Bin ich gehackt worden?...

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Beitragvon ANOther » Mo 04 Feb, 2008 23:29

einen profi holen?
nur zum zwecke der fehleranalyse...
poste mal den inhalt der von stefan genannten datei

DANN kann man wirklich sagen, ob du noch irgendwas machen kannst
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon TommyBoss » Mo 04 Feb, 2008 23:29

Wird gemacht.:

Bild




Seite sieht jeztt so aus.:
http://img147.imageshack.us/img147/3276/1rednd6.jpg
TommyBoss
Board-Mitglied
Board-Mitglied
 
Beiträge: 201
Registriert: Fr 14 Jan, 2005 19:58
Wohnort: Wien

Beitragvon lordpeng » Mo 04 Feb, 2008 23:30

lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon TommyBoss » Mo 04 Feb, 2008 23:33

Inhalt der Datei HOSTS
im WINDOWS ORDNER:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# fĂĽr Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname mĂĽssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefĂĽgt werden,
# aber mĂĽssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
TommyBoss
Board-Mitglied
Board-Mitglied
 
Beiträge: 201
Registriert: Fr 14 Jan, 2005 19:58
Wohnort: Wien

Beitragvon TommyBoss » Mo 04 Feb, 2008 23:38

TommyBoss
Board-Mitglied
Board-Mitglied
 
Beiträge: 201
Registriert: Fr 14 Jan, 2005 19:58
Wohnort: Wien

Beitragvon TommyBoss » Mo 04 Feb, 2008 23:45

sorry fĂĽr doppelposting, aber das gibts doch nicht oder? ...

Dadi (11:41 PM) :
hi
Dadi (11:41 PM) :
hast du tele2?
Geni@l (11:41 PM) :
nö
Geni@l (11:41 PM) :
chello
Dadi (11:41 PM) :
ok
Dadi (11:41 PM) :
site geht oder?
Dadi (11:41 PM) :
www.redtube.com
Geni@l (11:42 PM) :
wo geht's da weiter?
Dadi (11:42 PM) :
was siehst du?
Geni@l (11:42 PM) :
Hacked NetDevilz
Geni@l (11:42 PM) :
No PORN!
TommyBoss
Board-Mitglied
Board-Mitglied
 
Beiträge: 201
Registriert: Fr 14 Jan, 2005 19:58
Wohnort: Wien

Beitragvon hardliner » Di 05 Feb, 2008 05:33

Hatte vor kurzem das Problem, dass fast alle Seiten auf http://www.sedoparking.com umgeleitet wurden. (Siehe SuFu) !
War ein DNS-Hack. Erst ein Löschen des DNS-Cache und eine Neustart des DNS-Servers beendeten den Spuk!
Aber das hier ist schon sehr merkwĂĽrdig!
h.
hardliner
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4056
Registriert: Mo 23 Jun, 2003 21:24

Beitragvon TommyBoss » Di 05 Feb, 2008 06:57

Morgen,

Seite geht noch immer nicht.
Knan mir jemand erklären wie ich das mache was hardliner durchgeführt hat?

FĂĽr alle die das Thema von hardliner sehen wollen.:

http://xDSL.at/viewtopic.php?t=40911&highlight=
TommyBoss
Board-Mitglied
Board-Mitglied
 
Beiträge: 201
Registriert: Fr 14 Jan, 2005 19:58
Wohnort: Wien

Beitragvon Air20 » Di 05 Feb, 2008 07:50

modem schon durchgestartet?
anderen DNS server unter "lan verbindung" eintragen...
connected by
xDSL Business silber @16384/1024 flat
inode Etherlink flat @
Bild
und aon Gigaspeed 16 @12352/1024 :rofl:
http://www.youtube.com/watch?v=PtXtIivRRKQ
Air20
Board-User Level 3
Board-User Level 3
 
Beiträge: 1360
Registriert: Fr 16 Apr, 2004 18:32
Wohnort: 2540 Bad Vöslau

Beitragvon Zoddi » Di 05 Feb, 2008 09:28

zwar keine ahnung was auf der seite wirklich kommen sollte, jedoch bekomme ich die selbe hacked page wie bei den vorrednern.
kanns vielleicht einfach dran liegen das jemand die seite gehacked hat? :D
das wär mal mein erster verdacht als bei mir selbst zu suchen.
Zoddi
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 269
Registriert: Mo 27 Dez, 2004 16:30
Wohnort: Graz

Beitragvon medice » Di 05 Feb, 2008 09:47

bei mir werden 2 IPs angezeigt bei www.redtube.com

www.redtube.com. 300 IN A 66.55.141.20
www.redtube.com. 300 IN A 66.55.141.21

(beliebte LastverteilungsmaĂźnahme - von Balancing kann man ja nicht wirklich reden ;) )
wenn das 2 Maschinen sind, ist es auch durchaus denkbar dass nur 1 gehackt wurde und manche zufällig die erwischen, andere aber die gesunde...
dass hier aber manche andere IPs haben ist auch merkwĂĽrdig...
Ich hab in letzter Zeit aber immer wieder gelesen dass irgendwo DNS-spoofs eingespielt wurden, hauptsächlich im US-Raum, wobei ich jetzt nicht weiß welche Software da jeweils fehlerbehaftet war ;)
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon hardliner » Di 05 Feb, 2008 12:09

WeiĂź nicht wie dieser DNS-Spoof funktioniert, aber Fakt ist dass ab dem Aufruf einer bestimmten URL alle "neuen" Zonen, fĂĽr die es im Cache noch keinen Eintrag gibt, zu einer bestimmten IP umgeleitet werden.
In meinem Fall www.sedoparking.com .
Dies "funktioniert" PC-unabhängig so lange bis man den DNS-Server bereinigt.
Wenn man z.B. einen anderen DNS-Server einträgt funktioniert alles wieder normal.
hardliner
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4056
Registriert: Mo 23 Jun, 2003 21:24

Beitragvon medice » Di 05 Feb, 2008 12:45

Im Detail kann ichs auch nicht durchführen, aber üblicherweise werden da speziell präperierte Anfragen geschickt, die aufgrund einer Softwarelücke des Nameserver dann in irgendeiner Form in Realdaten umgeschrieben werden und so zur Ausführung kommen. Das kann sehr vielseitig sein: Vom Verändern einzelner Domaineinträge auf eine andere IP (z.B. online-Banking-phisher) bis hin zum Umleiten des gesamten DNS-Verkehrs zu einem völlig anderen und natürlich manipulierten Server als nächsthöhere hierachische Ebene.

Wenn man sich den Spaß gönnt einen Nameserver selbst zu betreiben (also ich kenn mich für solche Scherze zu wenig aus...), muss man wohl ständig am Laufenden bleiben. Das betrifft sowohl die verwendete Software als auch die Kenntnisse drumherum.
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon mbru » Di 05 Feb, 2008 14:13

http://www.heise.de/newsticker/meldung/85452

schon mal ueberprueft ob du von diesem "Hack" betroffen bist?
mbru
Board-Mitglied
Board-Mitglied
 
Beiträge: 220
Registriert: Do 06 Sep, 2007 09:23

Beitragvon jutta » Di 05 Feb, 2008 14:32

wget erkennt, dass da 2 verschiedene ip adressen vorliegen, aber die dargestellte seite sieht immer gleich aus, egal ob ich zu *.20 oder *.21 verbunden werde:

Code: Alles auswählen
jutta@eprints:/tmp$ wget www.redtube.com
--14:15:54--  http://www.redtube.com/
           => `index.html.3'
Auflösen des Hostnamen »www.redtube.com«.... 66.55.141.21, 66.55.141.20
Verbindungsaufbau zu www.redtube.com|66.55.141.21|:80... verbunden.
HTTP Anforderung gesendet, warte auf Antwort... 200 OK
Länge: 2,719 (2.7K) [text/html]

100%[====================================>] 2,719         --.--K/s

14:15:54 (19.50 KB/s) - »index.html.3« gespeichert [2719/2719]

jutta@eprints:/tmp$ more index.html.3


<html>
<head>
<title></title>
<meta name="keywords" content="redtube, red tube, video, videos, movies, mpgs, f
ree, sex, porn, babes, daily, tv, film, girls, nude, nudes, adult, hot, horny, t
its, boobs, pussy">
<meta name="description" content="RedTube - The Free Sex Video Community. Red Tu
be - Upload and Download your favorite Porn Videos.">
<meta name="robots" content="all">
<meta name="revisit" content="1 day">
<link href="http://www.redtube.com/favicon.ico" rel="shortcut icon">
<link rel="icon" href="http://www.redtube.com/favicon.ico" type="image/ico">
<link href="http://www.redtube.com/style.css" rel="stylesheet" type="text/css">

<script type="text/javascript">
function saveSplash(domain) {
        var expDate = new Date();
        expDate.setTime(expDate.getTime()+(24*3600*1000*1000));
        setCookie("pp", 1, expDate, null, domain);
        document.location.reload();
}

function setCookie(name, value, expires, path, domain, secure) {
    document.cookie= name + "=" + escape(value) +
        ((expires) ? "; expires=" + expires.toGMTString() : "") +
        ((path) ? "; path=" + path : "") +
        ((domain) ? "; domain=" + domain : "") +
        ((secure) ? "; secure" : "");
}


</script>
</head>

<body bgcolor=#000000>
<center>
<table border=0 cellspacing=20 cellpadding=0 width=70% style='margin-top:30px;'>
<tr><td align=center><img border=0 width=209 height=75 src='http://www.redtube.c
om/_pix/logo.png'></td></tr>
<tr><td align=center style='padding-top:40px; font-family:Arial; font-size:20pt;
font-weight:bold; color#808080;'>WARNUNG: Der Inhalt dieser Website enthält sex
uell explizites Material und ist fĂĽr Jugendliche unter 18 Jahren nicht geeignet.
</td></tr>
<tr><td align=center style='padding-top:5px; font-family:Arial; font-size:16pt;
font-weight:bold; color#808080;'>Diese Website darf nur von Personen benutzt wer
den, die mindestens 18 Jahre alt sind oder das jeweils gesetzliche Alter der Vol
ljährigkeit erreicht haben.</td></tr>
<tr><td align=center style='padding-top:35px;' align=center><table border=0 cell
spacing=0 cellpadding=0><tr><td style='padding-right:25px;'><input type=button o
nclick='saveSplash(".redtube.com");' name=enter value='  ENTER  ' style='font-fa
mily:Arial; font-size:14pt; color:#000000; font-weight:bold;'></td><td style='pa
dding-left:25px;'><input type=button onclick='document.location="http://www.wiki
pedia.org";' name=enter value='  LEAVE  ' style='font-family:Arial; font-size:14
pt; color:#000000; font-weight:bold;'></td></tr></table></td></tr>

<tr><td align=center style='padding-top:55px; font-family:Arial; font-size:10pt;
font-weight:bold; color#808080;'>Javascript und Cookies mĂĽssen aktiviert sein.<
/td></tr>
</table>
</center>
</body>
</html>




jutta@eprints:/tmp$ wget www.redtube.com


also duerfte bei redtube offenbar alles in ordnung sein.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

VorherigeNächste

ZurĂĽck zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast