nicht angemeldet
Server Hacking
Hey Leute,
mir ist in letzter Zeit etwas sehr dummes passiert.
Ein fröhlicher Hacker hats geschafft meinen dedizierten Server zu hacken; Passwörter waren nur 7 Stellen lang, also im Grunde genommen selber schuld, ich weiß :-(
Er hat n Video in einem Unterverzeichniss vom lost+found Verzeichniss abgelegt und den Rest könnt Ihr Euch denken. Da er relativ gerissen war (so ziemlich alle relevanten bash historys und logs über /dev/null ins nirvana geschickt) hats zu lange gedauert, bis ichs feststellen konnte.
Es sind 90 GB Traffic entstanden.......
Als ich die Sicherheitslücken gestopft habe (irrelevante UNIX user gelöscht, logs zum laufen gebracht und alle Passwörter bis auf root (zunächst) geändert habe), wurde er aber etwas leichtsinnig und hat sich nochmal als root angemeldet. Ich konnte die IP also bei seinem letzten login mitloggen. Das Problem ist, die IP gehört zu einem türkischen Provider.
Wie sieht denn hier die Rechtslage aus ? Könnte ich ihm die 90 GB Traffic prinzipiell "anhängen", auch wenn während seiner "Aktion" er die logs ausser gefecht gesetzt hat. Allein die Tatsache, dass er sich hier als root anmeldet, ist doch schon strafbar, oder ?
Und wie siehts jetzt international aus ? Ich mein, wenns n deutscher Provider wäre, könnt ich ja einfach das Sicherheitsteam anmailen, zur Polizei gehen und Strafanzeige stellen (und schauen, was dabei rasukommt), aber was mach ich etz, nachdem es ein türkischer Provider ist, der meint, die IP's würden einem Subprovider gehören (der auf all meine mails nicht antwortet) ?
Ich mein, die Kohle muss ich auf jeden Fall blechen, aber "Wiedersehen macht Freude" und ich hätt nichts gegen einzuwenden, wenn ich das Geld irgendwann mal wieder auf meinem Konto sehe........
Was meint Ihr dazu ?
Eher schlecht Chancen, oder ?
-
Moin!
Ich mein, die Kohle muss ich auf jeden Fall blechen, aber "Wiedersehen macht Freude" und ich hätt nichts gegen einzuwenden, wenn ich das Geld irgendwann mal wieder auf meinem Konto sehe........
Was meint Ihr dazu ?
Eher schlecht Chancen, oder ?
Wenn du Strafanzeige stellst, muß die deutsche Polizei ermitteln. Die hat vielleicht ein Abkommen mit der türkischen Polizei, so daß diese die Ermittlungen weiterführen, und werden vielleicht beim Subprovider noch irgendwelche Logfiles sicherstellen können, die vielleicht den bösen Cracker identifizieren können.
Über welchen Schaden reden wir eigentlich? Per Daumenpeilung würde ich mal schätzen, daß die 1000-Euro-Grenze noch nicht überschritten ist. Da macht sich vermutlich kein Beamter die Arbeit - zumal die Polizei in Computerdingen eh' nicht ausgestattet ist, von der eher unwahrscheinlichen Beziehung zur türkischen Polizei mal ganz abgesehen.
Und schließlich: Der Cracker kann ja in der Türkei noch einen Rechner aufgemacht haben, und lebt vielleicht ganz woanders.
PS: Bitte nicht von "Hacker" sprechen. Hacker sind die Guten, die Experten, die immer wieder vor dummen Technologien und bösen Sicherheitslücken warnen. Die machen aber nichts kaputt. Cracker machen was kaputt.
- Sven Rautenberg
-
Über welchen Schaden reden wir eigentlich? Per Daumenpeilung würde ich mal schätzen, daß die 1000-Euro-Grenze noch nicht überschritten ist. Da macht sich vermutlich kein Beamter die Arbeit - zumal die Polizei in Computerdingen eh' nicht ausgestattet ist, von der eher unwahrscheinlichen Beziehung zur türkischen Polizei mal ganz abgesehen.
Ja, Gott sei Dank ist das (sogar ziemlich weit) unter 1000 Euro. 30 GB zu 5 € netto und 60 GB (Preise wurden zwischendurch gesenkt) zu 3 € netto gibt 330 € für Traffic. Ich mein, dadran wird die Welt nicht untergehen, aber s ist halt ultraärgerlich.
Und schließlich: Der Cracker kann ja in der Türkei noch einen Rechner aufgemacht haben, und lebt vielleicht ganz woanders.
Dafür spricht die Tatsache, dass es sich um den FIlm "Pakt der Wölfe" handelt, und das Unterverzeichniss auch Pakt_der_Wölfe hieß....
Aber ich habe auch noch eine zweite IP (t-offline), von jemandem, der erfolglos sich versucht hat als user "webroot" am FTP anzumelden (UNIX user webroot hatte besagtes Verzeichniss als home DIR). Aufgrund des Umfangs (90 GB, hätte bei richtiger Veröffentlichung durch den Cracker (ich lerne dazu) noch viel schlimmer werden können) und der "Kürze" der Aktion (insgesamt 9 Tage) ist es vorstellbar, dass derjenige (auch) etwas Dreck am Stecken hat oder zumindest mit dem Verantwortlichen in Verbindung stand (und ihn vielleicht kennt).
Aber da kann ich nichts beweisen. Zu viele Unbekannte, zu viele Vermutungen, zu wenig Fakten.PS: Bitte nicht von "Hacker" sprechen. Hacker sind die Guten, die Experten, die immer wieder vor dummen Technologien und bösen Sicherheitslücken warnen. Die machen aber nichts kaputt. Cracker machen was kaputt.
Ok, ich merks mir.
-
Tach,
PS: Bitte nicht von "Hacker" sprechen. Hacker sind die Guten, die Experten, die immer wieder vor dummen Technologien und bösen Sicherheitslücken warnen. Die machen aber nichts kaputt. Cracker machen was kaputt.
Das stimmt so nicht ganz. Wenn man "hacken" als "eine geschickte Lösung finden" (was wohl die ursprünglichste Definition ist) definiert, kann der Einbrecher durchaus ein Hacker gewesen sein.
VG
Erik-
Moin!
Das stimmt so nicht ganz. Wenn man "hacken" als "eine geschickte Lösung finden" (was wohl die ursprünglichste Definition ist) definiert, kann der Einbrecher durchaus ein Hacker gewesen sein.
Ok, aber Hacker machen in der Regel nichts kaputt. Sie würden auch, nur um zu zeigen, daß es möglich ist, einen ROOT-Account aufmachen, und dem Betreiber dann eine freundliche Mail zukommen lassen, oder eine nette Login-Botschaft. Aber in der Regel keinen versteckten Webscape zum Verbreiten irgendwelcher Videos anlegen, um Traffic kostenlos zu erhalten.
- Sven Rautenberg
-
-
-
hi
Ich denke, das Geld kannst du abschreiben. Entweder er hat - wie Sven schon sagte - den PC dort auch nur geknackt, dann wird eh nix mit finden, oder es haut keinen vom Hocker o.ä.
Übrigens sehe ich dein Problem weniger bei dem zu kurzen Passwort. Ich erlaube generell keine Direkte root-Anmeldung an einen PC. Somit kann man zwar versuchen ein user-Passwort durch Try&Error zu hacken, aber für das root-Passwort muss man angemeldet sein und wird damit auch erstmal geloggt.... Macht die Sache schon um einiges (!) ungemütlicher. Außerdem von Zeit zu zeit ausnahmslos jeden Account mal über ssh testen, ob irgendeiner rein kommt. Ansicht sollten das nur die User, bei denen das auch nötig ist.-
ich habe bereits von anfang an ssh2 eingesetzt. Aber, wie gesagt, auch die bash historys wurden ins Nirvana geschickt.....
Das Einzige, was ein Schwachpunkt war, ist die Länge der Passwörter.Na, wie dem auch sei. Ich danke Euch Beiden für die Hilfe hier. Ich werd mal überlegen, ob und was ich ggf. unternehme.
-
Moin!
ich habe bereits von anfang an ssh2 eingesetzt. Aber, wie gesagt, auch die bash historys wurden ins Nirvana geschickt.....
Das Einzige, was ein Schwachpunkt war, ist die Länge der Passwörter.Also, ich glaube ja eher nicht, daß die Länge der Paßwörter entscheidend ist, sondern deren Qualität.
Welches Paßwort hattest du denn? Irgendeines, was im Lexikon steht? So nach dem Motto "Land in Afrika mit sieben Buchstaben"? Das wäre natürlich ganz böse.
Zum Thema "Wie wähle ich ein gutes Paßwort": http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/index.htm
- Sven Rautenberg
-
use Mosche;
Welches Paßwort hattest du denn? Irgendeines, was im Lexikon steht? So nach dem Motto "Land in Afrika mit sieben Buchstaben"? Das wäre natürlich ganz böse.
Es ist "Elfenbeinküste", stimmts ?
use Tschoe qw(Matti);
-
Hi !
Also, ich glaube ja eher nicht, daß die Länge der Paßwörter entscheidend ist, sondern deren Qualität.
Es war von anfang an ein alphanummerischer Code, von daher..... kann ich mir wirklich nur bruteforce erklären.
-
-
-