Root server gehackt

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von homilai, 7. Mai 2006 .

Schlagworte:
  1. 7. Mai 2006
    Hi Leute,
    ich habe ein riesen problem und zwar hab ich einen root-server bei strato medien ag.

    Wir hatten vor dem root server einen teamspeak server von einem typen bekommen mit dem wir uns total verstritten haben.

    Er hat jetzt unsern root-server gehackt weil er immer noch total sauer ist er kennt unsrer ips kennt jedes mal das passwort vom root server auch wenn wir es ändern.

    Kurz gesagt er macht was er will mit unserem server.

    Er droht uns damit das er alle gameserver beliebig verändert und alle teamspeak server verändert wenn wir nicht nach seinen regeln spielen.

    Ich hoffe das jemand meine situation versteht und mir vllt helfen kann.

    Ihr könnt uns auch mal in teamspeak besuchen und uns weiterhelfen

    ip: pks-community.de:8767

    Ich freue mich über jede Hilfe!!

    Vielen Dank im voraus!!
     
    + Multi-Zitat Zitieren
  3. 7. Mai 2006

    Woher hat er eure IP´s?
    - Die ändert sich doch immer.

    Habt ihr einen Trojaner oder sonst so ewtwas drauf?



    Ist er villeicht Admin?
     
    + Multi-Zitat Zitieren
  4. 7. Mai 2006
    nei nwir haben eine feste IP von Strato wie fast jeder:

    pks-community.de und auch die Zahlen IP ändert sich nie.

    Admin war er noch nie bei uns und einen Troaner haben wir auch nicht

    PlS Help

    MfG Homilai
     
    + Multi-Zitat Zitieren
  5. 7. Mai 2006
    Wenn ihr keinen Trojaner oder so was drauf hat, wie soll er dann immer an die neuen PW kommen?

    Vielleicht sind sie ja einfach und er brutet sie.
     
    + Multi-Zitat Zitieren
  6. 7. Mai 2006
    ja wir wissen es nicht er schickt uns immer so nachrichten

    hey leute sieh mal das ist deine ip:xx.xxx.xxx.xxx

    und schickt uns auch nachrichten ja guck mal das ist das root passwort .........

    und das passwort ist auch nicht schwach es besteht aus 15 zahlen und buchstaben.

    wisst ihr wie man die internet ip von jemandem herausfinden kann?
     
    + Multi-Zitat Zitieren
  7. 7. Mai 2006
    ER HAT EUER ROOT PASSWORT ?
    Entweder handelt ihr schnell und effizient oder könnt permanent zuschaun wie jemand mit ganz viel macht unfug treibt.Habt ihr mal bei strato angerufen ? die wissen bestimmt wie man das problem lösen kann.

    Sorry dachte stroto hätte 24h support telefonisch.
    Wie wäre es wenn ihr der person sagt das es die letze warnung ist sonst folgen rechtliche konsequenzen ?


    01805 - 00 76 77 [0,12€/Min]
    Mo-Fr 08:00 - 20:00 Uhr
    Sa 10:00-18:00 Uhr

    also ein paar stunden am sonntag telefonisch erreichbar zu sein wäre ja nicht zu viel verlangt wa



    lol @
    Unsere perfekt ausgebildeten und erfahrenen Experten des STRATO CallCenters helfen Ihnen freundlich und kompetent per Telefon weiter.
     
    + Multi-Zitat Zitieren
  8. 7. Mai 2006
    die haben sonntags kein telefon service

    Ja das stimmt wohl echt es müsste ja wenigstens so eine notfall hotline geben aba was soll ich jetzt tun wir haben ihn schon gedroht rechtliche schritte einzuleiten aber das ist ihm egal??
     
    + Multi-Zitat Zitieren
  9. 7. Mai 2006
    geh auf dein root server

    starte mal "nmap localhost" (ich geh davon aus das du ne linux kiste hast) und guck ma welche ports offen sind, und welche von dir wirklich benutzt werden. (z.b. 21, 80, ... sind standartports sollte da etwas wie 5891 oder sonst sowas sein solltest du mal googlen was das ist und ggf. den dienst abschiessen)

    falls du kein nmap hast musst du es dir besorgen (wenn du debian hast einfach 'apt-get install nmap')

    ausserdem solltest du auch mal guckn ob du auf deinem eigenen rechner nen trojaner hast oder nen freund von dir auf dem von irgendwelchen freunden von dir die auch zugriff haben.

    im schlimmsten fall alle configs sichern und den server nochmal neu aufsetzen lassen
     
    + Multi-Zitat Zitieren
  10. 7. Mai 2006
    naja, klingt nach erpressung. melds doch am besten strato selbst oder gleich den bulln ^^
     
    + Multi-Zitat Zitieren
  11. 7. Mai 2006
    also da ist nen trojaner oder teylogger drauf 100%

    oder der hat von strato dieses login shice


    am besten alle ports einmal schliessen dann pw ändern dann alles einzeln selber aufmachen


    und server back up machen


    edit:

    kleiner port scann

    -
     
    + Multi-Zitat Zitieren
  12. 7. Mai 2006
    ehm ich würde einfach mal bei Strato anrufen oder zu denen schreiben die Situation schildern und sagen das die alle Daten ändern solln ?(
     
    + Multi-Zitat Zitieren
  13. 7. Mai 2006

    Würd auch sagen entweder bis morgen warten und anrufen, oder du schreibst einfach ne Mail kann mir nicht vorstellen das da Sonntags niemand da ist.

    Sichert euch was wichtig ist und lasst den Server notfalls neu aufsetzen.

    Geh zu den Bullen zeig den Typen an (was evtl. Strato sogar macht wenn du es ihnen so schilderst).

    Evtl. hilft es ja ein Backup einspielen zu lassen....
     
    + Multi-Zitat Zitieren
  14. 7. Mai 2006
    was für beweise brauch ich den um den anzeigen zu können wir haben so ne server log da steht wer wann mit welcher ip connected hast brauch ich die ip von dem oder welche indizien sind nötig?
     
    + Multi-Zitat Zitieren
  16. 7. Mai 2006
    ok ich werde den server jetzt vorerst runterfahren und dann am montag das ganze mit strato klären

    Ich dank euch trozdem allen

    Homilai
     
    + Multi-Zitat Zitieren
  17. 8. Mai 2006
    1.) logs gibts ja bekanntlich von sshd und ftp
    2.) wird er wohl ne backdoor haben => mail an strato + abuse
    3.) setzt den server neu auf (webmenü)
    4.) das mim portscannen kann man vergessen...gibt für linux auch backdoors die auf keinem port listen etc...ausserdem kanner ja ein kernel rootkit installiert haben das so leicht nicht mehr wegzubekommen ist d.h. neuzinstallation
    5.)
    und wie soll das bei dem sshd mit RSA encrytion für die verbindung gehen ? entweder ist am sshd selber manipuliert (keylogger+magic passwort) oder an der login... wi egesagt neuinstallation
    6.) als beweise würden die logs vom sshd reichen wen irh seine ip kennt...wenn er diese gelöscht hat soll das strato machen..die protokollierne alle zugriffe auf den server
    7.) das mim runterfahren ist gut

    mfg moep
     
    + Multi-Zitat Zitieren
  18. 8. Mai 2006
    LoL ich glaubs ja net die haben net nur sonntags net offen sondern haben auch keine ahnung was man da machen kann.

    Ich zitiere:
    "Ja also das entzieht sich dann auch meinen Kenntnissen ich empfehele ihnen Bla Bla uffda uffda uffda tätärä"

    Ja also da hätte ich mir auch die 12 Minuten Warteschlange um an einen freien Mitarbeiter zu gelangen SPAREN können.

    X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X( X(
     
    + Multi-Zitat Zitieren
  19. 9. Mai 2006
    Schick mir mal ne PM mit deiner ICQ oder MSN.
    Ich hatte kürzlich sowas ähnliches
    Bei mir wurde ein Useraccount gehackt.
     
    + Multi-Zitat Zitieren
  20. 9. Mai 2006
    Mach es doch einfach wie moep_rush es gesagt hat.
    -Server runterfahren
    -Server neu aufsetzen
    -Anzeige erstatten
     
    + Multi-Zitat Zitieren
  21. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten