B
BitH
Guest
/Einbruch in VHCS2
Hi Spezis,
vor einiger Zeit hatte ich hier ja mal eine Problemstellung zu klaeren versucht, da mir die VHCS2-internen Sicherheitsmechansimen nicht geheuer waren. Ich versuchte mit der .htaccess hier eine Apache-Auth vorzuschalten, was irgendwie nicht SO funktionierte, wie es sollte. Der Tenor hier im Forum war, dass die VHCS2-internen Sicherheitsmechanismen i.O. seien. Das Thema liegt seit dem Tage auf Eis und wartet auf einen freieren Terminkalender.
Gestern nun hatte ich Besuch aus der Tuerkei. Lt. VHCS2-Adminlog wurde um 9:06 ein Admin angelegt. Kurz darauf hat er die Passwoerter der ganzen ftp-User geaendert um dann mithilfe dieser User die Hauptseite auszutauschen.
Feine Sache : Alles ist begeistert. Dafuer, dass dort ueberwiegend von mir gesponserte Seiten liegen - also es ein non-profit-Server ist, tut's schon weh.
However.
Ich wuesste gern, WIE er das tun konnte - einen Admin-User anzulegen und vor allem, in welchem Apache- oder sonstwelchem -Log ich darueber naeher Infos finde. Die ersten sauber protokollierten Aktionen sind die Aenderungen mit der ftp-Accounts sowie die Aktionen via ftp. Alles im SQL, im ftp-Log sowie auch im Apachen protokolliert.
LEIDER aber fehlt mir ein Anhaltspunkt, was der Typ ca. 1h VOR diesen Aktionen gemacht hat, um diesen Admin anzulegen.
Auch wuesste ich gern, wie ich das fuer die Zukunft effektiv verhindere.
Ich hab erstmal meine angefangene .htaccess-Loesung wieder aktiviert und Tuerkei als auch China aus der Firewall gesperrt - aber die Dauerloesung isses nich.
Ich hoffe auf reichliche Eingebungen, denn irgendwie muss ich ja auch das Beweismaterial vernuenftig fuer die Pozilei aufbereiten um entsprechend Strafantrag stellen zu koennen.
DANKE!
Bitte kurze Überschriften !
Hi Spezis,
vor einiger Zeit hatte ich hier ja mal eine Problemstellung zu klaeren versucht, da mir die VHCS2-internen Sicherheitsmechansimen nicht geheuer waren. Ich versuchte mit der .htaccess hier eine Apache-Auth vorzuschalten, was irgendwie nicht SO funktionierte, wie es sollte. Der Tenor hier im Forum war, dass die VHCS2-internen Sicherheitsmechanismen i.O. seien. Das Thema liegt seit dem Tage auf Eis und wartet auf einen freieren Terminkalender.
Gestern nun hatte ich Besuch aus der Tuerkei. Lt. VHCS2-Adminlog wurde um 9:06 ein Admin angelegt. Kurz darauf hat er die Passwoerter der ganzen ftp-User geaendert um dann mithilfe dieser User die Hauptseite auszutauschen.
Feine Sache : Alles ist begeistert. Dafuer, dass dort ueberwiegend von mir gesponserte Seiten liegen - also es ein non-profit-Server ist, tut's schon weh.
However.
Ich wuesste gern, WIE er das tun konnte - einen Admin-User anzulegen und vor allem, in welchem Apache- oder sonstwelchem -Log ich darueber naeher Infos finde. Die ersten sauber protokollierten Aktionen sind die Aenderungen mit der ftp-Accounts sowie die Aktionen via ftp. Alles im SQL, im ftp-Log sowie auch im Apachen protokolliert.
LEIDER aber fehlt mir ein Anhaltspunkt, was der Typ ca. 1h VOR diesen Aktionen gemacht hat, um diesen Admin anzulegen.
Auch wuesste ich gern, wie ich das fuer die Zukunft effektiv verhindere.
Ich hab erstmal meine angefangene .htaccess-Loesung wieder aktiviert und Tuerkei als auch China aus der Firewall gesperrt - aber die Dauerloesung isses nich.
Ich hoffe auf reichliche Eingebungen, denn irgendwie muss ich ja auch das Beweismaterial vernuenftig fuer die Pozilei aufbereiten um entsprechend Strafantrag stellen zu koennen.
DANKE!
Bitte kurze Überschriften !