VHCS 2 gehackt

[Lintu]

Hallo zusammen

Ich bin ein Freehoster und bei mir wurde heute das VJCS2 gehackt. Ich konnte die Sicherheitslück schnell schlissen. Der Hacker hat sich irgendwie automatisch mehrere Admin-Acc angelegt. Ich habe diese nach dem schliessen der Lücke per phpMyAdmin gelöscht. Seither kommt der da nicht mehr rein. Im Adminprotukol sehe ich das er immer loggin errors bekommt. Da ich zum zeitpunkt des hacks online war. Hatte der Hacker nur ca. eine 15 min Zeit. Bei einigen Acc ist eine index.html eingesetzt worden.

Ich habe bei allen acc von mir die PWs geändert. Dazu habe ich alle Kunden aufgefordert das auch zu tun.

Kann ich nun noch was weiteres machen? Die IP vom Hacker habe ich, aber so wie die Index.html aussah die er hochgeladen hat, ist es ein Trücke da kann man sicher nicht viel machen.

MfG
Lintu

 

[Guin]

Schau, zu welchem Provider die IP (nur weil die html tuerkisch ist, muss der Hacker nicht aus der Tuerkei kommen) gehoert und schreibe diesen mit deinen gesammelten Logs an.

Ob dann was passiert, wirst du wahrscheinlich nicht mitbekommen (da meistens keine Info kommt, ob was unternommen wurde), aber schaden kann's nicht.

 

[Lintu]

Also der Provider der Ip kommt aus der Türkei habe das mal überprüft. Da denke ich kann ich nichts machen, da ich 1. kein Trükisch kann und mein Englisch sehr bescheiden ist. Dazu habe ich gehört das dass nichts bringen soll wenn so ein Hacker aus dem Osten kommt.

 

[ClemensBW]

Den letzten Patch vom 9.2.2006 hattest du eingespielt? Die Logs wären wirklich sehr interessant.

 

[Lintu]

Den letzten Patch vom 9.2.2006 hattest du eingespielt? Die Logs wären wirklich sehr interessant.

Ja den Patch habe ich eingespielt und seither habe ich ruhe bzw. ab und zu mal ein Login incorrect von solchen fake acc.

Welche Logs genau?

 

[ClemensBW]

*ssh vhcs@192.168.0.28*
*rödel*

Kommt ganz drauf an, wie weit du die Zeit des Hacks bestimmen kannst

Nehm mal die Zeit der ersten vhcs Admin Logs +10 min.

Geh mal mach /var/log/ und gucke dir die auth.log in der Zeitspanne mal etwas genauer an.

Die syslog in /var/log/ ist noch recht interessant.

Dann gehts ab in /var/log/apache2/ :

access.log und die error.log in der betreffenden Zeitspanne angucken (allgemein mal besser ein Backup aller Dateien in /var/log/ machen

in /var/log/apache2/ solltest du auch Logs deiner Userdomains finden.

 

[V40]

Ja den Patch habe ich eingespielt und seither habe ich ruhe bzw. ab und zu mal ein Login incorrect von solchen fake acc.

Hast du das gemacht vor oder nach dem Angriff.

Denn das was du beschreibst ist eine Lücke die genau mit dem Patch behoben wurde.
Wenn das allerdings passiert ist nach dem du denh Patch eingespielt hast dann währe das allerdings sher interessant wie das dazu kam.

 

[Lintu]

Hast du das gemacht vor oder nach dem Angriff.

Denn das was du beschreibst ist eine Lücke die genau mit dem Patch behoben wurde.
Wenn das allerdings passiert ist nach dem du denh Patch eingespielt hast dann währe das allerdings sher interessant wie das dazu kam.

Es passierte davor. Als ich merkte das ich gehackt wurde, habe ich mich umgeschaut und sofort nach dem Entdecken des Patchs in eingespielt.

 

[webhost24]

Hi!

Ich hatte vor mehreren Wochen ebenfalls einen Hacker auf meinem VHCS System. Er legte ebenfalls Admin Accounts an, löschte mehrere Kundenhomepages mittels eines ebenfalls von ihm angelegten FTP Accounts und spielte seine "Visitenkarte" auf den Space der Kunden.
NeoTurk oder so nannte der Typ sich.

Offensichtlich ist dies wirklich ein Türke mit einem DSL Anschluss.

Von VHCS gibts ein Update zum Schließen dieser Sicherheitslücke. Damit aber nicht genug da ab diesem Zeitpunkt VHCS echt nen Knall hatte. die vhcs2.conf wurde unentwegt mit wirrem Zeugs überschrieben. Wir mussten die vhcs2.conf ständig wieder in Ordnung bringen und den Server neu starten.
Da der Vorgang aber nach etwa 50 mal täglich etwas unangenehm wird machten wir ein Script das dies selbständig macht.

Irgendwie hatte ich das Gefühl dass irgendwelche RootKit Sachen drauf sind. Ich würde also echt ein Datenbackup empfehlen und die Kiste neu aufsetzen.

Mittlerweile habe ich PLESK im Einsatz - diese Software läuft wie am Schnürchen.

MfG
Andreas
webhost24.at

 

[Lintu]

Also bei mir auf dem Server wurde rein gar nichts gelöscht. Es wurde nur eine index.html bei ein paar Kundn hochgeladen.

 

[Linux-hilfe.org]

Also bei mir auf dem Server wurde rein gar nichts gelöscht. Es wurde nur eine index.html bei ein paar Kundn hochgeladen.

schon erstaunlich ... dabei ist der patch doch schon solange draussen mh.
Was ich aber nicht verstehe wenn du die login.php austauscht wieso, überschreibt der dir da die vhcs config ? oder meinst du das der "hacker" das beriets schon gemacht hat ?

 

[V40]

....die vhcs config ? ...

Hallo Linux-Hilfe.org,

fangen wir mal damit an das du einen recht alten Thread ausgräbst

So nun zum eigentlichen.
Natürlich ist es Sinnreicher die vhcs.conf zu ändern für einen "hacker".
Da er sich so immer wieder die Option für einen erneuten Zugang offen hält.

Da die wahrscheinlichkeit sehr gering ist das ein Admin, der noch nicht mal mitbekommt das ein Wichtiges Patch draussen ist, die vhcs.conf sich im nach hinein anschaut aber womöglich etwas änder am login Script, kann ich das vollkommen nach vollziehen.

 

[dragon001]

Einer meiner Server ist auf eine ähnliche art und weise gehackt worden.
Hatte vergessen den Patch zu installieren.
Es gibt im Netz eine Seite mit der du Systeme Knacken kannst die den Patch noch nicht installiert hatten.
Hab schon etliche male im Forum von VHCS diskutiert das der Patch zum STandart Packet gehören sollte.
Aber dort wird man dann meist äußerst Rabiat abgewatcht.
Ich selbst werd mir ein System demnächst selbst stricken und mich von VHCS abseilen.
Hab keine Lust im Falle von Bugs so blöd von der Seite angeredet zu werden.

 

[net-spacy]

Guten Tag,

wir hatten vor kurzen das selbe Problem. Einer unserer Root-Server, wo VHCS (immer Aktuellste-Version) installiert ist, wurde von der "Roothacker.org"Crew gehackt. Das sind türkische Mitbürger. Ich habe bereits einiges in Erfahrung bringen koennen. Die Crew spielt das "Hack-Spiel" ueber 4 verschiedene Domains.
Die Seite ist in türkisch geschrieben und möchte übermitteln, das dieser Root-Server besitzer auf seine Server aufpassen soll.

Ich weiss selbst nicht, wie er das geschafft hat. 1. War Apache1.x drauf (sowieso ne Sicherheitsluecke) 2. VHCS in der aktuellsten Version 3. MySQL 4.x

Im VHCS Menue waren 2 neue Roots angemeldet und das bestehende Passwort des Admins geaendert. Desweiteren wurden FTP-Passwoerter geaendert. Vorteil fuer uns war, dies war ein alleinstehender Server der eigentlich nur fuer Gameserver bzw Voiceserver genutzt wurde und somit gab es keinen Kundenverlust.

Der "Hacker" hatte versucht ueber das System eine Mail mit den geaenderten Passwoerter an seinen Kameraden zu schicken, was "leider" misslungen war, da dieser Server nur einen Benutzeraccount zum versenden erlaubt. Also kam die mail zum root und er gab es auf.

Wir sind gerad auf der suche nach einer alternative, auf unseren bisherigen Server befinden sich ausschliesslich Confixx 3.2 Pro wodurch wir bisher keine einbussen erleiden mussten.

Ich hoffe man kann diese "Crews" irgendwann das Handwerk legen. Denn sowas ist nicht nur "rufschaendend" sondern auch "demuetigend".

Ein angenehmes Wochenende erstmal,

mit freundlichen Grüßen

Dennis K.

 

[V40]

Hallo,

nehme das folgende bitte nicht persönlich, aber in meinen Augen ist es immer der root der ganz alleine daran Schuld ist wenn sein System übernommen und/oder defaced wird.

Es ist in der hinsicht völlig egal ob du VHCS, Plesk, Confixx, Webmin oder was auch immer verwendest.

Der große Vorteil an VHCS ist das es opensource ist.
Das kann man zwar auch als Nachteil sehen, aber meiner Meinung nach ist das mehr als Perfekt.

 

[dragon001]

VHCS in aktueller Version 3?????
Wo hast das denn her?
^^
ist doch noch nicht mal veröffentlich oder?

 

[V40]

Hallo,

Version 3 ist noch nicht Public.

Ich dneke das war eher eine Aufzählung.

1....
2.VHCS
3.MySQL

 

[ClemensBW]

Sollte die 3.0 nicht schon als beta public sein?

Am 2.5.2006 wurde noch gesagt "In the next few week we'll preset the new design, more information and details". Bis jetzt war leider noch nix neues zu vernehmen.

 

[h75]

Genau das Problem hatte doch auch Reimer von webhosting[talk|forum|blog].de.

 

[Wild-Wolf]

mir ist genau das gleich passiert ich habe vor kurzem einen meiner root server von einer alten confixx version auf vhcs umgestellt....

prompt kriege ich heute morgen ne meldung von einem kunden warum seine ganzen domain aliase weg sind.... schau auf seine domain: türkische hacker crew.... und unerlaubte neue admin accounts + "delete" button für admins außer funktion....

ich bin in dem fall auf diesen beitrag hier aufmerksam geworden nur was ich mich frage: welche version von vhcs setzt ihr ein?

ich benutze zur zeit die allerneuste non stable (2.4.7)
auf einem voll gepatchten und voll aktualisiertem debian 3.1 system.

jetzt ist in diesem fall meine frage: macht es sinn vhcs noch zu benutzen? sollte ich doch wieder auf das alte confixx umsteigen?

weil ich kann mir auch im namen meiner kunden nicht mehr viel erlauben (es hat vor kurzem schon mal eine ähnliche aktion gegeben).

und / oder gibt es genaure informationen über diesen "bug" weil mir ist es nicht möglich den genauen termin des angriffs / bugusings auszumachen da ich selber in den letzten 3 tagen nicht mehr auf dem server eingeloggt war....