Post op GOT een plaatje en je wordt gehacked! - Lieve adjes

woensdag 19 september 2001 11:59

Acties:

Topicstarter

Hoi Admins,

Ik wil even een klacht bij jullie uitspuien.
Maandag heb ik hier: [topic=230360/1/25]
een plaatje gepost om een mede tweaker te helpen. Is allemaal goed gegaan, niks aan de hand. Toen ik dinsdag na mijn werk thuis kwam en in mijn logfiles keek, bleek ie erg lang te zijn. Er is door een aantal personen geprobeert om in mijn scripts dir te komen. Zonder succes

Omdat het hacken niet zo makkelijk ging zijn ze vanaf dinsdag middag bezig om mijn server plat te krijgen. Ik denk met een DDos attack.

Ik vind het niet normaal dat ik hier op Got nog niet eens iets kan posten of ik wordt wel gehacked. Dat maakt het niet leuker op hier op Got te komen. Mijn vraag aan jullie is nu of jullie er wat aan kunnen doen om die kinderen een beetje in te perken. Ik heb IP's dus dat is het probleem niet. Ik noem die mensen niet echt tweakers als ze hun mede tweakers onderuit proberen te halen......

Eat right. Stay fit. Die anyway.

woensdag 19 september 2001 11:59

Acties:

Mastermind

Ik was het!

woensdag 19 september 2001 12:00

Acties:

Ramon

post eens een paar regeltjes uit je logfile

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

woensdag 19 september 2001 12:06

Acties:

RobzQ

greedy as a pig

Op woensdag 19 september 2001 11:59 schreef Fox-Web het volgende:
Hoi Admins,

Ik wil even een klacht bij jullie uitspuien.
Maandag heb ik hier: [topic=230360/1/25]
een plaatje gepost om een mede tweaker te helpen. Is allemaal goed gegaan, niks aan de hand. Toen ik dinsdag na mijn werk thuis kwam en in mijn logfiles keek, bleek ie erg lang te zijn. Er is door een aantal personen geprobeert om in mijn scripts dir te komen. Zonder succes
Omdat het hacken niet zo makkelijk ging zijn ze vanaf dinsdag middag bezig om mijn server plat te krijgen. Ik denk met een DDos attack.

Ik vind het niet normaal dat ik hier op Got nog niet eens iets kan posten of ik wordt wel gehacked. Dat maakt het niet leuker op hier op Got te komen. Mijn vraag aan jullie is nu of jullie er wat aan kunnen doen om die kinderen een beetje in te perken. Ik heb IP's dus dat is het probleem niet. Ik noem die mensen niet echt tweakers als ze hun mede tweakers onderuit proberen te halen......

Euhm....

volgens mij is er dit moment weer een worm actief.
Het kan dus best zo zijn dat het geen 'bewuste' hack poging is. Welke meldingen krijg je?

File does not exist: /usr/local/www/data/scripts/root.exe
File does not exist: /usr/local/www/data/MSADC/root.exe
File does not exist: /usr/local/www/data/c/winnt/system32/cmd.exe

enz ? dan worm.

..so be wary of any man who keeps a pig farm..

woensdag 19 september 2001 12:13

Acties:

Fox-Web

Topicstarter

Oh... Het lijkt er wel op jah. Het is IIS5 dus m'n logfile ziet er iets anders uit. Alleen kan ik er op het moment dus niet bij omdat m'n verbinding dus bijna plat ligt. M''n RX lampje op m'n moden staat constant te BRANDEN i.p.v. te knipperen. Het lijkt er dus op dat er heel wat data binnenkomt maar m'n server doet er dus niks mee. Het lijkt dus echt op een DDos attack.

Eat right. Stay fit. Die anyway.

woensdag 19 september 2001 13:04

Acties:

Verwijderd

Gokje je bent infected door de worm omdat je verzuimt hebt de patches voor iis bij te houden en die worm is nu druk bezig zich zelf te versprijden.Heb je toevallig een admin.dll in je c:\ staan? zoja -> Your screwed...

woensdag 19 september 2001 13:41

Acties:

Bulldog

Ik weet niet zeker of wij hier uberhaupt _iets aan kunnen doen, ik zou je willen vragen of je de logfiles even zou willen mailen naar gotcrew@tweakers.net en dan zullen we kijken of we dus _uberhaupt 'iets' kunnen doen!

. Meer kan ik _nu iig. niet voor je doen... ;)/.

woensdag 19 september 2001 14:15

Acties:

RM-rf

1 2 3 4 5 7 6 8 9

is dat niet gewoon de nimda.worm?
http://www.tweakers.net/nieuws/18500

Intelligente mensen zoeken in tijden van crisis naar oplossingen, Idioten zoeken dan schuldigen

woensdag 19 september 2001 15:43

Acties:

Fox-Web

Topicstarter

Ik zal dat alles ff nakijken. Als het het virus is, beschouw dit topic dan maar als niet gepost

Ik zal eind v/d middag m'n logfile ff mailen.... Alvast bedankt

Edit: Ik heb alleen de patch van 21 Augustus er niet op staan. De rest staat er wel op.

Eat right. Stay fit. Die anyway.

woensdag 19 september 2001 18:46

Acties:

Fox-Web

Topicstarter

Sorry, Sorry, Sorry, Sorry, Sorry.

M'n systeem bleek dus wel degelijk geinfecteerd!
Het was wel vreemd. Pas sinds vanavond kreeg ik overal .eml files te staan en ik heb nog steeds geen admin.dll in de C: root staan. Ik ben dus een patch vergeten en die heeft me waarschijnlijk de das om gedaan

Het spijt me vreselijk dat ik dacht dat ik gehackt werd.

Mijn internet verbinding werkt nu weer op full speed

Is het trouwens voldoende om de code red patch van MS te installeren om het virus buiten te houden? Ik heb natuurlijk mijn virusscanner geupdate.

Bedankt voor de reply's en ik zal voortaan beter uitkijken voordat ik iemand anders vals beschuldig

Eat right. Stay fit. Die anyway.

woensdag 19 september 2001 23:58

Acties:

alt-92

ye olde farte

http://www.microsoft.com/technet/security/topics/Nimda.asp

Deze link volgen.

Zet technet gelijk in je bookmarks, die zul je vast vaker nodig hebben (no pun intended).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 20 september 2001 08:33

Acties:

Fox-Web

Topicstarter

Op woensdag 19 september 2001 23:58 schreef BackSlash32 het volgende:

Zet technet gelijk in je bookmarks, die zul je vast vaker nodig hebben (no pun intended).

Die heb ik met stip op nummer 1 gezet

Eat right. Stay fit. Die anyway.

donderdag 20 september 2001 08:47

Acties:

Kettrick

Rantmeister!

Op woensdag 19 september 2001 23:58 schreef BackSlash32 het volgende:

Zet technet gelijk in je bookmarks, die zul je vast vaker nodig hebben (no pun intended).

*uch* BSD *uch*

donderdag 20 september 2001 08:58

Acties:

Fox-Web

Topicstarter

Ik heb ff bij technet gekeken en het komt erop neer dat als je Sp2 hebt van IE (Via Help About te controleren) dat je niet besmet kan worden..... Die had ik er dus gewoon op staan

Eat right. Stay fit. Die anyway.

donderdag 20 september 2001 10:21

Acties:

Rob

Op donderdag 20 september 2001 08:58 schreef Fox-Web het volgende:
Ik heb ff bij technet gekeken en het komt erop neer dat als je Sp2 hebt van IE (Via Help About te controleren) dat je niet besmet kan worden..... Die had ik er dus gewoon op staan

Dan kan je wel geinfecteerd raken, niet via websites, maar nog wel via een ongepatchde IIS of een e-mail attachment.

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

donderdag 20 september 2001 10:29

Acties:

Burat

bos wortels

Op woensdag 19 september 2001 12:06 schreef RobzQ het volgende:

[..]

Euhm....

volgens mij is er dit moment weer een worm actief.
Het kan dus best zo zijn dat het geen 'bewuste' hack poging is. Welke meldingen krijg je?

File does not exist: /usr/local/www/data/scripts/root.exe
File does not exist: /usr/local/www/data/MSADC/root.exe
File does not exist: /usr/local/www/data/c/winnt/system32/cmd.exe

enz ? dan worm.

Ik heb ook maar ff gekeken in m'n apache log en zelfs ik heb al 130 keer de worm op visite gehad

. Sinds 18 september 16:00, via ISDN dus niet eens 24u/dag online. Pretty sick. Niets lekkerder dan gewoon Apache op een win2k server bak installeren

.

Homepage | Me @ T.net | Having fun @ Procurios | Collega's gezocht: Webontwikkelaar PHP