Hack Aktion gestern

Dieses Thema im Forum "Technischer Support" wurde erstellt von NoQuarter, 13. Februar 2012.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. NoQuarter
    Offline

    NoQuarter

    Registriert seit:
    12. Februar 2012
    Beiträge:
    4
    Hallo zusammen,

    gestern wurde unser Server [IchHalt: Name entfernt] von einem freundlichen Spieler gehacked. Wir haben den Server in den Online Mode geschaltet und zusätliche Sicherheitsmaßnahmen ergriffen. Aber mich würde interessieren welches Tool hier verwendet wurde? Hier ein Auszug aus dem Serverlog:


    2012-02-12 16:44:45 [INFO] RobeatB [/149.172.17.89:57273] logged in with entity id 301381 at ([Kampfmacht] 1.5, 63.62000000476837, 4.5)
    2012-02-12 16:44:54 [INFO] <RobeatB> === DDos Bot v.2 Beta Loading ===
    2012-02-12 16:44:55 [INFO] <RobeatB> Serverdata is loading....
    2012-02-12 16:44:57 [INFO] <RobeatB> P,22/SSH,53/DNS,80/HTTP,110/POP3,443/HTTPS
    2012-02-12 16:44:59 [INFO] <RobeatB> Minecraftserver is going Hacked...
    2012-02-12 16:45:02 [INFO] <RobeatB> === Successfull Injected! ===
    2012-02-12 16:45:04 [INFO] <RobeatB> ==ALTER: Anonymous Member Detected! Abording!

    Beste Grüße
     
    #1
  2. Cabraca
    Online

    Cabraca

    Naja was heißt denn gehackt? Ich seh da erstmal nix anderes als jemanden der was im chat gepostet hat.
    Dann ne auflistung von Standardports und das wars schon...
    Also so sagen die Logs eigntlich garnix aus. Wenn ihr nen eigenen Rootserver habt schaut bitte in dessen Logs.
    Dort seht ihr dann ob und wer genau eingebrochen ist, über welche Dienste das passiert ist und
    falls wirklich der Root gehackt wurde solltet ihr den kompletten Rootserver neu aufziehen. Man weiß nie ob der Hacker irgendwo ne backdoor aufgemacht hat.

    Ist aber eigentlich eher unüblich dass Hacker ihre Taten auf dem Server vorher ankündigen.Wodurch ist euch der Hack denn aufgefallen? Nur durch das Zeug was ihr gepostet habt?

    MFG Slapp
     
    #2
  3. NoQuarter
    Offline

    NoQuarter

    Registriert seit:
    12. Februar 2012
    Beiträge:
    4
    Naja, der User hat es vorher in Game angekündigt. Haben das für einen Scherz gehalten. Erst wurden einige DOS Atacken abgesetzt, was der Server aber ganz gut verkraftet hat. Irgendwann hat er sich OP Rechte erschlichen und alle Spieler die online waren, hat er OP Rechte vergeben. Danach eine ganze Latte TNT produziert und alles in die Luft gesprengt. Ich denke nicht das er sich Root Rechte auf unserem Server verschafft hat, zumindest finde ich keine Hinweise in unseren Logs. Ja es handelt sich hier um einen Root Internetserver. Ärgerlich war die Aktion trotzdem..

    Was mich stuzig macht. Woher wusste er wer OP war? Er war wirklich mit meinen Namen und meinen Rechten online. Und noch ein Hinweis im Log :

    2012-02-11 16:40:35 [INFO] Read timed out
    2012-02-11 16:40:35 [SEVERE] at java.net.SocketOutputStream.socketWrite(SocketOutputStream.java:99)
    2012-02-11 16:40:35 [SEVERE] at java.net.SocketOutputStream.write(SocketOutputStream.java:136)
    2012-02-11 16:40:35 [SEVERE] at java.io.BufferedOutputStream.flushBuffer(BufferedOutputStream.java:65)
    2012-02-11 16:40:35 [SEVERE] at java.io.BufferedOutputStream.flush(Buffered2012-02-11 16:40:35 [SEVERE] java.net.SocketException: Socket closed
    OutputStream.java:123)
    2012-02-11 16:40:35 [SEVERE] at java.io.DataOutputStream.flush(DataOutputStream.java:106)
    2012-02-11 16:40:35 [SEVERE] at net.minecraft.server.NetworkWriterThread.run(SourceFile:103)
    2012-02-11 16:40:35 [INFO] tool_noquarter lost connection: disconnect.endOfStream

    Das würde ja bedeuten, dass er versucht hat Files auf dem Server zu lesen und schreiben.
     
    #3
  4. Cabraca
    Online

    Cabraca

    Demnach war er vorher im Offline Mode. Sofern ihr da nicht irgendwie verhindert, dass sich Fremde mit dem Namen von den Admins einloggen kann da jeder Admin spielen, sich OP geben, die Welt sprengen etc.
    Demnach hätte er nur den Offline Mode ausgenutzt. Das passiert täglich. Deswegen wird auch gesagt man soll lieber den Online Mode benutzen.
     
    #4
  5. NoQuarter
    Offline

    NoQuarter

    Registriert seit:
    12. Februar 2012
    Beiträge:
    4
    Ok, dann war das nicht mehr als ein Chat Eintrag und er hat sich als Admin eingeloggt. Das würde das Ganze erklären. Woher wusste er jedoch wer Admin war? Ich hatte in der OP Liste nur einen Namen stehen.
     
    #5
  6. XtremmeMadGamer
    Offline

    XtremmeMadGamer

    Registriert seit:
    11. Februar 2012
    Beiträge:
    73
    Also erstaml ich setzte mich zurzeit ein bissschen mit Hacken auseinander. DOS Attacken macht jemand der was versteht eig. nicht und wer DOS Attcken durchführt ist in 99,9% zu dumm ein Backdoor einzubauen :thumbdown: . Dann kann man OP Rechte ausprobieren. Er ist gecracked das heißt er kann sich durchprobieren. Wenn der Server ca. 5-10 Mitglieder hat kann man das ganz einfach und schnell machen. Das war auch kein Hack in dem Sinn, denn ein Hacker (Cracker :evil: )kündigt sich nie an.

    MFG

    XtremmeMadGamer
     
    #6
  7. Blausonja
    Offline

    Blausonja

    Registriert seit:
    30. Dezember 2011
    Beiträge:
    27
    Sry aber da steht > === Successfull Injected! ===

    Also es war eine Infektion, sprich er hat ein BUG in system ausgenütz mit einen script oder Programm.

    Solltest Bukkit benützen wende Dich bitte an Bukkit das diese Lücke geschlossen werden kann.
     
    #7
  8. Zahl
    Offline

    Zahl

    Registriert seit:
    10. Juli 2011
    Beiträge:
    214
    Ja und? Er kann doch in den Chat schreiben was er will. Ne Infektion gab es nirgends.
     
    #8
  9. Dean
    Offline

    Dean Administrator Entwickler

    Registriert seit:
    11. August 2011
    Beiträge:
    2.109
    Ort:
    NRW
    Minecraft:
    DeanR
    und wenn der Server normal läuft, dann kann es wirklich sein, das er das nur in den Chat geschrieben hat. Falls du auf deinem Pc hosten solltest, dann prüf einfach mal im "Temp" (Start > Ausführen > %temp% eingeben) Ordner, ob dort irgendeine .exe Datei ist. Falls dort eine vorhanden sein sollte, kannst du die ohne Probleme löschen.
     
    #9
  10. Ja da sollte man geeignete plugins die das verhindern verwenden.
    Und am besten unter Linux 3.0.0 hosten des is sicherer
     
    #10
  11. BrauhausDerHoffnung
    Offline

    BrauhausDerHoffnung

    Registriert seit:
    20. Februar 2012
    Beiträge:
    1
    Kurz gesagt: Du brauchst dir keine Sorgen zu machen.

    - Die Dinge wie "Successfully Injected" etc waren nur Chatnachrichten -> Fake
    - 2012-02-11 16:40:35 [INFO] Read timed out sagt schon ziemlich alles :-D Die Verbindung des Spielers ist nur unerwartet abgebrochen, niemand hat versucht, auf deine Dateien zuzugreifen
    - Einen öffentlichen Server im Offline-Modus laufen zu lassen, ist allgemein immer schwachsinnig, sofern man kein Login-Plugin im Hintergrund stehen hat, es ist normalerweise nicht weiter schwer, den Namen eines OPs raus zu kriegen
     
    #11
  12. Ja ich hab au nen server da hab ich kein protect da muss jemand nur jemanden aufm server frage dann kanner admin sei :(
    Und vorallem abord mit d statt mit t isn witz
     
    #12
  13. OnePieceMix
    Offline

    OnePieceMix

    Registriert seit:
    2. Juli 2012
    Beiträge:
    1
    2012-02-11 16:40:35 [INFO] Read timed out
    2012-02-11 16:40:35 [SEVERE] at java.net.SocketOutputStream.socketWrite(SocketOutputStream.java:99)
    2012-02-11 16:40:35 [SEVERE] at java.net.SocketOutputStream.write(SocketOutputStream.java:136)
    2012-02-11 16:40:35 [SEVERE] at java.io.BufferedOutputStream.flushBuffer(BufferedOutputStream.java:65)
    2012-02-11 16:40:35 [SEVERE] at java.io.BufferedOutputStream.flush(Buffered2012-02-11 16:40:35 [SEVERE] java.net.SocketException: Socket closed
    OutputStream.java:123)
    2012-02-11 16:40:35 [SEVERE] at java.io.DataOutputStream.flush(DataOutputStream.java:106)
    2012-02-11 16:40:35 [SEVERE] at net.minecraft.server.NetworkWriterThread.run(SourceFile:103)
    2012-02-11 16:40:35 [INFO] tool_noquarter lost connection: disconnect.endOfStream
    Ihr wisst , was das bedeute oder??
    Das ist ein 0day-Exploit oder anders gesagt ein Buffer-Overflow.
    Also ein gut genutzter Bug!
    Schiebt das in die Service-Sicherheits abteilungs, die kümmern sich hoffentlich drum
     
    #13
  14. Öhm das Thema war erledigt.
     
    #14
  15. BestFailer
    Offline

    BestFailer

    Registriert seit:
    27. Mai 2012
    Beiträge:
    405
    Ort:
    /home
    Minecraft:
    BestFailer
    Ich frage mich immer warum man Themen die 4 alt Monate sind wieder raus holt ! -.-
     
    #15
  16. Wieso schliesst das keiner... kann nur leider gerade keiner in diesem Thema...
     
    #16
  17. IchHalt
    Offline

    IchHalt Ehem. Teammitglied

    Registriert seit:
    8. Juli 2011
    Beiträge:
    1.262
    Keine Themen Exhumieren Bitte => Close
     
    #17
Status des Themas:
Es sind keine weiteren Antworten möglich.