Hallo,

wir wurden leider *gehacked*

Nach dem Umzug des Webservers auf eine neue Maschine lief seit gestern morgen eine "Brute-Force"-Attacke auf die neue Maschine.

Die "var"-Partition der neuen Maschine war gemäß Standard-Installation unseres ISP ~4.7GB groß.
Die erfolglosen login-Versuche der Attacke haben gg. 20:30 das Logfile auf 4.7GB aufgeblasen.
Damit konnte Maschine dann nix mehr in die Logfiles runterschreiben und der Syslog-Dämon der Maschine ist verreckt.
Dadurch wurde diverse Daemons dann natürlich angreifbar ....
... gg 22:30 hat es der Angreifer dadurch dann geschafft die Maschine zu übernehmen......

Naja, wie auch immer, glücklicherweise erzeugen alle unsere Server das eine oder andere automatische Backup auf weitere Maschinen, unsere Daten sind also nicht zerstört worden
Die Maschine ist nun neu mit dem Betriebssystem installiert, die Wiederherstellung der zuvor gesicherten Daten läuft und die "var"-Partition ist nun definitiv groß genug um eine "Brute-Force"-Attacke zu schlucken...

Sollte heute noch nicht Alles wieder funktionieren habt ein bisschen Geduld...

@Hacker:
Du bist wirklich ein toller Typ und hast mir echt den Abend versaut ... Du Depp!
Aber zumindest hast Du mir in den logfiles gezeigt wie man eine solche Hacker-Attacke durchführt, Danke für die Lehrstunde!

Gruß,
Uwe

---

Hi,

unfortunately we're *HACKED*

After the move to new machine a "brute force"-attack was running against the new machine since yesterday morning.

The "var"-partition of the new machine was just only ~4.7 GB due to standard installation of our ISP.
The success less login-attempts of the attack had blown up the the logfile to 4.7 GB at ~20:30
So the machine was unable to write to the logfiles and the syslog daemon died.
That made the the syslog-daemon vulnerable....
at ~22:30 that aggressor made it to take over control about our machine....

However, luckily all our servers are doing a couple of automated backups to different machines, so our data survived.
The machine is now installed with the O/S again, the recovery is running and the var-partition is now huge enough to cover such "brute force"-attacks.

If there are currently some issues with our services pls. have a little patience...

@hacker:
you're realy a kind guy and made my day... you idiot!
However, at last your attack has shown me in logfiles how to do and prevent such attack, thanks for the lesson!

cheers,
Uwe

Ist ja echt ´ne riesen Sauerrei. Ich frage mich da immer, was es den Leuten bringt und vor allen Dingen: " Ach, häcke ich mal den Budenserver"; wo ist da der Anreiz einen Community Server für Rennsims zu hacken?! Sieht schon sehr komisch aus das ganze! Das sieht schon gezielt aus (ich sags mal ganz vorsichtig) und von jemandem der die "Buden" nicht mag, aus welchen Gründen auch immer. Ich kann mir das sonst nicht erklären, wie man in der großen weiten Welt des WWW ausgerechnet so einen Server lahmlegen will. Komisch, komisch, komisch ...

Danke Dumeklemmer, dass Du Dich sofort darum gekümmert hast. Das ist auch nicht selbstverständlich.

Gruß Stephan

Das ging nicht zwingend gegen die Weißbierbude.
Es waren alle Bierbuden betroffen.

Braucht also hier nicht nach "verdächigen Personen" suchen;)

Ich persönlich vermute ja, dass das irgend eine verzweifelte Mutter war, die ihren Bengel nicht mehr zur Schule überreden konnte...

Micha

Keine Sorge, schon korrigiert. Ich suche auch hier nicht nach Verdächtigen, mit Sicherheit nicht

Gruß Stephan

Oh man, ich hoffe das diese Vollspasst, der das gemacht etwas besseres in seinem Leben macht, als nur im Keller zu sitzen, bestimmt ist das so ein kern der 45 Jahre alt ist,dem seine Frau durch gebrannt ist mit den Kindern und einfach sinnlos leute abfuckt, damit er noch ein gefühl von da seins berechtigung hat.

PFOSTEN!!!

Oder der liebe Kollege hat irgendetwas von Spenden gelesen und versucht auf diesem Wege, wenn das überhaupt möglich ist, an Kontodaten zu kommen.

Man kann heute leider nichts mehr ausschließen im Netz.
Gruß
Michael

Ohh mann Volldeppen gibt´s!!!

Aber das mit den Kontodaten ist ein guter Punkt. Ist es möglich dass er die Kontodaten gehackt hat?
Kann man es überhaupt nachvollziehen was er gemacht hat?

VG
Volker

Und ich habe mich Gestern schon gewundert, warum ich so schlecht auf die Seite gekommen bin. Das hat Ewigkeiten gedauert, bis mal etwas Angezeigt wurde.

Heute Morgen auf der Arbeit stand dort Plötzlich "Hier entsteht eine neue Internetpräsenz".

Nun ja, da wird wohl der Server abgeraucht sein, war mein erster Gedanke. Kann immer mal Passieren.

Das da aber ein Hacker sein Werk Verrichtet hat ist schon der Hammer.

oh man, das mit den Kontodaten, wäre wirklich ÜBEL, aber sind die überhaupt auf dem Server drauf? Kann ich mir eigentlich nur sehr schwer vorstellen.

I fail to see what possible fun can be derived from hacking a site such as this.Its like driving on the grass in a nice park or putting broken glass in a playground.Senseless.Spite full.

I'm happy to see that everything was backed up and the Bude did not suffer the same fate as RSC.

Johnny

Hi,

volker schrieb:
nene, keine Sorge ...
Die Kontodaten laufen doch per Mail und existieren also nur als Excel-Datei auf dem Rechner vom Klaus

Was er geamcht hat konnte ich nachvolziehen ... nix außer den Rechner zu übernehmen, das reicht ja auch

Die Kiste ist nun aber komplett neu installiert und die betr. Schwachstelle zugeklebt, da kommt er nicht mehr rein ....

Gruß,
Uwe

aber wer weiß..vllt war es ja der hacker von rsc x'D
naja saubere geleistet DerDumeklemmer : )

So ein opfer.... echt, der typ ist bestimmt so ein kleiner kellerwixxer mit einem Gesicht wie ein streuselkuchen, der in Sport ne 5 hat und beim Fussball immer zu letzt gewählt wird. Echt, SO EIN LOOOOSER, wie kann man einen verein hacken wie die Bude, wo es wirklich nur darum ging das teil still zu legen. Wirklich traurig und erbärmlich!

Okay der Fred ist schon etwas älter, aber ich kann dazu auch noch was sagen


Also ein richtiger Hacker war das ganz bestimmt nicht...eher son möchtegern Script-Kiddie der sich auf irgendeiner virenverseuchten Seite son Rotzscript gesaugt hat um damit bei seinen Freunden anzugeben.

Solche Attacken hatte ich auf meinem Server auch schon oft...zu 99% verliefen die aber erfolglos bis auf eine türkische oder russische Hackerguppe...die hatten mir die Kiste mal übelst zerlegt aber waren noch so nett mich auf die Sicherheitslücke (jaja man sollte keine alten Foren/CMS laufen haben; mySQL injection usw. ) hinzuweisen...diese wurde dann geschlossen und seitdem ist Ruhe

Eine Freizeit-Community zu hacken liegt weit unter dem Niveau eines richtigen Hackers...sowas machen nur die dicken Kinder von Landau


Gruss
Xantrios