Puh, so lange sollte mein heutiger Abend eigentlich nicht werden. Aber nun gut, ist halt nun mal so. Jedenfalls bin ich nun zufriedener als vor beispielsweise vier Stunden.
Heute gegen 18:30 Uhr begann jemand meinen Server zu hacken. Mit Erfolg! Ich bemerkte es durch Kommentare anderer gegen 19:30 Uhr. Sämtliche Startseiten waren durch eine andere Startseite ersetzt worden auf der zu lesen war dass dieser Server gehackt wurde.
Ich hab natürlich gleich erstmal Panik gekriegt, alle nicht lebensnotwendigen Dienste runtergefahren und mich daran gemacht in den vielen, vielen Logs danach zu suchen
1. wie der Hacker bei mir einbrechen konnte
2. wer das überhaupt war und
3. was er alles manipuliert und ausgelesen hat.
Bevor ich jetzt hier stundenlang erläutere wie alles ablief hier nur eine kurze Beantwortung der obigen Fragen:
1. durch einen Bug in dem von mir verwendeten Serververwaltungstool vhcs, durch den es möglich war einen neuen Benutzer mit Administratorrechten, für vhcs, zu erstellen ohne selbst welche zu haben.
2. es mag komisch klingen, aber: ein Skript-Kiddie aus der Türkei mit dem Pseudonym “Starhack”. Insofern hat er sich auch damit begnügt die Passwörter zu ändern und die Startseiten auszutauschen. Viel mehr hätte er sicher sowieso nicht draufgehabt.
3. im Endeffekt weniger als erwartet. Sie haben sich zwar via FTP eingeloggt, aber bis auf eine Ausnahme nur die Startseiten ausgetauscht. Die eine Ausnahme war eine rumliegende Datei namens acc.txt. Wahrscheinlich vermuteten sie darin irgendwelche Passwörter. Was war im Endeffekt drin? Ein Counterstand in Form einer vierstelligen Zahl. Des weiteren hatten sie noch Zugriff auf das Webfrontend von vhcs und konnten somit lesen wer meine Kunden sind. Viel mehr dann aber auch nicht. Insofern war’s für mich auch recht einfach das Ganze wieder in Ordnung zu bringen.
Es hat trotzdem alles seine Zeit gedauert und na ja, jetzt ist’s auch schon wieder spät.
Permalink
acc.txt ist meine Datei 😀 😀
Permalink
Heute war ich dran…
Ebenfalls Starhack, ebenfalls Türkei, ebenfalls VHCS. Man sollte halt die updates machen 🙂
Permalink
Das Hauptproblem war ja das VHCS nicht mal ein Update bereitgestellt hat. Das Problem war bekannt, sollte aber nicht dringend gefixt werden.
Nun ja, inzwischen verwende ich auch kein VHCS mehr.
Permalink
Leute starhack ist eigentlich ein TURKISH SECURITY TEAM
Permalink
Es werden illegale seiten mit erlaubnis gehackt. Doch ab und zu hacken sie auch private seiten um zu zeigen wie unsicher manche seiten sind… Auf jeden fall richten sie meistens keinen schaden an sie wollen bloß aufmerksam machen das die sicherheit der seite lücken hat.
Permalink
ey leute…geschieht euch ganz recht. STARHACK SECURITY TEAM ist ist kein scit – kiddi sondern eine gruppe, die aufmerksam machen wollen. was heulst du eigentlich rum? ist doch nix passiert…