Root Overtaken

[supercat1510]

Ich weiß nich wo ich es hinposten soll, deswegen einfach mal hier.

Kann mir jemand sagen was: Root overtaken ist.

Kürzlich wurde mein Webserver gehackt und der Hacker meinte es war "Root overtaken" und ich soll mich doch erkundigen was genau das is.

 

[pamax]

Hi,

der Hacker hat mit dir gesprochen? Naja, Root ist das Admin Konto und overtaken ist kein korrektes Englisch. (vielleicht von take = nehmen)
Er hat wahrscheinlich einfach durch ein Trojaner oder Remote Control dein Root Konto gehackt und hat sich dann auf dem Root Konto eingeloggt.

pMx

 

[supercat1510]

Ja hat er - er hatte meine index Seiten ersetzt und da stand seine Email drauf.

Als ich ihn dann angeschrieben hab, meinte er er macht das nur wegen Google -.- (dämlicher Grund).

Und er hat mir gesagt welche Dateien ich runterlöschen muss damit er keinen "direkten Zugriff" mehr hat.
Weiß aber nich wie ers überhaupt geschafft hat da drauf zu kommen - denn dazu meinte er Root overtaken bzw overtaked

 

[pamax]

Hi,

also wenn du irgendwelche Dateien löschen solltest, klingt es mir sehr nach einem Tronjaner.(Remote Controll) Hat dein Server irgendwelche Logs?Am Besten fragst du mal auf der Seite nach: http://www.milw0rm.com

pMx

 

[supercat1510]

Is n WebServer - sollte halt eine php Datei löschen - dabei hab ich dann halt gleich den kompletten Ordnerinhalt gelöscht und neu drauf gespielt.

 

[pamax]

weißt du noch wie die PHP Datei ausgesehen hat?Könnte ein Datei Upload gewesen sein.

pMx

 

[Dennis Wronka]

weißt du noch wie die PHP Datei ausgesehen hat?Könnte ein Datei Upload gewesen sein.

pMx

Oder moeglicherweise irgendwas was vom User uebergebene Werte als Parameter fuer Shell-Befehle nutzt?

 

[supercat1510]

Angeguckt hab ich mir die Datei nich - sondern gleich gelöscht.
Hatte aber eine Datei drauf die ich vorher gelöscht hatte - die hatte ich geguckt - war so wie ein Explorer in dem man alle Dateien von meinem Server sehen konnte - evtl war das andere ja auch sowas.

 

[pamax]

Hi,

hmm, ja das hört sich sehr nach einem Uploadscript an. Er hat wahrscheinlich dein Username und Passwort.(dringend ändern!)Was hast du auf deinem Server laufen? Alte Forensoftware etc.?(oder hast du eine Seite in der du Sachen includest oder man etwas hochladen kann?)

pMx

EDIT: Das könnte es auch gewesen sein : c99shell

 

[supercat1510]

Passwörter hatte ich nach dem ersten mal schon geändert, am nächsten Tag wars schon wieder der Fall.

Includes hab ich zur genüge, kann sein das z.B. ein Teil nicht gegen http:// ftp:// etc Adressen abgesichert is - muss mal durchgucken.

Forum hab ich Burning Board Lite 1.0.2

Edit: Scheint als hätte er nen File Manager hochgeladen - evtl übers forum oder über meine Network Seite - da war zu wenig gesichert - bin grad mal am abändern.