Hacker legt mt2main db account an

~~dirk1992~~ · 03/03/2011, 10:55

Hallo,
und zwar habe ich folgendes Problem.
Seid neustem haben wir das Problem, das ein hacker sich immer wieder in der db den Account mt2main anlegt.
Da wir dachten er kommt irgendwie über unser pw rein, haben wir alle Passwörter geändert. Keylogger haben wir nicht auf unserem Pc.
ICh habe auch auf dem root nachgeschaut ob ein 2. root account angelegt wurde.
Dies war ebenfals nicht der fall.
Über die Webseite kann er auch nicht reinkommen, da dieser account nur zugriff von der Webseite erlaubt, und auch nur auf die einzellnen Tabellen.
Da ich leider nicht wusste wie er es macht, habe ich nun meine Firewall etwas verfeinert. Nun habe nur nicht ich zurgriff auf die Db.
Trotzdem schafft er es sich einen account anzulegen. Wobei er nicht direkt zugriff auf die db hat. Er hat auch mt2@localhost in % umbenannt.
Da ich die Firewall natürlich so konfiguriert habe, das nur ich drauf komme, ist dies auch nicht so schlimm.
Aber der hammer ist, das er wirklich versucht hat mich zu erpressen.
Da unser Server jetzt nicht der Top hit ist, und auch ehrlich schon 2Monate keine Einnahmen mehr da waren, bin ich auch nicht in der Lage dies zu bezahlen.
Weiß von euch einer einen Rat?
Ich habe von einem Erfahren das dies eine nonpup lücke wäre.
Also wende ich mich mal an die etwas größenen in dem Bereich.
Wenn ihr so freundlich seid, würdet ihr mir bei dem Problem helfen?

Danke im Vorraus.

Gruß Dirk

~~.Sh4rk~~ · 03/03/2011, 11:58

Hast du wahrscheinlich eine Lücke im Script?
Was für eine HP benutzt du den?
Ich glaube nicht das es solch ein Hack gibt, aber ist auch wider möglich wer weiß was die hier wider gefunden haben....

Jan² · 03/03/2011, 12:31

Da gibts keine Lücke im Script, du hast FreeBSD 7.2 wahrscheinlich. Keine Updates mehr -> Sicherheitslücken bleiben offen. Keinen Support mehr -> Unwissende bleiben unwissend.

Der Fehler ist das OS.

Jan

~~dirk1992~~ · 03/03/2011, 12:46

also ich benutze das von hennik oder wie der heisst^^
also die lücke die du mir in skype geschickt hast, damit kann ich jetzt nix anfangen^^
wäre gut wenn du mir das mal erklären könntest

Ja wenn diese aber am os liegen sollte, wie machen es die anderen?
es muss dazu ja ne lösung geben...
Und ich finde es ganz ehrlich scheisse, wer auch immer son scheiss macht...

sinepi4ever · 03/03/2011, 12:50

Quote:

Originally Posted by .Avatar

Hast du wahrscheinlich eine Lücke im Script?
Was für eine HP benutzt du den?
Ich glaube nicht das es solch ein Hack gibt, aber ist auch wider möglich wer weiß was die hier wider gefunden haben....

Warum schreibst du das gleiche was Shark gepostet hat?

#reported

comentdenner · 03/03/2011, 12:50

Quote:

Originally Posted by .Avatar

Hast du wahrscheinlich eine Lücke im Script?
Was für eine HP benutzt du den?
Ich glaube nicht das es solch ein Hack gibt, aber ist auch wider möglich wer weiß was die hier wider gefunden haben....

warum zum teufel kopierst du posts von anderen ?!
#reported

@thread
haste schon mal ne andere ho versucht? evtl ist er ja wirklich durch die hp gekommen

edit:
vorposter war schneller jedoch kein beitrag zum thread also spamm
#reported

.2good4you111 · 03/03/2011, 12:54

Quote:

Originally Posted by Jan²

Da gibts keine Lücke im Script, du hast FreeBSD 7.2 wahrscheinlich. Keine Updates mehr -> Sicherheitslücken bleiben offen. Keinen Support mehr -> Unwissende bleiben unwissend.

Der Fehler ist das OS.

Jan

Klar ist da ne lücke... LFI um genau zu sein...
Du musst jedoch mit nem 0bit byte beenden und das geht eben nur wen der s-get parameter am ende in der Url ist.

~~dirk1992~~ · 03/03/2011, 16:46

hm, habe im internet versucht das ganze zu verstehen...
weiß einer von euch wie genau man das ganze da Fixxt?

.Yacki · 03/03/2011, 17:05

Quote:

Originally Posted by dirk1992

Hallo,
und zwar habe ich folgendes Problem.
Seid neustem haben wir das Problem, das ein hacker sich immer wieder in der db den Account mt2main anlegt.
Da wir dachten er kommt irgendwie über unser pw rein, haben wir alle Passwörter geändert. Keylogger haben wir nicht auf unserem Pc.
ICh habe auch auf dem root nachgeschaut ob ein 2. root account angelegt wurde.
Dies war ebenfals nicht der fall.
Über die Webseite kann er auch nicht reinkommen, da dieser account nur zugriff von der Webseite erlaubt, und auch nur auf die einzellnen Tabellen.
Da ich leider nicht wusste wie er es macht, habe ich nun meine Firewall etwas verfeinert. Nun habe nur nicht ich zurgriff auf die Db.
Trotzdem schafft er es sich einen account anzulegen. Wobei er nicht direkt zugriff auf die db hat. Er hat auch mt2@localhost in % umbenannt.
Da ich die Firewall natürlich so konfiguriert habe, das nur ich drauf komme, ist dies auch nicht so schlimm.
Aber der hammer ist, das er wirklich versucht hat mich zu erpressen.
Da unser Server jetzt nicht der Top hit ist, und auch ehrlich schon 2Monate keine Einnahmen mehr da waren, bin ich auch nicht in der Lage dies zu bezahlen.
Weiß von euch einer einen Rat?
Ich habe von einem Erfahren das dies eine nonpup lücke wäre.
Also wende ich mich mal an die etwas größenen in dem Bereich.
Wenn ihr so freundlich seid, würdet ihr mir bei dem Problem helfen?

Danke im Vorraus.

Gruß Dirk

Wenn du das mt2@localhost in mt2@% änderst, funktioniert dein Server nicht mehr richtig. Also der DB Server und die CONFIG's können nicht mehr drauf zugreifen.

Hast du eigentlich Skype? Ich könnte dir helfen.

~~dirk1992~~ · 03/04/2011, 07:47

habe dir ne nachricht geschrieben.
Ich bin jetzt in dem gebiet auch nicht wirklich der fachmann...