Gitarrist auf Bett
Suche Erfahrung
-
04
phynv:27.01.2006 um 12:07Was mir noch einfällt: bei mir ist ein Hack mal durch URL-Parameter Mißbrauch geschehen; war Folge eines Bug in dem AWSTATS-Modul von Typo3 und eines Fehlers von mir, in dem ich in der php.ini das allow_url_fopen = On hatte…, ein folgenschwerer Fehler! So konnten Scripte von anderen Servern ins /tmp geladen und dort ausgeführt werden, was zur Folge hatte, das von meinem Server Angriffe ausgingen. Zum Glück habe ich die Aktion 20 Min. später entdeckt, und so konnte ich viel Schaden vermeiden.
Also, vielleicht nach sowas mal suchen…
Grüße
phynv
-
03
phynv:27.01.2006 um 09:37Hallo,
ich würde es ebenfalls nicht unterschreiben, sondern denen den Vorschlag machen, dass sie - bis auf den Port 22 - erstmal alle Ports für Deinen Server (IP) blocken. So kann der Server wieder hochgefahren werden und Du kannst reparieren. Dies sollte technisch kein Problem für den Hoster sein… eigentlich!
Grüße
phynv
Interview: Shavidan
-
02
phynv:19.07.2005 um 10:42Man vermag keinen Menschen zu schützen, der sich freiwillig der Öffentlichkeit zur Schau stellt…
Spreeblick defaced
-
01
phynv:15.07.2005 um 09:51Es ist für mich eher unbegreiflich, warum jemand sich mit öffentlichen Exploits brüstet. Ich meine, für sowas muss man nun wirklich keine tiefgehenden Kenntnisse haben. Meist gibt es ja sogar nen HowTo dabei ;-)
Wie dem auch sei: wir hatten neulich ebenfalls einen (leider) erfolgreichen Angriff über das Website-Statistik Modul AwStats. Dadurch konnte er/sie unbemerkt tar-Dateien einschleusen und die im /tmp als wwwrun zum laufen bekommen. Zum Glück haben wir das innerhalb 20 Minuten bemerkt und beseitigt, aber dennoch gilt auch für Spreeblick: LOGs analysieren und den Weg, den Shavidan genommen hat, nachvollziehen und korrigieren. GANZ wichtig!
Früher oder später wird er/sie sowieso entweder aufhören oder derbe einen auf die Nuss bekommen, denn er/sie kann nicht davon ausgehen, dass alle Systeme Produktiv-Systeme sind. Wir setzen beispielsweise Honeypots ein, sodass ein potenzieller Angreifer nicht weiß, ob er sich nun auf einem Produktivsystem oder auf einem Honeypot befindet. Und wir sammeln ab der ersten Sekunde fleißig Daten :-)
Ich wünsche auf jeden Fall Erfolg bei der Beseitigung der Sicherheitslücke und hoffe, dass kein weiterer Schaden entstanden ist. Prüfen Sie auf jeden Fall auf versteckte Hintertürchen. Jemand wie Shavidan brüstet sich sicher auch gern damit, durch ein Hintertürchen eine Seite WIEDER gehaxx0rt zu haben ;-)
Grüße
phynv
05
Hier ist noch ein weiterer Link, ich glaube, das ist sogar derselbe Typ, oder?
Hier