Rechtliche Schritte einleiten

F

Fireball22

Registered User
Hallo,

leider wurden vor einigen Tagen auf Grund einer Sicherheitslücke in einem PHP-Portal einige Boot-Trojaner eingeschleust.

Da diese Trojaner über eine veränderte Template-Datei des PHP-Portals mit einer "wget"-Anweisung heruntergeladen wurden konnte ich den Besitzer der Domain ausfündig machen, welcher die Quell-Dateien für die Trojaner zum Download bereit hält.

Meine Frage wäre jetzt, wie ich gegen diesen Betreiber aus Deutschland vorgehen kann um evtl. Schadensersatzforderungen geltend zu machen.

Fireball22

PS: Ich hoffe dass hier ist das richtige Thema um diesen Thread zu posten.
 
Vielen Dank, das werde ich machen!

Nur wie kann ich jetzt noch eine Sicherung von den Trojanern auf dem Server des Hackers anstellen?
Ist der Download dieser Datei ein ausreichender Beweis?

Fireball22
 
Fireball22 said:
Nur wie kann ich jetzt noch eine Sicherung von den Trojanern auf dem Server des Hackers anstellen?
Click to expand...

Hallo Fireball22,

das musst Du vermutlich der Staatsanwaltschaft überlassen. Vorher noch der Hinweis, dass der Quellserver eventuell auch vorher kompromittiert wurde und der Domain-Inhaber höchstwahrscheinlich nichts mit dem Autor des Trojaners zu tun hat. Falls doch, dann ist er so blöd, dass er die Beschlagnahmung seines Servers verdient hat ;)

Gruß,
Bastelator
 
Vielen Dank für deine/eure Tipps!

Ja genau, das könnte evtl. schon sein, dass der Domain-Inhaber damit nicht's zu tun hat, weil wie du schon sagst wäre dass dann nicht sonderlich schlau.

Aber auch andernfalls hat er dann selber Schuld, denn er als Besitzer des Webspaces/Servers haftet für allen Inhalt auf seiner Seite.


Kann ich eigentlich auch damit rechnen, dass mein Rechner oder mein angegriffener Server von der Polizei gesichert wird?

Fireball22
 
Hallo,

ich habe das Thema mal verschoben, passt hier irgendwie besser hin.

So nun zum eigentlichen Thema.
Auf jeden Fall sämtliche Logs in denen du die ungewünschten Vorgänge siehst gut sichern. Die wirst du brauchen.

Desweiteren die Dateien die eingeschleust wurden auch sichern, ausserhalb des Servers!

Und ansonsten kann ich mich meinen vorrednern nur anschliessen.
 
Vielen Dank, in den Logs lässt sich darüber leider nicht's finden, da habe ich bereits nachgeschaut.

Die Dateien habe ich gesichert.

Nur was mich noch interessieren würde:

Kann ich eigentlich auch damit rechnen, dass mein Rechner oder mein angegriffener Server von der Polizei gesichert wird?
Click to expand...

Fireball22
 
Hallo,

...
Da diese Trojaner über eine veränderte Template-Datei des PHP-Portals mit einer "wget"-Anweisung heruntergeladen
...
Click to expand...

Das wurde doch sicherlich irgendwo protokolliert und genau das meinte ich mit den Log-Dateien.


Kann ich eigentlich auch damit rechnen, dass mein Rechner oder mein angegriffener Server von der Polizei gesichert wird?
Click to expand...


Ich würde jetzt behaupten das dass von der schwere des Vergehens abhängt ob man deinen Server und/oder Daten deines Servers zur Beweissicherung benötigt.
Wenn das jetzt nur ein IRC-Bot war der lästig ist kann ich mir nicht vorstellen das die Staatsanwaltschaft daran interesse hat, anererseits kann es ja genau so gut sein das über deinen Server weitere Angriffe gemacht wurden auf wiederum andere Server, dann könnte ich mir das schon eher vorstellen.

Aber wirklich wissen tue ich das nicht!
 
Fireball22 said:
Aber auch andernfalls hat er dann selber Schuld, denn er als Besitzer des Webspaces/Servers haftet für allen Inhalt auf seiner Seite.
Click to expand...

Nimm's mir nicht übel, aber greif da mal an Deine eigene Nase:

Fireball22 said:
leider wurden vor einigen Tagen auf Grund einer Sicherheitslücke in einem PHP-Portal einige Boot-Trojaner eingeschleust.

Da diese Trojaner über eine veränderte Template-Datei des PHP-Portals[...]
Click to expand...

Genau so könnte es dem anderen Serveradmin/Site-Betreiber auch gegangen sein...

Ich will hier aber nicht für laissez-faire plädieren, und ich weiß auch nicht, wie ich selbst reagieren würde. Evtl. mal nach der Glaubwürdigkeit des Inhabers oder Infos zu seiner Person/Firma googlen und ihn ggfs. informieren, falls es nach "gesundem Menschenverstand(tm)" kaum denkbar wäre, dass der Mensch Trojaner programmiert.

just my 2 cents, alles IMHO und IANAL

Gruß,
Bastelator
 
Vielen Dank für deine Antwort!

Genau das habe ich mir auch gedacht!
Zumindest die Fehlermeldung hätte das System mitschreiben müssen, als ich neulich den CHMOD auf das Verzeichniss geändert hatte.

Aber in der /var/log/messages lässt sich leider nichts finden, hat denn wget noch eine eigene Log-File wo etwas derartiges drinstehen könnte?

Fireball22
 
@Bastelator

Also dass diese Person einen Trojaner programmiert hat, kann ich so gut wie ausschließen.

Aber wenn ich diese Seite von der Person gesehen habe, dann handelt sich das ganze schon um eine derartige Seite, bei der ich mir vorstellen kann, dass einer davon meinen Server hackt.

Sollte es aber auch bei Ihm genauso eine Sicherheitslücke sein, dann ist das zwar nicht meine Absicht ihn zu verklagen, aber dann kann man dort wieder herausfinden wo die Datei dann ursprünglich her kam.
Und es ergab sich schon, dass ein Serverbetreiber Schadensersatz zahlen musste, nur weil ich bei Ihm jemand auf den Server gehackt hat und dort Mails verschickte.

Es ist eben immer derjenige Haftbar bei dem die Daten liegen, weil laut Gesetz der Eigentümer das ganze hätte verhindern können.

Fireball22
 
@Fireball22:

Klar, wie gesagt, ich weiß auch nicht, wie ich wirklich reagieren würde. Stellt sich eben auch immer die Frage, was wirklich passiert ist und wie groß der tatsächliche Schaden war.

Zu den logs: Schau besser mal unter /var/log/apache oder aehnlich in den *access.log-Dateien -- auch in den evtl. durch logrotate ge-gzip-ten Dateien.

evtl. ein "zcat /var/log/apache/*access*gz | grep wget" oder so.

Gruß,
Bastelator
 
Vielen Dank für deine Hilfe!

Leider lässt sich in der access.log keine wget-Aktion finden.

Da steht zwar so einiges drin(2,6 MB), aber zu dem Zeitpunkt als das passierte steht überhaupt nichts über wget drin...

Fireball22
 
Hallo,

hast du auch mal in den anderen Dateien geschaut die im Apache Verzeichnis liegen?

Also die anderen Logs?


Irgendwo muss das Verzeichnet sein, oder da war jemand am Werk der ein bisschen mehr kann als nur Scripte ausführen ;)

Woher hattest du denn die Infos aus deinem ersten Posting?
 
Vielen Dank, habe es nun gefunden, es steckt nicht in der access.log sondern in der error_log.
Ich habe es vorher nicht gefunden, da es nicht unter dem Wort "wget" zu finden ist sondern einfach als eine ganz normale Anweisung ausgegeben wird.

Die Informationen aus dem ersten Post beziehen sich auf die Datei, die der Hacker modifiziert hat um die Boots auf meinen Server zu ziehen.

Fireball22
 
Fireball22 said:
Vielen Dank, habe es nun gefunden, es steckt nicht in der access.log sondern in der error_log.
Click to expand...

Sollte in den error.log-Dateien nicht nur das stehen, was der Server mit Fehler (404, 500,...) quittiert? Entsprechend wäre ja nichts passiert, oder?

Kannst Du den Eintrag hier posten?

Gruß,
Bastelator
 
Das stimmt nun auch wieder...

Kein Problem, ich kann das ganze hier posten, ich muss nur etwas die URLs verstecken:

Code: 
--04:48:32--  http://www.xxxxxxxxxxxxxxxxxxx/xxxxx.xxxx
           => `xxxxx.xxxx'
Resolving www.xxxxxxxxxxxxx.xxx... xxx.xxx.xxx.xxx
Connecting to www.xxxxxxxxxxxx.xxx|xxx.xxx.xxx.xxx|:xxxx... connected.
HTTP request sent, awaiting response... 200 OK
Length: 165,497 (162K) [text/plain]
xxxxxx.xxx: Permission denied

Cannot write to `xxxx.xxxx' (Permission denied).
mv: cannot stat `xxxxx.xxxx': No such file or directory
--04:50:59--  http://www.xxxxxxxxxxxxx.xxx/xxxx.xxxx
           => `xxxx.xxxxx'
Resolving www.xxxxxxxxxxxxx.de... xxx.xxx.xxx.xxx
Connecting to www.xxxxxxxxxxxxx.xxx|xxx.xxx.xxx.xxx|:xxxx... connected.
HTTP request sent, awaiting response... 200 OK
Length: 165,497 (162K) [text/plain]

    0K .......... .......... .......... .......... .......... 30%    3.20 MB/s
   50K .......... .......... .......... .......... .......... 61%    2.88 MB/s
  100K .......... .......... .......... .......... .......... 92%    2.96 MB/s
  150K .......... .                                          100%    1.31 MB/s

04:50:59 (2.75 MB/s) - `xxxxxx.xxxxxx' saved [165497/165497]

sh: gvv: command not found
gcc: no input files
[Sun Oct 22 04:52:35 2006] [error] [client 127.0.0.1] File does not exist: /var/www/vhosts/default/htdocs/r57shell
error: "kern.ostype" is an unknown key

Fireball22
 
Fireball22 said:
Das stimmt nun auch wieder...

Kein Problem, ich kann das ganze hier posten, ich muss nur etwas die URLs verstecken:

Code: 
sh: gvv: command not found

Fireball22
Click to expand...

... aber nur deshalb steht es wohl im error.log. Ist im access.log gar nichts zu finden? Oder wurde das vielleicht schon geloescht?

Btw: das Ersetzen kannst Du teilweise per sed automatisieren:

Code: 
zcat /var/log/apache/*error*gz | grep wget | sed s/meinedomain/xxxZeigIchNichtxxx/g

oder auch

Code: 
zcat /var/log/apache/*error*gz | grep wget | sed s/meinedomain/xxxZeigIchNichtxxx/g | sed s/fremdedomain/xxxDasAuchNichtxxx/g

Gruß,
Bastelator
 
Hmm, nein, da findet sich leider nichts...
Da steht einach nicht's in der Log drin...
Das ist ja mal komisch...

Kann man das nicht sonst noch irgendwo finden? Und wget hat keine eigene Log-Datei?

Fireball22
 
You must log in or register to reply here.
Back
Top