Opfer eines bekannten türkischen Hackers

Hier kann alles mögliche diskutiert werden. Themen zu Purebasic sind hier erwünscht.
Flames und Spam kommen ungefragt in den Mülleimer.
Benutzeravatar
X0r
Beiträge: 2770
Registriert: 15.03.2007 21:47
Kontaktdaten:

Opfer eines bekannten türkischen Hackers

Beitrag von X0r »

Hallo,
gerade musste ich mit Entsetzen feststellen, wie unsere türkische Upload-Site, die ich zusammen mit nem Studenten aus der Türkei gemacht habe, von einem bekannten türkischen Hacker auseinander genommen wurde.
Er nennt sich By_MuCaHiT und hat es irgendwie geschafft, Index-Dateien in verschiedenen Ordner zu ersetzen. Zum Glück hat er nicht die MySQL-DB gelöscht...das wärs dann nämlich gewesen (wir haben monatlich über 50 GB Traffic).
Hab die Seite jetzt erstmal neu aufgesetzt und bitte euch hier um Rat. Welche Möglichkeiten bieten sich denn bei einer Upload-Seite?
Zuletzt geändert von X0r am 22.08.2009 18:34, insgesamt 1-mal geändert.
DarkDragon
Beiträge: 6291
Registriert: 29.08.2004 08:37
Computerausstattung: Hoffentlich bald keine mehr
Kontaktdaten:

Beitrag von DarkDragon »

Die Homepage der Realschule auf der ich war wurde auch vor ca. nem Monat von einem türkischen Hacker gehackt. Die Polizei konnte desshalb nichts machen, weil er eben in der Türkei sitzt.

Du solltest jedenfalls Backups deiner Datenbank machen.
Angenommen es gäbe einen Algorithmus mit imaginärer Laufzeit O(i * n), dann gilt O((i * n)^2) = O(-1 * n^2) d.h. wenn man diesen Algorithmus verschachtelt ist er fertig, bevor er angefangen hat.
Benutzeravatar
TomS
Beiträge: 1508
Registriert: 23.12.2005 12:41
Wohnort: München

Beitrag von TomS »

Wenn er die Index-Dateien ersetzt hat, also nicht irgendwas in die DB geschrieben hat, was dann auf der Index.php ausgegeben wird, sondern wirklich den ganzen Code ersetzt hat (auch statische Teile), dann kannst du da wenig gegen machen. Da muss der Serverbetreiber für bessere Sicherheit sorgen.
Wenn ihr selber Betreiber seid ((V-)Root), dann müsst ihr euch selber drum kümmern. Dabei spielt es aber keine Rolle, ob es eine Uploadseite oder ein Forum oder eine statische Seite über die Marmelade deiner Oma ist.
Benutzeravatar
X0r
Beiträge: 2770
Registriert: 15.03.2007 21:47
Kontaktdaten:

Beitrag von X0r »

Also das komische ist ja, dass er die Seite zur selben Zeit, als ich drauf war, gehackt hat. Ich sah dann zu erst nen MySQL-Error, nach dem Aktualisieren war dann plötzlich die ganze Seite weg und danach war der gesamte Server nicht erreichbar.
Benutzeravatar
TomS
Beiträge: 1508
Registriert: 23.12.2005 12:41
Wohnort: München

Beitrag von TomS »

Und nachdem der Server wieder erreichbar war?
Und was heißt die ganze Seite war weg? Fehler 404, oder was?
Warum soll es komisch sein, dass er das macht, während du drauf bist? Meinste der wartet, bis keiner mehr auf'm Server ist, damit er nicht gesehen wird? :lol:
Du und alle anderen haben ihm sogar minimal geholfen. Weil erst MySQL-Error und dann gar nit erreichbar klingt nach DoS-Attacke^^
Benutzeravatar
X360 Andy
Beiträge: 1206
Registriert: 11.05.2008 00:22
Wohnort: Bodensee
Kontaktdaten:

Beitrag von X360 Andy »

Ich frag mal so in die Runde rein ... War es den möglich php. datein hochzuladen ?
Und diese dann auch in ihrer Form aufzurufen......

Weil dann, wäre es keine Kunst!
Benutzeravatar
X0r
Beiträge: 2770
Registriert: 15.03.2007 21:47
Kontaktdaten:

Beitrag von X0r »

Und nachdem der Server wieder erreichbar war?
Dann war ne schwarze Seite zu sehen, auf der folgendes stand:
O w n z Y o u r S y s t e m

Real_Karizma ~ By_MuCaHiT (DarkKnight)

Real_Karizma:Herkesin Havasýný Attýðý Yerde Benim Rüzgarým Eser..!!

By_MuCaHiT (DarkKnight) :Sanalda Hacklenmeyen Site Kalmayacak.

mail: real_karizma@hotmail.co.uk
Googelt mal nach By_MuCaHiT und seht selbst, was der da alles treibt.

Und was heißt die ganze Seite war weg? Fehler 404, oder was?
MySQL-Error->404->Server nicht erreichbar (auch nicht der FTP-Server).
Warum soll es komisch sein, dass er das macht, während du drauf bist? Meinste der wartet, bis keiner mehr auf'm Server ist, damit er nicht gesehen wird? Laughing
Bitte? Es war halt ziemlich komisch, dass sich gerade vor meinen Augen quasi die gesamte Seite aufgelöst hat. Mehr meinte ich damit nicht.
Du und alle anderen haben ihm sogar minimal geholfen. Weil erst MySQL-Error und dann gar nit erreichbar klingt nach DoS-Attacke^^
Und wie kommt da seine Index-Seite hin?

Ich frag mal so in die Runde rein ... War es den möglich php. datein hochzuladen ?
Und diese dann auch in ihrer Form aufzurufen......

Weil dann, wäre es keine Kunst!
Die Seite ist ne reine Image-Upload-Seite, es werden also nur Bilddateien akzeptiert.

Glücklicherweise sind noch alle Dateien da, die Datenbank wurde wie gesagt auch nicht beschädigt.
Benutzeravatar
TomS
Beiträge: 1508
Registriert: 23.12.2005 12:41
Wohnort: München

Beitrag von TomS »

>Bitte? Es war halt ziemlich komisch, dass sich gerade vor meinen Augen quasi die gesamte Seite aufgelöst hat. Mehr meinte ich damit nicht.

Ok, ok. Klang nur lustig, wie "was traut der sich, das vor meinen augen zu machen" ;) Wie gesagt. Daran is eigentlich nix komisches. War halt Zufall.

>Und wie kommt da seine Index-Seite hin?

Frag mich was leichteres. Bin kein Hacker. Ich nehme mal an, dass durch so ne DoS-Attacke ein Buffer-Overflow entsteht. Und irgendwie kann man danach eigenen Code einschleusen. Nagel mich jetzt bitte nicht drauf fest, ich hab echr ziemlich wenig Ahnung davon und das bissel was ich hab, kommt aus der Computer-Bild von vor 6 Jahren /:->
DarkDragon
Beiträge: 6291
Registriert: 29.08.2004 08:37
Computerausstattung: Hoffentlich bald keine mehr
Kontaktdaten:

Beitrag von DarkDragon »

Bei uns in der Zeitung stand, dass es dafür Tools gäbe, die automatisch eine Seite nach der anderen derart hacken.
Angenommen es gäbe einen Algorithmus mit imaginärer Laufzeit O(i * n), dann gilt O((i * n)^2) = O(-1 * n^2) d.h. wenn man diesen Algorithmus verschachtelt ist er fertig, bevor er angefangen hat.
Benutzeravatar
TomS
Beiträge: 1508
Registriert: 23.12.2005 12:41
Wohnort: München

Beitrag von TomS »

DarkDragon hat geschrieben:Bei uns in der Zeitung stand, dass es dafür Tools gäbe, die automatisch eine Seite nach der anderen derart hacken.
Ne. Der sendet ein paar hundert Serveranfragen in der Sekunde von Hand ;)
Antworten