Autor |
Security-Fix |
darksweetys Registriert: 28.12.2005
Beiträge:
638
|
Geschrieben: 01.05.2006 12:50
mich würde mal interessieren woran man erkennt dass es ein Angriff war. Also offtmals steht ja im Errorlig ausgelöst von User: darksweetys. Das ist dann wohl ne Sache die intern ist (nehm ich an)
Was be4deutet aber z.B.
- 404 - Fehler
Die gewünschte Seite wurde nicht gefunden.
Ausgelöst von der IP Adresse: 88.65.3.160 um 01.05.2006 12:43:24
Die URI die den Fehler ausgelöst hat war:
/home/e/erzandre/public_html//admin/openphpnuke/error.php?op=404
Die Error-Seite wurde aufgerufen von:
N/A
So und jetzt noch ein paar Infos
Browser : Mozilla/3.0 (compatible; Indy Library)
REMOTE_PORT : 36571
REMOTE_NAME : dslb-088-065-003-160.pools.arcor-ip.net
SERVER_PORT : 80
SERVER_PROTOCOL : HTTP/1.1
SERVER_SOFTWARE : Apache/2.0.48 (Linux/SuSE)
SERVER_NAME : erzandre.h103718.serverkompetenz.net
SERVER_ADDR : 81.169.166.160
REQUEST_URI=/admin/openphpnuke/error.php?op=404
user information
UNAME:anonymous
UID:1
Client=
* ua ::=> mozilla/3.0 (compatible; indy library)
* browser ::=> ns
* version ::=> 3.0
* maj_ver ::=> 3
* min_ver ::=> .0
* letter_ver ::=> Unknown
* javascript ::=> 1.1
* platform ::=> Unknown
* os ::=> Unknown
* ip ::=> 88.65.3.160
* cookies ::=>
* language ::=> en-us
* long_name ::=> mozilla
* gecko ::=> Unknown
* label ::=> 0
* shrinkinputbox ::=> 1
* dpi ::=> 96
Nur das man als Laie mal erkennt woran man erkennt das es ein böswilliger angriff war.
|
|
stefan Wohnort: Münster
|
Geschrieben: 01.05.2006 12:54
Salve
@ spinne, schon verstanden was er meinte und ich habs bereits im Einsatz. Ich meinte den Satz mit
problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen.
>
> bzw. verstehe ich es so, das trotz des EReg kein wirklicher Schutz da ist, korrigiert mich bitte wenn ich falsch liege....
*korrigiert*
der beitrag ist in zeitlichem abstand entstanden zuerst stand da nur das du es löschen sollst damit die seite ging dann erst kamm der fix (10 min später)
|
|
Webschmied
Registriert: 02.09.2001
Beiträge:
540
Wohnort: Dresden
|
Geschrieben: 01.05.2006 13:03
mich würde mal interessieren woran man erkennt dass es ein Angriff war. Also offtmals steht ja im Errorlig ausgelöst von User: darksweetys. Das ist dann wohl ne Sache die intern ist (nehm ich an)
.
.
Nur das man als Laie mal erkennt woran man erkennt das es ein böswilliger angriff war.
Lies mal meinen Beitrag etwas weiter oben, im Tracking (oder wenn du Zugriff hast auch im Serverlog, aber das meist mit zeitlicher Verzögerung verfügbar), kannst du sehen wo versucht wurde reinzukommen.
P.S. Kennt jemand www.thescourge.org? Scheint es auch erwischt zu haben.
W.E.B.S.C.H.M.I.E.D.: Wireless Electronic Battle and Sabotage Construct/Humanoid Manufactured for Infiltration and Efficient Destruction
[ Diese Nachricht wurde bearbeitet von: Webschmied am 01.05.2006 13:08 (Originaldatum 01.05.2006 13:03) ]
|
|
spinne Registriert: 21.08.2003
Wohnort: Luzern
|
Geschrieben: 01.05.2006 13:06
besser gleich im serverlog, weil nicht jeder hat tracking aktiviert.....
|
|
darksweetys Registriert: 28.12.2005
Beiträge:
638
|
Geschrieben: 01.05.2006 13:08
Danke Webschmied, hattest Recht, hätte nur besser lesen sollen.
|
|
darksweetys Registriert: 28.12.2005
Beiträge:
638
|
Geschrieben: 01.05.2006 13:13
das Tracking molul hab ich mir wieder installiert. Wo finbdet man den Serverlog?
Ich weiss ihr müsst Euch vorkommen wie Lehrer die nem begriffstutzigen Schüler versuchen etwas beizubringen "fg" Aber wo das Forum schonmal so gut besucht ist...
|
|
Webschmied
Registriert: 02.09.2001
Beiträge:
540
Wohnort: Dresden
|
Geschrieben: 01.05.2006 13:36
das Tracking molul hab ich mir wieder installiert. Wo finbdet man den Serverlog?
Ich weiss ihr müsst Euch vorkommen wie Lehrer die nem begriffstutzigen Schüler versuchen etwas beizubringen "fg" Aber wo das Forum schonmal so gut besucht ist...
Nicht in OPN Das stellt dein Anbieter zur Verfügung, aber mit Webalizer ist glaube ich nicht viel Staat zu machen in der Beziehung. Auf vielen Servern findet sich, vom Provider bereitgestellt, ein Verzeichnis stats oder plesk-stat oder statistics. Dort sollten Logdateien drin sein, meist für eine Woche, der Rest in der Regel komprimiert. Aber wie gesagt, nur einmal am Tag aktualisiert, und im Textformat, du solltest also zur Auswertung noch ein Programm hinzuziehen.
W.E.B.S.C.H.M.I.E.D.: Wireless Electronic Battle and Sabotage Construct/Humanoid Manufactured for Infiltration and Efficient Destruction
|
|
darksweetys Registriert: 28.12.2005
Beiträge:
638
|
Geschrieben: 01.05.2006 13:43
aha, danke, hab ich gefunden, hilfe ist das ne Menge.
Aber wieder was dazugelernt.
|
|
McBright Registriert: 21.09.2004
Beiträge:
149
Wohnort: Wien
|
Geschrieben: 01.05.2006 14:51
Salve
@stefan, ich verlange nicht das jemand zaubert. Wir sind alle Menschen und das mit Plesk ist oder war unglücklich. das war nicht gegen Dich oder andere gemeint, ich meinte wirklich ernsthaft das man das Hotfix vielleicht anpassen sollte. Ist geschehen und das ist auch gut so.
Wie ich bereits schrieb, ich hatte den Hack nicht und kam aber halt in den Genuß das dafür die Seite down war. Außnahmsweise hatte ich tatsächlich mal kein Backup gemacht und ich Danke nochmals für die rasche Hilfe.
Wie gesagt, es war auch eigentlich eine Nachfrage. Gut, ist alles geklärt und Danke nochmals, hauptsache ist der Fix hilft den Leuten.
|
|
Froeschchen
Registriert: 01.05.2006
Beiträge:
6
|
Geschrieben: 01.05.2006 16:10
hi
2 meiner Seiten sind betroffen:
* bei der ersten sind alle Dateien vom Server gelöscht.
* bei der 2ten erscheint ein Schriftzug: "Here Arabic Saudi Virus For Hack" und "No no Virus jcJI Was here" --- im Hintergrund ein *.jpg und Musik...
Kann es sein, dass mein Virus ein anderer ist?
Ich hatte auf der ersten (kompl. gelöschten Seite) eine Diskussion zum Thema Karrikaturenstreit.
hmmmm... ich spiel mal Backup ein...
|
|
|
sortieren nach
|
Seite 1 2 3 4 vorherige Seite nächste Seite |