Und nach der Aktion gestern ist er nun wieder off.

Gruß
Wolfgang
 
Lord_Icon said:
O.k. Fehler meinerseits eurer Alter mit den Erfahrungswerten zu vergleichen.
Click to expand...
Ich hab den Thread eben mal quer gelesen und ich kann die Standpunkte der anderen sehr gut verstehen.
Deine Herumreiterei auf der Anzeige lässt übrigens auch tief blicken...
 
ahja... tolle Inforamtion...

aber letzendlich heißt es...

S4Y tut garnichts, wenn sich ein einzelner aufgrund Hackverusche meldet. Wenn derjenige weiter Server versucht zu hacken und diese sich melden... DANN wird anscheinend S4Y tätig.



Tolle Informationen..... ich haoffe, das Ihr mal so richtig "auf's Maul" mit eurer Vorgehensweise bekommt.... Rechtlich gesehen.
 
Lord_Icon, ich formuliere das jetzt mal etwas drastischer. Was Du tw. von Dir gibst ist totaler Bullshit!

Ich schicke, wie oben schon erwähnt, öfter mal eine Abuse Mail an den Anbieter und dann ist die Sache für mich erledigt. Taucht die gleiche IP nochmal auf, schick ich einfach noch eine Mail an die Abuse Abteilung und die Geschichte ist gegessen etc.pp.

1&1 z.B. schickt ein autom. Reply der besagt, dass sich in jedem Fall drum gekümmert wird und sie sich ggf. nochmal melden. Nur in äußerst schweren Fällen rät diese Email einem, die Polizei einzuschalten. So ein Hype machen wohl nur "spezielle" Menschen um so etwas mickriges, wie ein Portscan, Passwordversuche etc. Auf einem ordentlich konfiguriertem Server läuft das ohnehin ins Leere.

So und jetzt noch mal zur vielgescholtenen Tochter von Intergenia, S4Y. Wolfgang schrieb doch ganz klar, dass der Server gesperrt war. Der Kunde von S4Y hat anscheinend ein Formular zur Entsperrung unterschrieben, wo er sich verpflichtet, dass so etwas nicht nochmal vorkommt. Der Serveradmin scheint aber den Fehler nicht gefunden zu haben / oder es war ihm egal und das Theater ging wieder los. S4Y ist durch weitere Abuse-Mitteilungen wieder auf ihn aufmerksam geworden und hat den Server jetzt ganz(?) gesperrt und der Kunde ist seinen Server wohl los.

Diese Pauschalverurteilungen sind unter aller Sau. Vielleicht einfach mal das Maß halten. Dir ist rein gar nichts passiert, die "Angriffe" bewegen sich im Loadbereich von 0.1 und auch sonst hat's niemandem weh getan.

Manche Leute ereifern sich aber auch einem Schwachsinn und mixen das mit Behauptungen, das geht auf keine Kuhhaut!

Edit
Und für alle, die sich über meinen Schreibstil ereifern: Wie man in den Wald hineinruft, so schallt es auch wieder heraus!
 
Last edited by a moderator:
marneus said:
Lord_Icon, ich formuliere das jetzt mal etwas drastischer. Was Du tw. von Dir gibst ist totaler Bullshit!
Click to expand...

Werd ich gern versuchen...

Diese Pauschalverurteilungen sind unter aller Sau. Vielleicht einfach mal das Maß halten. Dir ist rein gar nichts passiert, die "Angriffe" bewegen sich im Loadbereich von 0.1 und auch sonst hat's niemandem weh getan.
Click to expand...

HIER ist rein garnichts passiert... ebend weil der Server entsprechend abgesichert ist.


So und jetzt noch mal zur vielgescholtenen Tochter von Intergenia, S4Y. Wolfgang schrieb doch ganz klar, dass der Server gesperrt war. Der Kunde von S4Y hat anscheinend ein Formular zur Entsperrung unterschrieben, wo er sich verpflichtet, dass so etwas nicht nochmal vorkommt. Der Serveradmin scheint aber den Fehler nicht gefunden zu haben / oder es war ihm egal und das Theater ging wieder los. S4Y ist durch weitere Abuse-Mitteilungen wieder auf ihn aufmerksam geworden und hat den Server jetzt ganz(?) gesperrt und der Kunde ist seinen Server wohl los.
Click to expand...

DAS hast DU jetzt hier das erstemal gepostet. Vom Wolfgang ist eine solche "Stellungsnahme" ja nicht erfolgt, die die ganze Sache etwas ins rechte Licht rückt.



Zum allgemeinen Thread.. bzw. zur Anzeige:
Wie oben schon gepostet, wurde einer meiner server schon einmal kompromentiert. Die Kosten die mir hier entstanden sind lauten 4652,32 €.

Der Hacker konnte aufgrund der Löschung der Logs logischerweise nicht ermittelt werden. Da ich damals gehofft hatte, das dieser doch schlampig gearbeitet hat, wurde eine "Sicherheitsfirma" beauftragt, die restlichen Spuren zu ermitteln. Diese haben sich darauf spezialisiert... allerdings sind keine brauchbaren Spuren rausgekommen, der auf den Täter rückschließen ließen.

Das Problem bei der ganzen Sache war, das der Hacker weitere Tools installiert hat um andere Server zu hacken. Da er bei einen sogar das Glück hatte, hat MEIN Server einen anderen kompromentiert. Somit war ich erstmal der schuldige. Um diese Schuld "abzuweisen" hätte der eigendliche Täter ermittelt werden müßen.

Lange Rede.. kurzer Sinn. Mein Anwalt hatte mich damals mehr oder weniger rausgeschlagen. Sonst wären die Schadenersatzanforderungen noch weit aus höher gewesen.

Soo.... und nun stell dir mal vor, das DIR das passiert wäre und du nun weitere Hackverusche auf dein Server findest. Von der Vorgehensweise von S4Y schweige ich mich hier mal aus... sonst wird es glaube ich Off-Topic.

Zumindest sollte man keinen Gehackten Server wieder im Ursprungszustand ans Netz lassen.
Entweder man hatte vorher einen derartig ungesicherten Server, das ein sogar ein kleiner Hacker eindringen kann... oder der Hacker war so gut, das nur noch eine Neuinstallation hilft...


Egal... Schließ den Thread hier...

Server ist ja nun geclosed. Somit ist Thread erledigt. Alles andere wird Off Topic
 
Hallo!
Lord_Icon said:
Wie oben schon gepostet, wurde einer meiner server schon einmal kompromentiert. Die Kosten die mir hier entstanden sind lauten 4652,32 €.
Click to expand...
Erklär mir bitte mal den konkreten Zusammenhang. Wenn dein Server gehacked wurde, dann war doch in erster Linie dein Server nicht entsprechend abgesichert. Der einzige Fall, bei dem andere Server in Spiel kommen ist doch der, in dem durch Sicherheitslücken der restlichen Infrastruktur (Switche, Router, Firewalls, ...) des Anbieters andere Server mißbraucht werden können. Dieser Fall lag hier aber nicht vor.

Eingehende DDoS lassen wir jetzt bitte mal unbetrachtet - hier gehen die Anbieter verschiedene Wege.

mfG
Thorsten
 
Lord_Icon said:
DAS hast DU jetzt hier das erstemal gepostet. Vom Wolfgang ist eine solche "Stellungsnahme" ja nicht erfolgt, die die ganze Sache etwas ins rechte Licht rückt.
Click to expand...

Eh du hier noch mehr Schwachsinn postest, hier nochmal der Post von wstuermer vom 24.06.2007 10:47Uhr:

wstuermer said:
Hi,

nur soviel: der ist nach der Aktion letztes Wochenende gesperrt worden.
Und nach der Aktion gestern ist er nun wieder off.

Gruß
Wolfgang
Click to expand...
 
hatte auf unserem server die selben attacken...

Aber was neues: am 9. juli kamen Angriffe von fulda120.server4you.de, die genauso aussehen...

Hat der Kerl sich was neues gemietet, um da weiter zu machen, wo er aufhören musste? :)

Grüße.
 
Das sind kompromittierte Server.... das macht wohl kaum einer absichtlich von seinem gemieteten Root-Server.
 
Hi,

Code: 
cat /var/log/auth.log | grep fulda120 | mail -s "Abuse von fulda120" abuse@server4you.de
;)

Oder die Mail selber generieren :)

Und nein, es sind nicht die Selben.


Gruß
Wolfgang
 
You must log in or register to reply here.
Back
Top