Chrissyx Homepage Forum
Registrieren FAQ Suche Wer ist online? Mitgliederliste Heutige Beiträge Einloggen

Willkommen bei Chrissyx Homepage Forum! Falls dies Ihr erster Besuch hier ist, lesen Sie sich bitte die Hilfe mit den häufigsten Fragen und ausführlichen Erklärungen durch! Falls Sie an den Diskussionen teilnehmen wollen, sollten Sie sich registrieren oder, falls Sie das schon getan haben, sich einloggen. Wir wünschen Ihnen viel Spaß!

 Chrissyx Homepage Forum » Chrissyx Homepage allgemein » Server gehackt + Massen-Defacement   

Autor Thema: Server gehackt + Massen-Defacement
Chrissyx
Dipl.-Inf. Admin
Redakteur
******
ID # 1



109-273-268
Errungenschaften
Erstellt am 23. November 2010 04:16 (#1) HP PN E-Mail Zitat
Das hat es in den fast neun Jahren noch nicht gegeben.

Die Hack-Attacke
Freitag ab 17:30 Uhr wurde der Server von der UAH-Crew gehackt. Die United Albania Hackers erlangten Root-Rechte und haben rekursiv in allen Ordnern und Kundenaccounts, sprich überall in jeder Ebene, die index-Dateien defacet. Das ganze sah dann so aus:
Verborgener Text:

Inhalt einer jeden index-Datei:
index.zip

Die Auswirkungen des Massen-Defacements lässt sich unter zone-h.org verfolgen. Die scheinen nichts anderes zu machen und haben "zufällig" auch mich erwischt.

Provider schreitet ein
Keine halbe Stunde später wurde mein Provider Regworld aktiv und entzog dem Server die Schreibrechte. In Folge dessen gab es nur noch 500er bei jedem Seitenaufruf und die komplette Seite war down. Zu diesem Zeitpunkt hab ich zum ersten Mal davon Wind bekommen und verwundert nachgeforscht. Der FTP-Zugang war noch möglich, aber eben nur lesend. Das war der Moment, wo ich anfing Backups zu ziehen inkl. der defaceten-Indexdatei oben. Die Konfigurationssoftware cPanel meldete nur noch:
Zitat:
Sorry for the inconvenience!
The filesystem mounted at /home/*** on this server is running out of disk space. cPanel operations have been temporarily suspended to prevent something bad from happening. Please ask your system admin to remove any files not in use on that partition.
Erst später hab ich von daniel den Screenshot bekommen und realisiert, was wirklich los war.

Server geht offline
Kurz darauf wurde der Server von Regworld vom Netz genommen und die Domain ging ins Leere. Komplett offline für den Rest des Tages - so wie viele andere gehostete Seiten auch. Eine offizielle Mitteilung vom Provider gab es hingegen keine.

Der nächste Tag
Der Zustand war unverändert. Ich hab dann gegen 15 Uhr beim Provider angefragt, was los ist. Prompt kam folgende E-Mail:
Zitat:
Hallo,

am gestrigen Abend gegen 18 Uhr mussten wir feststellen das diverse
Kundenaccounts (und wohl auch der Server selbst) auf dem cPanel Server
skinner.bces.de gehackt waren.
Um weiteren Schaden soweit noch möglich zu begrenzen und den aktuellen Stand
für Ermittlungsbehörden einzufrieren wurde der Server zeitnah vom Netz
getrennt.

Aktuell ist unsere Technik dabei zu Schauen wie der Angriff möglich war und
worüber er erfolgte.
Gleichzeitig sind wir dabei einen neuen cPanel Server einzurichten um Ihnen
neue Accounts einrichten zu können.
Sobald diese Arbeiten abgeschlossen sind erhalten Sie neue Zugangsdaten und
können Ihren cPanel Account neu einrichten und Ihre Daten erneut aufspielen.

Wir arbeiten mit Hochdruck an diesen Vorgängen und bitten Sie daher von
weiteren Anfragen Abstand zu nehmen.

Sollte die bei uns hinterlegte Mailadresse zur Zeit nicht erreichbar sein
gehen Sie bitte über unsere Webseite in das Kundenlogin und hinterlegen
vorübergehend eine externe Mailadresse.





Bitte senden Sie bei Rückantworten immer den vorangegangenen Mailverkehr
mit. Dies erleichtert eine zügige Bearbeitung Ihrer Anfrage. Vielen Dank!
Das war der Moment, wo ich auf der Portalseite eine Statusmeldung verfasst hatte. Na, wie viele wussten von der Portalseite und haben es gelesen?
Damit endete der Samstag, die Domain ging immer noch ins Leere. Am Sonntag gegen 16 Uhr wurde die Domain auf einen neuen Server ausgerichtet und zeigte fortan eine cPanel-Statusseite. Mehr passierte am Sonntag nicht.

Neuer Server
Am Montag vormittag gab es dann folgende E-Mail:
Zitat:
Hallo,

am Freitag Abend gegen 18 Uhr mussten wir feststellen das diverse Kundenaccounts (und wohl auch der Server selbst) auf dem cPanel Server skinner.bces.de gehackt waren.
Um weiteren Schaden soweit noch möglich zu begrenzen und den aktuellen Stand für Ermittlungsbehörden einzufrieren wurde der Server zeitnah vom Netz getrennt.


Es wurde am Sonntag ein neuer cPanel Server zur Verfügung gestellt. Wir sind aktuell mit allen verfügbaren Mitarbeitern daran, dort alle Accounts wieder neu anzulegen und Ihnen die neuen Zugangsdaten mitzuteilen.
Sie können dann Ihren cPanel Account neu einrichten und Ihre Daten erneut aufspielen. Wir müssen Sie an dieser Stelle gleich darauf hinweisen, dass Backups der Daten in den Verantwortungsbereich des Kunden fallen und uns somit keine Backups Ihrer Daten zur Verfügung stehen.

Parallel dazu versucht unsere Technik weiterhin Zugriff auf den gehackten und danach formatierten Server zu erlangen. Dies ist wichtig um zu Schauen wie der Angriff möglich war und worüber er erfolgte.

Wir arbeiten mit Hochdruck an diesen Vorgängen und bitten Sie daher von weiteren Anfragen Abstand zu nehmen.

Keine 10 Minuten später kamen die neuen Zugangsdaten an. Tja, da stand ich nun mit einem komplett leeren Server und einem cPanel mit Standardwerten. Hätte ich nicht in dem 30 Minuten-Fenster am Freitag die Daten gesichert, wäre der Datenverlust nicht ohne.

Folgen des Hacks
  • Komplett neuer Server
  • Alle Daten weg und müssen neu aufgespielt werden
  • E-Mails der letzten drei Tage haben mich nicht erreicht
  • Alle cPanel-Einstellungen weg, d.h. Subdomains, E-Mail-Konten, FTP-Accounts, Weiterleitungen usw.
  • Alle Statistiken über Besucher und Transferdaten weg
  • Keine Kontrolle was mit den Daten des alten Servers passieren wird
Aktueller Stand
Sämtliche Scripte sollten wieder gehen. Was noch fehlt sind Bilder und große Dateien, damit werde ich noch ein paar Tage beschäftigt sein. Wenn ihr Bugs findet, bitte melden!

Die Rache
Geschützter Text:
Zugriff verweigert! Sie müssen zu diesem Thema erst eine Antwort verfassen, um den Text zu sehen.

-----------------------


Beiträge: 15843 | Mitglied seit: November 2002 | IP-Adresse: gespeichert
No0B
Moderator
*****
ID # 1243



597-353-819
Erstellt am 23. November 2010 08:55 (#2) PN E-Mail Zitat
Schade, aber war klar, dass es irgendwannmal in diesen neun Jahren passieren wird.
So eine Sauerei! :mad: Wünsche dir noch viel Glück beim Wiederaufbau.

M.f.G.
No0B
Beiträge: 302 | Mitglied seit: August 2007 | IP-Adresse: gespeichert
daniel
Inglourious Admin
Redakteur
******
ID # 729



284-199-061
Errungenschaften
Erstellt am 23. November 2010 14:28 (#3) HP PN E-Mail Zitat
Wenigstens gibts vollständige Backups :)

-----------------------
Beiträge: 3828 | Mitglied seit: November 2004 | IP-Adresse: gespeichert
Dampkring
Kennt sich schon aus
**
ID # 1434



Errungenschaften
Erstellt am 23. November 2010 18:26 (#4) PN E-Mail Zitat
Danke für den checkup
Tja, les risques du métier... ;)

-----------------------


"Information is not knowledge. Knowledge is not wisdom. Wisdom is not truth. Truth is not beauty. Beauty is not love. Love is not music. Music is the best!" Frank Zappa
Beiträge: 74 | Mitglied seit: November 2010 | IP-Adresse: gespeichert
Killer7
Raggakings-Selecta
Redakteur
*****
ID # 44



452-369-113
Erstellt am 23. November 2010 18:28 (#5) HP PN E-Mail Zitat
Albaner stinken!

-----------------------
Beiträge: 5739 | Mitglied seit: September 2003 | IP-Adresse: gespeichert
Dampkring
Kennt sich schon aus
**
ID # 1434



Errungenschaften
Erstellt am 23. November 2010 20:39 (#6) PN E-Mail Zitat
kommt darauf an :lol:


-----------------------


"Information is not knowledge. Knowledge is not wisdom. Wisdom is not truth. Truth is not beauty. Beauty is not love. Love is not music. Music is the best!" Frank Zappa
Beiträge: 74 | Mitglied seit: November 2010 | IP-Adresse: gespeichert
Killer7
Raggakings-Selecta
Redakteur
*****
ID # 44



452-369-113
Erstellt am 23. November 2010 20:58 (#7) HP PN E-Mail Zitat
Meine Freundin is Türkin,die sieht auch so aus :P.

-----------------------
Beiträge: 5739 | Mitglied seit: September 2003 | IP-Adresse: gespeichert
Chrissyx
Dipl.-Inf. Admin
Redakteur
******
ID # 1



109-273-268
Errungenschaften
Erstellt am 24. November 2010 06:55 (#8) HP PN E-Mail Zitat
Ich seh eine Zigarette, also stinkt's! :lol:

btt: Wer macht bei der Racheaktion mit? Allein ist das sinnlos. ;)

-----------------------


Beiträge: 15843 | Mitglied seit: November 2002 | IP-Adresse: gespeichert
daniel
Inglourious Admin
Redakteur
******
ID # 729



284-199-061
Errungenschaften
Erstellt am 24. November 2010 16:16 (#9) HP PN E-Mail Zitat
Zuviel Angst vor den Franzosen :P

-----------------------
Beiträge: 3828 | Mitglied seit: November 2004 | IP-Adresse: gespeichert
T3rrabug
09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0
****
ID # 333


Erstellt am 24. November 2010 20:41 (#10) PN E-Mail Zitat
Mich hat ja gewundert dass, das Gästebuch nicht wieder genutzt wurde. Das war doch früher immer so der Anlaufpunkt.

"Die Rache" von Heimrechnern aus zu machen ist ungefähr die dämlichste Aktion die ich jemals gehört habe.
Das laue Lüftchen wird jeder noch so grottige Server stemmen können :tee:
Wenn du 10.000 Menschen zum mitmachen kriegst, wirds vllt. was?

[edit by daniel]2->1[/edit]

-----------------------
T3rrabug - Checkliste

-gute Kenntnisse eines Gebietes (z.B. Hacken) oder von mehreren Gebieten haben
-fair, nett, freundlich sein und verständnisvoll reagieren (z.B. wenn eine Frage schon öfters gestellt wurde oder das Thema bereits existiert)
-Rechtschreibung, Satzzeichen und Gross-/Kleinschreibung beherrschen - durchgängig!
-eine gewisse Anzahl von Posts haben, die nicht nur aus Spamereien oder Doppelposts entstanden sind
-jeden Tag wenigstens einmal Zeit haben, um im Forum nach dem Rechten zu sehen.
Beiträge: 6826 | Mitglied seit: November 2003 | IP-Adresse: gespeichert
Chrissyx
Dipl.-Inf. Admin
Redakteur
******
ID # 1



109-273-268
Errungenschaften
Erstellt am 26. November 2010 00:26 (#11) HP PN E-Mail Zitat
Zitat von T3rrabug:
Mich hat ja gewundert dass, das Gästebuch nicht wieder genutzt wurde. Das war doch früher immer so der Anlaufpunkt.

Ja, mich auch. Scheint entweder keiner mehr zu kennen oder keiner vermisst zu haben. -.-

Zitat von T3rrabug:
"Die Rache" von Heimrechnern aus zu machen ist ungefähr die dämlichste Aktion die ich jemals gehört habe.
Das laue Lüftchen wird jeder noch so grottige Server stemmen können :tee:
Wenn du 10.000 Menschen zum mitmachen kriegst, wirds vllt. was?

10k? Richtet LOIC wirklich so wenig aus?

-----------------------


Beiträge: 15843 | Mitglied seit: November 2002 | IP-Adresse: gespeichert
daniel
Inglourious Admin
Redakteur
******
ID # 729



284-199-061
Errungenschaften
Erstellt am 26. November 2010 03:53 (#12) HP PN E-Mail Zitat
Wie gesagt, die Seite ist auf nem franz. Server gehostet, da bin ich nicht CHARGIN MAH LAZER.

-----------------------
Beiträge: 3828 | Mitglied seit: November 2004 | IP-Adresse: gespeichert
Chrissyx
Dipl.-Inf. Admin
Redakteur
******
ID # 1



109-273-268
Errungenschaften
Erstellt am 26. November 2010 04:48 (#13) HP PN E-Mail Zitat
Dann schreibt denen wenigstens was nettes bei Facebook:
http://www.facebook.com/pages/UAH-CREW/251744798887

-----------------------


Beiträge: 15843 | Mitglied seit: November 2002 | IP-Adresse: gespeichert
T3rrabug
09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0
****
ID # 333


Erstellt am 26. November 2010 10:21 (#14) PN E-Mail Zitat
Zitat von Chrissyx:
Dann schreibt denen wenigstens was nettes bei Facebook:
http://www.facebook.com/pages/UAH-CREW/251744798887

Ohja, weil irgendwelche bösen Hacker bestimmt ganz traurig werden, wenn man böses auf ihre Facebook Seite schreibt. Am besten nutzt ihr eure echten Accounts, weil irgendwelche Hacker können ja auch keinen Scheißesturm heraufbeschwören :noe:

-----------------------
T3rrabug - Checkliste

-gute Kenntnisse eines Gebietes (z.B. Hacken) oder von mehreren Gebieten haben
-fair, nett, freundlich sein und verständnisvoll reagieren (z.B. wenn eine Frage schon öfters gestellt wurde oder das Thema bereits existiert)
-Rechtschreibung, Satzzeichen und Gross-/Kleinschreibung beherrschen - durchgängig!
-eine gewisse Anzahl von Posts haben, die nicht nur aus Spamereien oder Doppelposts entstanden sind
-jeden Tag wenigstens einmal Zeit haben, um im Forum nach dem Rechten zu sehen.
Beiträge: 6826 | Mitglied seit: November 2003 | IP-Adresse: gespeichert
Dampkring
Kennt sich schon aus
**
ID # 1434



Errungenschaften
Erstellt am 26. November 2010 17:44 (#15) PN E-Mail Zitat
Zitat von Chrissyx:
Dann schreibt denen wenigstens was nettes bei Facebook:
http://www.facebook.com/pages/UAH-CREW/251744798887


lol die haben sogar eine facebook Seite :uglyclap: :rofl:
ist aber nix im Vergleich zu Kim Schmitz, german fetzsack powa!



die scheiss Albaner fress ich doch alle auf :lol:

-----------------------


"Information is not knowledge. Knowledge is not wisdom. Wisdom is not truth. Truth is not beauty. Beauty is not love. Love is not music. Music is the best!" Frank Zappa
Beiträge: 74 | Mitglied seit: November 2010 | IP-Adresse: gespeichert
Kay
Ist öfters hier
Redakteur
*
ID # 1392



315-857-426
Erstellt am 27. November 2010 16:17 (#16) PN E-Mail Zitat
:( na toll...
Beiträge: 31 | Mitglied seit: Februar 2010 | IP-Adresse: gespeichert

  

| Chrissyx Homepage | Boardregeln


Tritanium Bulletin Board 1.6
© 2010–2016 Tritanium Scripts


Seite in 0,118849 Sekunden erstellt
22 Dateien verarbeitet
gzip Komprimierung eingeschaltet
3854,64 KiB Speichernutzung