NetVision-Technik

NetVision-Technik (http://www.netvision-technik.de/forum/index.php)
-   Webserver (http://www.netvision-technik.de/forum/forumdisplay.php?f=9)
-   -   wurde ich gehackt ?? -- Log-Auszug (http://www.netvision-technik.de/forum/showthread.php?t=1395)

dragon1979 01.07.2008 19:16
wurde ich gehackt ?? -- Log-Auszug
 
hir ein auszug

Jul 1 18:30:01 00 CRON[18031]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 18:30:01 00 CRON[18031]: (pam_unix) session closed for user www-data
Jul 1 18:39:01 00 CRON[18241]: (pam_unix) session opened for user root by (uid=0)
Jul 1 18:39:02 00 CRON[18241]: (pam_unix) session closed for user root
Jul 1 18:40:01 00 CRON[18262]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 18:40:01 00 CRON[18262]: (pam_unix) session closed for user www-data
Jul 1 18:41:01 00 CRON[18272]: (pam_unix) session opened for user root by (uid=0)
Jul 1 18:41:01 00 CRON[18272]: (pam_unix) session closed for user root
Jul 1 18:50:01 00 CRON[18453]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 18:50:01 00 CRON[18453]: (pam_unix) session closed for user www-data
Jul 1 18:56:01 00 CRON[18542]: (pam_unix) session opened for user root by (uid=0)
Jul 1 18:56:01 00 CRON[18542]: (pam_unix) session closed for user root
Jul 1 19:00:01 00 CRON[18561]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 19:00:01 00 CRON[18561]: (pam_unix) session closed for user www-data
Jul 1 19:09:01 00 CRON[18633]: (pam_unix) session opened for user root by (uid=0)
Jul 1 19:09:01 00 CRON[18633]: (pam_unix) session closed for user root
Jul 1 19:10:01 00 CRON[18658]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 19:10:01 00 CRON[18658]: (pam_unix) session closed for user www-data
Jul 1 19:11:01 00 CRON[18670]: (pam_unix) session opened for user root by (uid=0)
Jul 1 19:11:01 00 CRON[18670]: (pam_unix) session closed for user root
Jul 1 19:13:38 00 usermod[18695]: lock user `hgdfhuo7l' password
Jul 1 19:17:01 00 CRON[18761]: (pam_unix) session opened for user root by (uid=0)
Jul 1 19:17:01 00 CRON[18761]: (pam_unix) session closed for user root
Jul 1 19:20:01 00 CRON[18806]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 19:20:01 00 CRON[18806]: (pam_unix) session closed for user www-data
Jul 1 19:26:01 00 CRON[18821]: (pam_unix) session opened for user root by (uid=0)
Jul 1 19:26:01 00 CRON[18821]: (pam_unix) session closed for user root
Jul 1 19:30:01 00 CRON[18831]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 19:30:01 00 CRON[18831]: (pam_unix) session closed for user www-data
Jul 1 19:39:01 00 CRON[18963]: (pam_unix) session opened for user root by (uid=0)
Jul 1 19:39:01 00 CRON[18963]: (pam_unix) session closed for user root
Jul 1 19:40:01 00 CRON[19003]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 19:40:01 00 CRON[19003]: (pam_unix) session closed for user www-data
Jul 1 19:41:01 00 CRON[19041]: (pam_unix) session opened for user root by (uid=0)
Jul 1 19:41:01 00 CRON[19041]: (pam_unix) session closed for user root
Jul 1 19:50:01 00 CRON[19329]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 19:50:01 00 CRON[19329]: (pam_unix) session closed for user www-data
Jul 1 19:56:01 00 CRON[19508]: (pam_unix) session opened for user root by (uid=0)
Jul 1 19:56:01 00 CRON[19508]: (pam_unix) session closed for user root
Jul 1 19:58:01 00 CRON[19578]: (pam_unix) session opened for user drweb by (uid=0)
Jul 1 19:58:22 00 CRON[19578]: (pam_unix) session closed for user drweb
Jul 1 19:59:13 00 userdel[19687]: delete user `hgdfhuo7l'
Jul 1 20:00:01 00 CRON[19830]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 20:00:01 00 CRON[19830]: (pam_unix) session closed for user www-data
Jul 1 20:02:01 00 CRON[19904]: (pam_unix) session opened for user root by (uid=0)
Jul 1 20:02:02 00 CRON[19904]: (pam_unix) session closed for user root
Jul 1 18:09:01 00 CRON[17712]: (pam_unix) session opened for user root by (uid=0)
Jul 1 18:09:01 00 CRON[17712]: (pam_unix) session closed for user root
Jul 1 18:09:49 00 useradd[17737]: new user: name=hgdfhuo7l, UID=10004, GID=2524, home=/var/www/vhosts/home-of-speed2.webhop.net, shell=/bin/false
Jul 1 18:09:49 00 usermng: (pam_unix) password changed for hgdfhuo7l
Jul 1 18:09:49 00 usermng: (pam_unix) Password for hgdfhuo7l was changed
Jul 1 18:09:49 00 usermod[17738]: change user `hgdfhuo7l' shell from `/bin/false' to `/bin/false'
Jul 1 18:10:01 00 CRON[17777]: (pam_unix) session opened for user www-data by (uid=0)
Jul 1 18:10:01 00 CRON[17777]: (pam_unix) session closed for user www-data
Jul 1 18:11:01 00 CRON[17799]: (pam_unix) session opened for user root by (uid=0)
Jul 1 18:11:01 00 CRON[17799]: (pam_unix) session closed for user root
Jul 1 18:17:01 00 CRON[17838]: (pam_unix) session opened for user root by (



ich sag dazu mein ssh zugang is nur für meine ip ooffen

Cerberus 01.07.2008 19:38
welche Eintragungen stehen in authorized_keys ??????

dragon1979 01.07.2008 19:45
weis grad nich was du mein kannst du mir den pfad ansagen bitte

Cerberus 01.07.2008 19:54
/root/.ssh/

dort stehen User drin, welche über einen Key sich ohne Root-PW anmelden können

dragon1979 01.07.2008 20:01
ich hab da so ein ordner nich drin hab plex druf is da ander hab aber ssh ordner gefunden sind viele datein drin welche brachchst du ???

bei mir is der ordner in etc. drin

Cerberus 01.07.2008 20:10
wenn du Plesk drauf hast, ist das leider so nicht auffindbar ...
aus welcher LOG ist der Auszug ???

dragon1979 01.07.2008 20:14
var./log./auth.log

wäre net wenn mir irgendwie helfen könntes hab schon mehrmal gesehen da zb mit nobody eingeloggt wurde und cloakend und son zeugs hab erst servercseit eine jahr und so gut wie möglich mich belesen jeden tag alles runt um sicher heit doch an manche sachen trae ich mich nich wirklich ran

könnste mir höchstens vorstellen das sie über radio rein kommen oder ts über die ports aber eigendlich nich möglich ohne ssh zugang oder ?? über andre port habnur noch alle wichtigen offen rest is blockiert durch firerwall

Cerberus 01.07.2008 20:16
also wenn du keinen zusätzlichen FTP-Zugang hast -- und siche keiner weiter in dein Plesk einloggen kann, ist das unerklärlich ...

ändere mal sämtliche Passwörter -- also alle, welche über Browser/FTP/SFTP zu tätigen sind

dragon1979 01.07.2008 20:19
also sogeshen ts plex und root passort wenn ich dich richtig verstanden hab !!!!???

Cerberus 01.07.2008 20:36
Plesk, Root-PW, FTP....

TS brauchst nich, weil der ja separat läuft

dragon1979 01.07.2008 20:39
ts leuft nich seperat liegt auf selben server druf

Tiberius 02.07.2008 00:36
Welche Einträge sind dir unklar? "CRON" Einträge sind Cronjobs die im Hintergrund laufen, sieht man auch an den Zeiten

MPL 02.07.2008 09:58
zeig deine /etc/sudoers

HaBe 02.07.2008 20:56
eben, das sind einfach cronjobs die mit root-rechten vom plesk ausgeführt werden...

dragon1979 03.07.2008 03:01
okay hab alles paswürter geänder und viel viel länger gemacht zu sicherheit

und dane nochmal leuft alles wieder super seit ich den ssh zugang komplett dicht gemacht hab und ts neu gemacht hab

gotthummer 03.07.2008 07:22
Na super wenn wieder alles geht dann können wir hier ja zu machen

:close:


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:29 Uhr.

Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2025, vBulletin Solutions, Inc.