Serverhack

Offen für Allerweltsthemen
Antworten
Benutzeravatar
smarty
Beiträge: 128
Registriert: So 17.Jul, 2005 15:13

Serverhack

Beitrag von smarty »

So, da ich auch mal was ernsthaftes hier beitragen möchte, gleich mal etwas sehr ernsthaftes.

Ich betreibe zu einen Browsergame die Community.
Jetzt gab es bis Mittwoch letzter Woche einen Entwickler, der für das Game zuständig war und Zugriff auf dem kompletten Server hatte.
Am Donnerstag wurde nach seinem Ausscheiden das Root-PW geändert. Freitag mußten wir feststellen, dass zum 2. Mal sowohl das Root-PW und alle User PW geändert waren, so dass nichtmal die Verbindung im FTP aufgebaut werden konnte.
Mittels RESCUE-System erhielten wir am Sonntag wieder Zugriff auf den Server muß mußten mit Entsetzen feststellen, dass dort jemand übelst gewütet hat.
Rein zufällig gab es im Spiel alle Bugs, die zuvor von dem besagten Entwickler gefixt waren. Sämtliche Entwicklungen, die er für das Game bereitgestellt hatte (gegen Entgeld), die Backups der letzten 3 Tage und im SSH der Logordner waren gelöscht. Zudem sind unser Gameforum und das Supportforum vollständig zerstört (gelöscht) worden.

Jetzt liegt die Vermutung nahe, dass es der Entwickler war. Jedoch können wir es aufgrund der fehlenden Beweise nicht belegen.

Hat jemand von Euch Erfahrung mit solchen Übergriffen und macht es Sinn Anzeige zu erstatten?
Anzeige gg. Unbekannt bringt in aller Regel nicht viel
¦4
Allein der wirtschaftliche Ausfall ist beachtlich.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ich würde die Anzeige gegen Unbekannt mit Verdachtsmoment auf besagten Entwickler ruhig stellen, wenn der finanzielle Schaden entsprechend groß war.
Dazu die zerstörten Anwendungen auch mitgerechnet geht schliesslich schon eine gute lange Zeit drauf, alles wieder zu rekonstruieren, sofern möglich.
Einen Verdächtigen habt Ihr und dann muss er erst einmal beweisen, daß er es nicht war.

Daher mein Tipp:
Sammel alle greifbaren Beweise und führe genau Protokoll über die bislang durchgeführten und noch durchzuführenden Arbeiten am Server und such Dir mal einen Anwalt, mit dem Du das besprechen könntest.
Ich denke, wenn es ausreichend Verdachtsmomente gibt, wäre eine Anzeige sicherlich möglich. Schliesslich ist dieses vorsätzliche Zerstörung ja vielleicht sogar Sabotage aufgrund vorausgegangener Enttäuschung (Entlassung).

So einfach würde ich da jedenfalls nicht aufgeben...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
smarty
Beiträge: 128
Registriert: So 17.Jul, 2005 15:13

Beitrag von smarty »

Der Termin beim Anwalt steht!
Der ist selber gegangen, weil er kein Geld wollte, sondern Naturalien. Jedoch alles ohne Belege, was allein der Bilanzen wegen nicht geht, da alles vom Firmenkonto bezahlt wird.
Im Klartext: er wollte Steuern "sparen", hatte aber mit dieser Masche kein Glück.

Boah, allein meine Arbeitszeit für die 2 Foren und unser Supportsystem ... ich könnte brechen.
Hinzu kommen Rufschädigung des Games und unerlaubte Verlinkungen (nicht mehr beweisbar).
Wir sind jetzt in einem Spiel auf 208 Logins pro 24h runter - bei Sessionsende nach 60 Min. :(
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Mein Tipp:
Nameserver Logs besorgen. Viele Cracker vergessen nämlich im Eifer des Gefechts, dass ihre Daten bzw. die Kontakte über einen Seperaten Nameserver laufen der entweder sogar einem selbst gehört oder dem Provider. Sie vernichten dann brav ihre Spuren auf dem Root server aber oho, der Nameserver ist vergessen und mit Hilfe dieser Logs kann man zumindest herausfinden ob IP Range und Zeiten des Angriffs dahingehend passen. Bzw. anhand der IP Adresse die in dieser Zeit lange gewütet hat über SSH etc. (man erkennt das beim Nameserver wunderbar an den Ports die kontaktiert wurden) herausfinden wer es war (abuse stellen der Provider).
Benutzeravatar
Bootenks
Beiträge: 1836
Registriert: Sa 29.Mai, 2004 23:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)

Beitrag von Bootenks »

Naturalien? ( wie jetzt ne Ziege, ein Stück Butter oder ne Frau? ) Sorry das interessiert mich gerade mal...

Ach ja und gibt es kein Backup? Es muss doch herauszufinden sein, welche Backdoor er offen gelassen hat. Zudem habt ihr doch bestimmt das Vorgänger-Backup oder (also ohne Änderungen) dann macht doch einfach an den "kritischen Stellen" mit einem diff Tool die Änderungen sichtbar.

Sowas ist auf jedenfall Schrott... mein Beileid... ich weiss wieviel Arbeit in solchen Mörderprojekten steckt...
Nur ein Informatik Student. ^^
Benutzeravatar
Archon
Beiträge: 1631
Registriert: Mo 20.Okt, 2003 23:24
Wohnort: Erde
Kontaktdaten:

Beitrag von Archon »

Auch von mir erstmal Beileid. Ich hatte zwar nochnicht so ein Großes Projekt, aber ich kann es verstehen wie es ist wenn einem Arbeit zunichte gemacht wird. Und wenn es dabei um Geld oder ähnliches noch dazu geht ist das ja noch etwas schlimmer.

Hm, ich war bisher immer der meinung das der Provider usw die IP addressen und sowas alles Speichern was es schwer macht da unentdeckt was zu machen. Ist da nichts zu machen?

Wäre schade wenn soein *Piep* da ungestraft davon kommt.
[center]Ein Pessimist ist ein Optimist mit erfahrung
BildBild
What Magic the Gathering Color are you? [/center]
Inventarnummer: A1-B69
Benutzeravatar
smarty
Beiträge: 128
Registriert: So 17.Jul, 2005 15:13

Beitrag von smarty »

Die Nameserver Logs sind eine tolle Idee, danke CBack :)
Leider wußten wir bis zum WE nicht was der Entwickler (ein Serverfachman einer gr. Firma aus HH) auf dem Server eingerichtet hatte, da es für jeden Auftrag einen User mit speziellen Rechten gab und keiner durch dieses System geblickt hat.
Wir schätzen er hatte sich einen User angelegt, der auf dem 1. Blick nicht gelöscht wurde, oder eine Backdoor in den Files hatte.
PHP SAFE MODE war ausgeschaltet, was ich noch am letzten Forentag im CT5 sehen konnte.
Dann gab es PW, die kein Mensch herausgefunden hätte .. z.B. "hbjsg782347hishgio". Aber Root-PW war "hallo123"
Allein hinter diesen beiden Punkten sehe ich System, das passiert nem Serverfachman nicht aus purer Dummheit.

Ein Backup für die Foren wurde nie gezogen - k.A. warum nicht.
Mittlerweile sehe ich es positiv, allein der Bugthreads wegen :cool:

Bootenks, pfui was bist du neugierig :D Naturalien sind z.B. IPods, TV, Kühlschrank, Waschmaschine, was man(n) halt so braucht ... aber keine Frau ^^

Was solls, ändern kann man es nimmer, daher beginnen wir eben von vorn und machen es diesmal besser :)
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Was solls, ändern kann man es nimmer, daher beginnen wir eben von vorn und machen es diesmal besser
Viel Glück dabei.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
maikyy
Beiträge: 1
Registriert: Do 01.Feb, 2007 23:13

Beitrag von maikyy »

ahje
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

[quote="maikyy";p="69398"]ahje[/quote]
???
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Archon
Beiträge: 1631
Registriert: Mo 20.Okt, 2003 23:24
Wohnort: Erde
Kontaktdaten:

Beitrag von Archon »

Das ist ein User der einen Uralten Post rauskramt und einen nur schwer verständlichen beitrag dazu hinterlassen will.

Ich glaub er meint soviel wie: "Mein Beileid"
[center]Ein Pessimist ist ein Optimist mit erfahrung
BildBild
What Magic the Gathering Color are you? [/center]
Inventarnummer: A1-B69
Antworten