OVH Community, your new community space.

"!!gehackt!!"


Raymon
26-05-09, 17:20
Citaat Oorspronkelijk geplaatst door Scriptman
Het ip is wel degelijk van een particulier afkomstig, want er draait een Game server op dat ip, wat moet een "Telegraaf" van Rusland met een Game server?...
Ip blokken staan altijd op naam van het bedrijf dat ze gebruikt, zo staat het IP van jouw server op naam van OVH.

Het is uitgesloten dat een particuliere provider ip blokken op Russian Central Telegraph haar naam heeft. Waarschijnlijker is dat het een gehackte server is bij de Russian Central Telegraph.

Scriptman
20-05-09, 00:30
Google heeft ook last gehad van deze malware, samen met hun informatie en 2 andere mensen hebben we de malware kunnen verwijderen.

Het ip is wel degelijk van een particulier afkomstig, want er draait een Game server op dat ip, wat moet een "Telegraaf" van Rusland met een Game server?..

Mijn post was misschien wat overdreven en bevatte niet alle informatie, maargoed, kan gebeuren als je opgewonden bent dat je EINDELIJK er vanaf bent.
Een vriend van me zit bij de politie Rotterdam/Rijnmond en hij raadde me aan om aangifte te doen en hij zou uitzoeken of het eventueel mogelijk was om deze persoon? bedrijf? af te sluiten, of dat mogelijk is weten we niet, is het niet mogelijk, dan staat deze ip op een blacklist.

Raymon
16-05-09, 23:46
Onmogelijk verhaal

inetnum: 79.165.176.0 - 79.165.191.255
netname: Neo-CNT
descr: BRAS E-320-30 DHCP-pool
descr: Russian Central Telegraph, Moscow

Het is sowiezo geen particulier ip adres, dus vertel eens... hoe ga jij de Central Telegraph van Rusland laten afsluiten

Het lijkt mij overigens een hacked server in rusland, als je namelijk naar http://79.165.189.210 surft probeert de site die erop staat meteen een heleboel malware te pushen.

Adveen
16-05-09, 19:35
Idd nogal vaag verhaal,
Vervelend dat die bak mss gehackt is maar iemands ip in Rusland blacklisten en afsluiten van internet ? kom op zeg ... wie zegt dat die persoon achter dat ipadres wel schuldig is en dat het niet gekomen is door een trojan of iemand die zijn wireless misbruikt heeft.
Ten tweede, hoe wil jij (of google of wie dan ook) verklaren dat iemand gewoon in 1x raak kan inloggen met een username en pass ?

l4mer
16-05-09, 15:35
Citaat Oorspronkelijk geplaatst door Fritz
Het is sterke verhalen dag ofzo?
Precies, Google mag en zal nooit zomaar gegevens vrijgeven, en in Rusland is er een redelijk vrij spel voor hackers. En zelfs als je een abusemail hebt (laten) versturen via z'n ISP zegt dat nog niets.

Fritz
16-05-09, 14:16
Citaat Oorspronkelijk geplaatst door Scriptman
Mja tis al opgelost + aangifte gedaan.
Ip is op de blacklist gezet en deze zal spoedig zonder internet zitten (wordt afgesloten).
Dit in samenwerking met Google Nederland en nog een paar mensen.

-Mario
Het is sterke verhalen dag ofzo?

Praetorian
16-05-09, 12:04
Citaat Oorspronkelijk geplaatst door Scriptman
Ik snap er niks van, ik heb mijn website verwijderd, een nieuwe map aangemaakt in /var/www, mijn ftp username veranderd, password veranderd, nu staat het WEER erop ?

Dat kan nooit, de site was Nét klaar met uploaden, ik ga naar mn site en het staat weer erop???

Dit keer staat er niks in de FTP logs...
Misschien zit er ergens een bug in apache, php, cgi? Misschien is jou site (forum, of CMS?) out of date.
Er zijn genoeg mogelijkheden om ergens in te komen als mensen hun software niet updaten....

Betatester123
16-05-09, 10:38
Ben toch wel benieuwd hoe je te werk bent gegaan.

Scriptman
16-05-09, 03:02
Mja tis al opgelost + aangifte gedaan.
Ip is op de blacklist gezet en deze zal spoedig zonder internet zitten (wordt afgesloten).
Dit in samenwerking met Google Nederland en nog een paar mensen.

-Mario

Scriptman
15-05-09, 18:50
Ik snap er niks van, ik heb mijn website verwijderd, een nieuwe map aangemaakt in /var/www, mijn ftp username veranderd, password veranderd, nu staat het WEER erop ?

Dat kan nooit, de site was Nét klaar met uploaden, ik ga naar mn site en het staat weer erop???

Dit keer staat er niks in de FTP logs...

Adveen
15-05-09, 18:37
Er zijn wat exploits voor proftpd, mss es kijken of hij daar gebruik van heeft kunnen maken.
Als je ftp gebruikt zonder ssl dan zou het ook nog kunnen dat je wachtwoord gewoon opgevangen is.
Hoop dat je een idee kan krijgen van hoe het precies gegaan is zodat het in de toekomst te vermijden is.

Scriptman
15-05-09, 12:42
Ik heb geen keylogger op mijn pc.
Het lijkt me geen aanval aangezien deze persoon in 1x foutloos inlogde..
Maargoed, een prof uit amerika is voor me aan het kijken, ik heb in ieder geval zijn naam en adres weten te vinden gisternacht..
Met zijn CounterStrike server..

Sjowhan
15-05-09, 11:44
Citaat Oorspronkelijk geplaatst door l4mer
Nee, onderzoek eerst eens wat er precies gebeurd is, en of je niet toevallig een keylogger op je PC hebt draaien of je watchtwoord op teveel plekken gebruikt.
Én als de website zelf een exploit/lek bevat, is het nog meer logisch dat dit lek misbruikt is. Of dat er xss mogelijk is bv.
Lijkt me verstandig om te kijken of dit ook niet het geval is

l4mer
15-05-09, 09:06
Je weet niet eens wat er precies aan de hand is, wat de schade is, wie het heeft gedaan, etc., maar je wilt al wel een rechtszaak beginnen? Haha.

Nee, onderzoek eerst eens wat er precies gebeurd is, en of je niet toevallig een keylogger op je PC hebt draaien of je watchtwoord op teveel plekken gebruikt.

Scriptman
15-05-09, 04:10
Beste OVH,

Mijn virus scanner vond opeens malware op mijn website.
Hierdoor ben ik op zoek gegaan en heb ik ALLE server logs bekeken
ik vind een aantal dingen:

Code:
May 14 23:55:53 ks2852.kimsufi.com proftpd[5794] *** (79.165.189.210[                                                                             79.165.189.210]): FTP session opened.
May 14 23:55:53 ks2852.kimsufi.com proftpd[5794] *** (79.165.189.210[                                                                             79.165.189.210]): mod_delay/0.5: delaying for 76 usecs
May 14 23:55:55 ks2852.kimsufi.com proftpd[5794] *** (79.165.189.210[                                                                             79.165.189.210]): PAM(root.***.nl): User not known to the underlying authenti                                                                             cation module.
May 14 23:55:55 ks2852.kimsufi.com proftpd[5794] *** (79.165.189.210[                                                                             79.165.189.210]): USER root.***.nl: Login successful.
May 14 23:55:55 ks2852.kimsufi.com proftpd[5794] *** (79.165.189.210[                                                                             79.165.189.210]): Preparing to chroot to directory '/var/www/***.nl/htdocs'
May 14 23:55:55 ks2852.kimsufi.com proftpd[5794] *** (79.165.189.210[                                                                             79.165.189.210]): mod_delay/0.5: delaying for 849128 usecs
May 14 23:57:59 ks2852.kimsufi.com proftpd[5794] *** (79.165.189.210[                                                                             79.165.189.210]): Refused PORT 192,168,1,2,5,94 (address mismatch)
May 14 23:58:03 ks2852.kimsufi.com proftpd[5794] *** (79.165.189.210[                                                                             79.165.189.210]): FTP session closed.
In een andere log vind ik dat deze persoon ALLE bestanden van mijn site aangepast heeft.
Bij nader onderzoek blijkt dit ip vooral een Counter Strike Server te draaien.
Verder komt dit ip uit moskou (Rusland)
Zoals u kunt zien heeft deze persoon in 1x kunnen inloggen..
Het gekke is dat IK ALLEEN het wachtwoord weet en ik random wachtwoorden gebruik zoals: 492FGrjfDF3
Wat kan OVH voor mij betekenen en kan ik hier een rechtzaak van maken?