OT: "You system was hacked !!! Sorry."

To: debian-user-german@lists.debian.org
Subject: OT: "You system was hacked !!! Sorry."
From: Claudius Hubig <claudiushubig@gmx.net>
Date: Tue, 21 Feb 2006 18:00:45 +0100
Message-id: <[🔎] dtfgvp$6sg$1@sea.gmane.org>

Hi Liste,

als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war noch
alles i. O., als ich es eben tat hatte ich eine schöne neue index.html
mit folgendem Text (und einem ebenso schönen Bild):

<snip>
Your System Was Hacked !!! Sorry .

Ownz Your B0x

Team: V3n0xXx / d4rkv1rus / iCr4sh0v3r / hEx

irc.gigachat.net #A.O.S

( Conhecimento acima de tudo !!! ) 

Greetz for Friends: !

Skyhell,crackt0r,kbcao,darkly,O-mAsTeR, P3S4D3L0 , kbcao, VidaLoka,
al4nc4ds, Zack , V4mu , Fire_Devil , Malkavian (Biba), Lord_Devil ,
unknown , doph , mendigo , Ackstr0n_X , cCkw , BrasilianBoy , YC ,
Pharoeste , Hellsink , h4rv3st , sh0x , failed , Sinistr0 , define ,
gridrunk , Elemento_pcX, Slackirc^^ , Terror_br .
</snip>

Nunja, den betroffenen "Server" habe ich sofort vom Netz getrennt,
und mich lokal eingeloggt um zumindest einen kleinen Überblick zu
bekommen.

In der /var/log/auth.log fand sich keinerlei login seit gestern abend,
und das war ich selbst.

Das Verzeichnis /var/www/limbo (auf das meine Domain verwies) enthielt
besagte HTML-Datei sowie ein Bild, alle anderen Verzeichnisse
in /var/www (es liegen hier noch zwei 'Websites') waren jedoch unberüht.

Die /var/log/apache2/access.log ist komplett leer.


Die Versionen der Pakete auf dem Server sind aktuelles Debian-Testing,
ich möchte hier im Hinblick auf das Dartenvolumen nicht riesig lange
Listen verschicken.

Jetzt liegt es natürlich im Bereich des möglichen das diese "Hacker"
die entsprechenden Angaben gelöscht bzw. geändert haben, doch halte ich
dies nicht für sehr wahrscheinlich. Genauso wäre es möglich, dass sie
irgendwo auf dem System ein rootkit installiert haben bzw. eine der
ausführbaren Dateien geändert haben. Überprüfen kann ich dies nicht.

Doch wie soll ich jetzt weiter vorgehen? Der Angriff muss heute Mittag
geschehen sein, heute nacht war ich vom Netz getrennt.

Eine Neuinstallation der zu diesem Zeitpunkt laufenden Systeme
(Hardwarerouter; Linux-Router; Server) würde ich gerne vermeiden,
Backups habe ich nur von den Konfigurationsdateien erstellt, nicht von
von den gesammten Partitionen.

Was sollte ich jetzt noch überprüfen, was sollte ich neu installieren
(der Aufwand sollte sich jeweils lohnen, ich bin nicht paranoid[1])

Danke für eure Ratschläge,

Claudius
-- 
Claudius Hubig                    ,= ,-_-. =.                224491597
Es gibt auch Linux-Aussteiger.   ((_/)o o(\_))      Y!M:opensource2017
Aber die Rückfallquote steigt mit `-'(. .)`-'         claudiushubig.tk 
jeder Win-Version. (Walter Saner)     \_/ opensource2017@jabber.ccc.de

Reply to:

Follow-Ups:
- Re: OT: "You system was hacked !!! Sorry."
  - From: Roeschu Ostwald <free4me@gmx.ch>
- Re: OT: "You system was hacked !!! Sorry."
  - From: Daniel Leidert <daniel.leidert.spam@gmx.net>
- Re: OT: "You system was hacked !!! Sorry."
  - From: Reinhold Plew <Reinhold.Plew@aedon-its.de>
- Re: OT: "You system was hacked !!! Sorry."
  - From: Philipp Frik <kotty@theorie.physik.uni-muenchen.de>
- Re: OT: "You system was hacked !!! Sorry."
  - From: Andreas Hergesell <news@zeus-computer.de>

Prev by Date: MySQL - Benutzer 'test' benötigt?
Next by Date: Re: xen kernel patch fuer 2.6.15
Previous by thread: Re: MySQL - Benutzer 'test' benötigt?
Next by thread: Re: OT: "You system was hacked !!! Sorry."
Index(es):
- Date
- Thread