Autor |
Nachricht |
Flipkick
Threadersteller
Dabei seit: 15.05.2003
Ort: Frankfurt am Main
Alter: 41
Geschlecht:
|
Verfasst Do 27.11.2008 01:28
Titel Kann mir jdm beim ErrorLog helfen ? |
|
|
Hallo,
bei einer Freundin von mir sagt der Serveradmin auf dem ihre Webseite gehostet ist, dass angeblich die Seite gehackt wurde und hat ihr jetzt eine schöne Rechnung geschrieben, kann mir jmd bei der Klärung helfen ?
im auth.log.0 steht:
Code: | Oct 25 02:12:22 server2 [15031]: DNS lookup failed for "79.113.188.198".
Oct 25 02:13:23 server2 su[15054]: Successful su for web9 by root
Oct 25 02:13:23 server2 su[15054]: + pts/0 root:web9
Oct 25 02:13:23 server2 su[15054]: (pam_unix) session opened for user web9 by (uid=0)
Oct 25 02:13:28 server2 [15057]: DNS lookup failed for "79.113.188.198".
Oct 25 02:13:29 server2 [15057]: connection from "79.113.188.198"
Oct 25 02:14:22 server2 su[15054]: (pam_unix) session closed for user web9
Oct 25 02:14:30 server2 su[15097]: Successful su for web9 by root
Oct 25 02:14:30 server2 su[15097]: + pts/1 root:web9
Oct 25 02:14:30 server2 su[15097]: (pam_unix) session opened for user web9 by (uid=0) |
Aber derzeitige Aussagen sind:
> Da wurde nichts gehackt, lediglich versucht über den FTP-Port (Web9) sich in den Server direkt zu hacken
> es eventuell ein Cron ist, der einfach durchlaufen ist...wobei das bei einer Rumänischen IP denklich komisch klingt
Nur komisch ist, dass er ihr ne Rechnung erstellt, wobei sie lediglich einen FTP-Zugang (Web9) zu dem Server hat auf dem eine Flashseite liegt, über die man sich eigentlich nicht in den Server hacken kann, also weiß ich nicht, was er ihr da berechnet, da ein Leck im Server eigentlich die Aufgabe des Hosters ist oder ?
Nur Gestalter hier oder auch ein paar Hornbrillen-Hamster
Danke
[edit by Nimroy]
Verschoben
Zuletzt bearbeitet von Nimroy am Do 27.11.2008 08:04, insgesamt 1-mal bearbeitet
|
|
|
|
|
Nimroy
Community Manager
Dabei seit: 26.05.2004
Ort: zwischen Köln und D'dorf
Alter: 45
Geschlecht:
|
Verfasst Do 27.11.2008 08:03
Titel
|
|
|
Was ist denn die auf der Rechnung aufgeführte Leistung?
|
|
|
|
|
Anzeige
|
|
|
Flipkick
Threadersteller
Dabei seit: 15.05.2003
Ort: Frankfurt am Main
Alter: 41
Geschlecht:
|
Verfasst Do 27.11.2008 10:09
Titel
|
|
|
Hallo,
er hat 5 Std. berechnet
- 2 Std. für die Suche in LogDatein und Fehler/Hack-Analyse
- 1 oder 2 für die Accountsperrung ( wobei er einfach die eine Seite aus dem Verzeichnis genommen hat und die alte wieder verlinkt hat ( ich hätte es in 15 Min gemacht)
- 1 oder 2 für die Bereinigung des Servers.
also ich finds ja gut, wenn jmd so "sauber" ist, aber ist die Frage hätte er es überhaupt machen müssen bzw berechnen dürfen?
|
|
|
|
|
pRiMUS
Dabei seit: 09.09.2003
Ort: Vienna
Alter: 48
Geschlecht:
|
Verfasst Do 27.11.2008 11:01
Titel
|
|
|
ich kann in dem logfile jetzt nichts erkennen, das jemand es auf den server geschafft hat. das es anmelde versuche gibt ist erkennbar, mehr aber auch nicht.
darüber hinaus kennen wir aber auch nicht die seite um die es geht. wenn du sagst, das da nur flash inhalte sind und nichts was irgendwie dynamisch ist, kann ich mir nur schwer vorstellen das das über die seite passiert ist, aber ohne infos sind das natürlich nur vermutungen.
sofern du also keine text dateien im wwwroot hattest, wo benutzername und passwort stehen, würde ich die rechnung nicht bezahlen und ihn fragen, was genau passiert ist, und dir den exakten log auszug schicken lassen.
|
|
|
|
|
Zeithase
Dabei seit: 09.05.2005
Ort: Erfurt
Alter: 39
Geschlecht:
|
Verfasst Do 27.11.2008 11:02
Titel
|
|
|
Das Logfile sagt lediglich aus, dass sich der root-User (sic!) als web9 eingeloggt hat (su - web9 als root). Nix FTP, nix direkter Login, nix Hack.
Zuletzt bearbeitet von Zeithase am Do 27.11.2008 11:03, insgesamt 1-mal bearbeitet
|
|
|
|
|
Nimroy
Community Manager
Dabei seit: 26.05.2004
Ort: zwischen Köln und D'dorf
Alter: 45
Geschlecht:
|
Verfasst Do 27.11.2008 16:24
Titel
|
|
|
Flipkick hat geschrieben: | Hallo,
er hat 5 Std. berechnet
- 2 Std. für die Suche in LogDatein und Fehler/Hack-Analyse
- 1 oder 2 für die Accountsperrung ( wobei er einfach die eine Seite aus dem Verzeichnis genommen hat und die alte wieder verlinkt hat ( ich hätte es in 15 Min gemacht)
- 1 oder 2 für die Bereinigung des Servers.
also ich finds ja gut, wenn jmd so "sauber" ist, aber ist die Frage hätte er es überhaupt machen müssen bzw berechnen dürfen? |
Wer hat ihn denn beauftragt?
|
|
|
|
|
Flipkick
Threadersteller
Dabei seit: 15.05.2003
Ort: Frankfurt am Main
Alter: 41
Geschlecht:
|
Verfasst Mo 01.12.2008 21:31
Titel
|
|
|
Hallo,
danke für die zahlreichen Antworten.
Beauftragt hat ihn niemand, die Rechnung kam ins Haus geflattert, da die Seite da gehostet wird und er hat es mehr oder weniger "angeblich" gemacht und ja Arbeit soll zwar bezahlt werden, aber meiner Meinung nach hätte er es nicht berechnen dürfen.
|
|
|
|
|
aUDIOfREAK
Dabei seit: 04.04.2002
Ort: Ansbach
Alter: 44
Geschlecht:
|
Verfasst Mo 01.12.2008 22:48
Titel
|
|
|
also da würd ich mich auch weigern zu zahlen. wenn dann hätt er sich mal vorher melden müssen und ankündigen, dass das evtl. was kostet... aber so?
|
|
|
|
|
|
|
|