Jag blev medlem precis efter 11/9-2006 som deceptorsmotive , får ta det som en komplimang att alla mina inlägg har raderats , har nytt nick nu.
Vi får väl se det som en ny chans att skriva bättre inlägg.

Hmm,...känner att jag också ändrar mitt alias från det jag har nu, ni märker säkert vilket nytt alias jag har så småningom.
Raderar mitt konto nu...

Frid / Psilo

Inte helt oväntat blir vaken hackad. Det har antaligen att göra med Leo Zagami. Med tanke på att vaken har länkat till intervjuerna på artic becon. Och att Sverige och Norge är i centrum i Leos arbeten. Attacken hände väl i samband med Red Ice intervjuen? Blir intressant att höra mer om detta. Jag vet dock fortfarande inte vad jag ska tro om Leo.

Nu skaffar vi speglade backup:er på vaken.se i Sverige.

OM det skulle vara en hackning som beror på att vaken.se sprider och skapar en miljö för diskussion kring allt för känsliga ämnen så är det ju bara oerhört korkat att hacka den. Det är ju på alla sätt kontraproduktivt då vi bara kommer säkra våra rutiner, vår data och öka vår organisering mot makteliten ännu mer.

Vi gör som Alex Jones. Han har som rutin att varje gång någon av hans sidor blir hackade så skapar han en ny sida. Precis vad vi ska göra. Sprida info på olika sätt på olika servrar.

faen alla bra inlägg är borta! aoaraoraeoeroqoooo............ . . . ...

Quote:
Du kan använda det nummer du har på patientbrickan, jag ordinerar det.

Chefsöverläkare Klot

Psilo, du har en tid hos Berta kl 14.00, glöm inte det.

Hehehe...hon är strängt upptagen just nu,...Dr Klot är där och utforskar hennes bakre regioner...

Analdoktorn

Om någon anväder en bra feed reader frekvens så bör det gå att exportera alla inlägg och inportera dom till vaken. Om det är någon som har en sådan fil så kan ni kontakta mig. Alltså Dom som har tagit hem vaken via RSS kanske kan skicka tillbaka lite.

Jag hade 346 inlägg från den 17:e Dec, men dom försvann när min RSS reader synkroniserade med vaken.se. Det vär ju lite tråkigt..

/ fr3D

Har någon feed-reader logg?
Snälla, säg att någon sparat det?

Jag har stängt av rss nu så att inte alla ska synca mot den.

Jag fattar inte att feed redern skulle ta bort de gammla bara för att du får en ny tom feed.

Så alla som använder rss. Kolla upp om ni kan spara inläggen.

Inte meningen att framstå som tråkig realist nu, men...
Hur vet ni att det var illuminati som hackade vaken.se?

Det kan vi såklart inte veta. Men det är ju en viss nivå av humor att säga det också. Eftersom "illuminati" inte är någoting som går att ta på eller ens söka upp.

Provoceramera: Vad är din egen teori om vad som hände med vaken.se?

Vem skulle vilja hacka vaken.se Vem har ett syfte med att hacka vaken.se?

Pojkstreck är gärna något som kastas till höger och vänster som förklaringar. Varför man tror det som den mest troliga teorin förstår jag inte. För att det är det som "allmänheten" vet mest vem som hackar. Dvs unga datakunniga pojkar med nyfikenhet. Vilken gammal myt alltså. Wargames kom ut 1983 sitter den fortfarande kvar i skallen eller?

Tja, det finns ju flera tänkbara orsaker. En är att det verkligen är Illuminate, vilket jag starkt betvivlar. En annan är att det är en av alla dessa datakunniga snorungar som gjort det till sin livsuppgift att jävlas med folk.

Ett tredje tänkbart scenario är följande:

Två blivande akademiker på något av universiteten i Sverige sitter hemma och har tråkigt. De är båda fostrade i välbeställda familjer och har på ett tidigt stadium fått lära sig att det är en självklarhet att de skall göra karriär. De har drillats väl i att utveckla diplomhunger och föräldrarna har låtit dem förstå att en människa utan fina skolor och betyg som sen inte gör karriär och tjänar massor av pengar, per definition är, en misslyckad människa.

De är båda sedan ett par år tillbaka registrerade på ett par forum där man diskuterar allt ifrån vetenskap och forskning till aktier. Sedan något år tillbaka har de då och då tittat in på ett stolligt ställe som kallas vaken.se där diverse tomtar på fullt allvar tror att världen styrs av hemliga grupper, att 911 var ett s.k ”inside job” och att t.ex fluor och klor skulle vara skadligt för kroppen att inta.

Vissa av dessa foliehattar tror dessutom mordet på JFK var en konspiration, att ingen människa satt sin fot på månen och att bankerna inte har täckning för pengarna de lånar ut. Vad värre är, de tror dessurom att USA:s hedervärda kamp mot terrorismen är ett led i att skapa en polisstat på jorden där varje människa är minutiöst kontrollerad och övervakad.

Forumet befolkas mestadels av diverse anarkister, hippies, kommunister och annat pack. Typiska piratpartianhägare alltså. När en och annan realistiskt människa med hög utbildning och sunt förnuft kommer in och försöker tala dem till rätta slår de snabbt ifrån sig och hänvisar till diverse suspekta källor, typ någon snurrig författare här och där e.t.c.

- Vore det inte skönt att ge dom där paranoida pajasarna en riktig läxa? Fan du är ju smått genialisk på datorer och jag har en bekant som jobbar på ThePlanet. Vi går in och stänger ner skiten och raderar smörjan.

– En lysande idé, ha, ha! Så här roligt har jag inte haft sedan vi nollade de där arbetarklassungarna genom att tvinga dem att bada i koskit, ha, ha ha!

- Ja du, när vi sitter i våra flotta villor på übermalm, kör varsin porsche och skålar med kungabarnen, då kommer de där stollarna fortfarande att försöka ”rädda världen.”

- Ha,ha, ha! Ja, det är för patetiskt.

<-- Light, lysande alternativ beskrivning som vanligt

MEN, det verkar vara lite för avancerad operation för att det ska vara några "akademiker" som ligger bakom detta..

Tiden får visa, tills dess så laddar vi med mer info,servrar,hemsidor..

Vi får snacka ihop oss om detta under ett möte efter nyår när som vi bör planera ihop snarast..

Tror ändå att själva vaken.se-databasen finns kvar antingen hos Wopsa eller ThePlanet.

Totalt osannolikt att det inte skulle finnas backuper. Däremot kan dessa backuper vara tagna på hackade system (med hackade systemkonton) och är så att säga compromised. Själva vaken.se-databasen är ju dock knappast compromised, utan det är ju bara själva "operativsystemet". Att sitta och plocka ut alla kunders enskilda databaser mm är ju inget som man som web-leverantör vill ägna sig åt. Enklare då att rycka på axlarna eftersom det är rätt svårt som web-kund att ställa skadeståndsanspråk mot leverantören. Ex. vaken.se, vilken ekonomisk skada kan man rimligtvis visa i domstol att man lidit?

Även om Wopsa mot förmodan strulat med backup så måste ju ThePlanet ha rätt redundanta system för att skydda sig mot en situation som denna.


Angående vilka det var så är ju ett spår att kolla upp arabservers.com (även om det rimligtvis är fejkat)

Det är tydligen (eller har jag fattat fel?) en attack som drabbat många kunder hos detta webbhotell, så vad får er att tro att den skulle vara riktad specifikt mot vaken.se?

Andra siter som ochså blev raderade.

aktivist.se
9-11.se
20010911.se
exoteriska.se
911truth.eu

Angående backuper så blev kontona raderade från WHM vilket tar bort alla databaser samt filer, epost konton mm.

Jag tror att 911truth.eu kan vara en av orsakerna till attacken. En annan europeisk 911 site blev ochså hackad nyligen.

Att göra en undelete eller liknande är svårt då datorn ligger i USA och wopsa bara har whm access till root kontot.

Helt teoretiskt kuna man ha skickat disken till en säkerhetsexpers som kunde ta tillbaka all information. Men nu gjordes detta inte då det kostar otaliga tusenlappar.

Ustället så får jag gratis webhotell för alla mina projekt i en överskådlig framtid.

cfr2 skrev i en annan tråd som jag tycker hör hema här:

Detta har wopsas admin skrivit på cpanel.net
Notera att det var redan den 15:e december.


#1 12-15-2006, 01:40 PM
jeroman8
Registered User Join Date: Mar 2003
Posts: 324


HELP! Hacker delete accounts +reseller priv root

--------------------------------------------------------------------------------

Hello!

Today 14 accounts on one server was deleted.
After checking this I found that it was a reseller account deleting them.
This reseller account had root priviligies.

The reseller account was setup by the "hacker".
It is not one of our clients so we have not installed this account.

After going over our servers I found one more account on another server
and the password it had was: hackedhost010.

I restore the deleted accounts and suspended the "hacker account".
I change root password, force cpanel upgrade.
chrootkit and rkhunter report nothing.


What else should I do ?
What has happened - how ??

Anyone, please give your thoughts on what I should do next!!




Logs/info:


root@gais [~]# grep arabserv /var/log/*


/var/log/secureec 15 14:59:14 gais groupadd[23494]: new group: name=arabserv, gid=32283
/var/log/secureec 15 14:59:14 gais useradd[23496]: new user: name=arabserv, uid=32282, gid=32283, home=/home/arabserv, shell=/bin/bash
/var/log/secureec 15 15:05:41 gais Cp-Wrap[30620]: Pushing "32282 RESELLERSUSERS arabserv " to '/usr/local/cpanel/bin/reselleradmin' for UID: 32282
/var/log/secureec 15 15:05:41 gais Cp-Wrap[30622]: Pushing "32282 GETDOMAINIP arabservers.com " to '/usr/local/cpanel/bin/apacheadmin' for UID: 32282


/var/log/exim_mainlog:2006-12-15 14:59:21 1GvDar-00068i-B7 <= root@zzzhostzz.com U=root P=local S=717 T="New account on zzzhostzz.com (arabservers.com)" from <root@gais.wopsa11.com> for hoss@zzzhostzz
/var/log/messagesec 15 14:59:18 gais named[1976]: zone arabservers.com/IN: loaded serial 2006121501
/var/log/messagesec 15 14:59:18 gais named[1976]: zone arabservers.com/IN: sending notifies (serial 2006121501)
/var/log/messagesec 15 14:59:18 gais named[1976]: received notify for zone 'arabservers.com'


Mail new account:

+===================================+
| New Account Info |
+===================================+
| Domain: serv2arab.com
| Ip: dd.dd.dd.dd (n)
| HasCgi: y
| UserName: serv2ara
| PassWord: 151213
| CpanelMod: x
| HomeRoot: /home
| Quota: 0 Meg
| NameServer: ns1.xxzzxx.com
| Contact Email:
+===================================+
Account was setup by: root (root)


jeroman8
View Public Profile
Send a private message to jeroman8
Find all posts by jeroman8
Add jeroman8 to Your Buddy List

#2 12-15-2006, 03:34 PM
ramprage
Registered User Join Date: Jul 2002
Location: Canada
Posts: 427


I'd hire someone to review your machine, if the attacker had root they could have placed some hidden backdoors and other nasties on your box,not to mention grab your shadow file and are cracking it right now for every account on the system...
__________________
Need Server Help? Hire an Expert
WebHostGear.com - Server Tutorials, Web Server Guides, Hosting Tutorials
As seen in Ping Zine Magazine - NEW Free Nobody Check Security Tool
Preventing Brute Force Attacks | APF Firewall Install Guide | Stop Outgoing Exim Phishing Emails


ramprage
View Public Profile
Send a private message to ramprage
Visit ramprage's homepage!
Find all posts by ramprage
Add ramprage to Your Buddy List

#3 12-15-2006, 07:42 PM
jeroman8
Registered User Join Date: Mar 2003
Posts: 324


God..I actually contacted you on your page with the contact form but
I did not write phone so it complained and when I pressed back button the messages was gone - it was a long, good message!!

Anyway - I'll do it again soon!

I just run chkrootkit again and rkhunter, check common places manually as well, nothing found. I really think they actually got hold of my server password!
Somehow !? - maybe when I logged in on 2086, but how do they sniff that if theres no script on server....

So I belive they logged in to WHM and created the accounts.
To bad there is no logs for this - cpanel logs is just recent hours it seems and there
is nothing in messages och secure - just root from my IP.


jeroman8
View Public Profile
Send a private message to jeroman8
Find all posts by jeroman8
Add jeroman8 to Your Buddy List

#4 12-15-2006, 07:48 PM
GCIS
Registered User Join Date: Dec 2006
Posts: 12


The machine should be considered comprimised, and should not be used. Back up all user files and settings, and perform a fresh install on the box. After the format, you'll need to re-load files, accounts, and settings by hand, to verify that no malicious software or settings remain.


GCIS
View Public Profile
Send a private message to GCIS
Find all posts by GCIS
Add GCIS to Your Buddy List

#5 12-16-2006, 01:35 AM
AndyReed
Registered User Join Date: May 2004
Location: Minneapolis, MN
Posts: 1,640



Quote:
Originally Posted by jeroman8
I just run chkrootkit again and rkhunter, check common places manually as well, nothing found. I really think they actually got hold of my server password!
Somehow !? - maybe when I logged in on 2086, but how do they sniff that if theres no script on server....

Speaking from my own experience; I can't count the number of times I've received that answer after informing a system administrator that their system was the source of an attack, and had probably been compromised. These system admins kept saying that the system couldn't possibly be compromised, even when there was a root shell bound to port 60000, accessible to anyone with a copy of telnet on their system.

How can it be that a system administrator can't tell that a system has been hacked? More importantly, what can you do to find out if a particular system has been compromised?

Sometimes, it is nearly impossible to be certain that a system hasn't been compromised; if the intruder was any good, it will be completely impossible to determine that a system has been hacked.

The best approach to proving that a rootkit has been installed on a particular system is to boot the system from a known secure operating system install, such as a rescue CD, and (using a known-safe copy of md5sum) compare the checksums of system binaries to checksums from the genuine article.

Recently, conventional rootkits have begun supplanting 'kernel module rootkits', which are much more difficult to detect. But on systems compromised with conventional rootkits, comparison is still the best approach -- one made easier with the help of several utilities.

Although, as I said above it is difficult to tell in some cases, but here are some symptoms of a server that has been compromised:

Applications that suddenly don't respond as expected.

Additional user accounts that you can't account for (these may be made to look like system accounts)

New files or directories with unusual names.

Additional network traffic that can't be traced to a particular process

Server running significantly slower.
__________________
Andy Reed
» Visit our Web site: ServerTune.com
» » Server Management, Security Hardening, and Dedicated Servers
» » Testimonials: http://forums.cpanel.net/showthread.php?t=32040


AndyReed
View Public Profile
Send a private message to AndyReed
Visit AndyReed's homepage!
Find all posts by AndyReed
Add AndyReed to Your Buddy List

#6 Yesterday, 11:50 PM
Website Rob
Now would be a good time Join Date: Mar 2002
Location: Alberta, Canada
Posts: 1,434



Top marks, jeroman8, for finding the hacker. Now you must move to the next step.

Question: "Should we nuke the Planet?"
Answer: "It's the only way to be sure."

Although it may seem painful, in a case like this, the only way to be sure that all hacker files have been removed is to reformat / reinstall. Once that has been done, make sure to setup ModSecurity (thru WHM) and setup Rules to prevent Users / Hackers from using certain functions.

# Block various methods of downloading files to a server
SecFilterSelective THE_REQUEST "wget "
SecFilterSelective THE_REQUEST "lynx "
SecFilterSelective THE_REQUEST "scp "
SecFilterSelective THE_REQUEST "ftp "
SecFilterSelective THE_REQUEST "cvs "
SecFilterSelective THE_REQUEST "rcp "
SecFilterSelective THE_REQUEST "telnet "
SecFilterSelective THE_REQUEST "ssh "
SecFilterSelective THE_REQUEST "echo "
SecFilterSelective THE_REQUEST "links -dump "
SecFilterSelective THE_REQUEST "links -dump-charset "
SecFilterSelective THE_REQUEST "links -dump-width "
SecFilterSelective THE_REQUEST "links http:// "
SecFilterSelective THE_REQUEST "links ftp:// "
SecFilterSelective THE_REQUEST "links -source "
SecFilterSelective THE_REQUEST "mkdir "
SecFilterSelective THE_REQUEST "cd /tmp "
SecFilterSelective THE_REQUEST "cd /dev/shm "
SecFilterSelective THE_REQUEST "cd /var/tmp "
__________________
Helping people Host, Create, and Maintain their Web Site
Also providing Server Admin Services - setup / troubleshooting
http://potentproducts.com/


Website Rob
View Public Profile
Send a private message to Website Rob
Visit Website Rob's homepage!
Find all posts by Website Rob
Add Website Rob to Your Buddy List

#7 Today, 12:27 AM
markfrompf
Registered User Join Date: Mar 2006
Location: Linux-land, CA
Posts: 41


Definitely one of the worst parts of hosting...
__________________
- Mark Mutti
100% Server Uptime, 24/7 Tech. Support, 14-Day Money Back Guarantee!
PhireFast Shared Hosting - Sales: (818) 937-0327 x2


markfrompf
View Public Profile
Send a private message to markfrompf
Visit markfrompf's homepage!
Find all posts by markfrompf
Add markfrompf to Your Buddy List

#8 Today, 02:20 AM
Radio_Head
Registered User Join Date: Feb 2002
Location: Rome, Italy
Posts: 1,296



Quote:
Originally Posted by jeroman8
Hello!

Today 14 accounts on one server was deleted.
After checking this I found that it was a reseller account deleting them.
This reseller account had root priviligies.

The reseller account was setup by the "hacker".
It is not one of our clients so we have not installed this account.

After going over our servers I found one more account on another server
and the password it had was: hackedhost010.

I restore the deleted accounts and suspended the "hacker account".
I change root password, force cpanel upgrade.
chrootkit and rkhunter report nothing.


What else should I do ?
What has happened - how ??

Anyone, please give your thoughts on what I should do next!!




Logs/info:


root@gais [~]# grep arabserv /var/log/*


/var/log/secureec 15 14:59:14 gais groupadd[23494]: new group: name=arabserv, gid=32283
/var/log/secureec 15 14:59:14 gais useradd[23496]: new user: name=arabserv, uid=32282, gid=32283, home=/home/arabserv, shell=/bin/bash
/var/log/secureec 15 15:05:41 gais Cp-Wrap[30620]: Pushing "32282 RESELLERSUSERS arabserv " to '/usr/local/cpanel/bin/reselleradmin' for UID: 32282
/var/log/secureec 15 15:05:41 gais Cp-Wrap[30622]: Pushing "32282 GETDOMAINIP arabservers.com " to '/usr/local/cpanel/bin/apacheadmin' for UID: 32282


/var/log/exim_mainlog:2006-12-15 14:59:21 1GvDar-00068i-B7 <= root@zzzhostzz.com U=root P=local S=717 T="New account on zzzhostzz.com (arabservers.com)" from <root@gais.wopsa11.com> for hoss@zzzhostzz
/var/log/messagesec 15 14:59:18 gais named[1976]: zone arabservers.com/IN: loaded serial 2006121501
/var/log/messagesec 15 14:59:18 gais named[1976]: zone arabservers.com/IN: sending notifies (serial 2006121501)
/var/log/messagesec 15 14:59:18 gais named[1976]: received notify for zone 'arabservers.com'


Mail new account:

+===================================+
| New Account Info |
+===================================+
| Domain: serv2arab.com
| Ip: dd.dd.dd.dd (n)
| HasCgi: y
| UserName: serv2ara
| PassWord: 151213
| CpanelMod: x
| HomeRoot: /home
| Quota: 0 Meg
| NameServer: ns1.xxzzxx.com
| Contact Email:
+===================================+
Account was setup by: root (root)

Hi ,


On your hacked server ...
were c compilers disabled ?
did you have php safe mode on, or phpsuexec ?
was kernel updated to latest ?

Thank you
__________________
Secure your server
http://www.modsecurity.org
http://www.gotroot.com/tiki-index.ph...security+rules
http://www.hardened-php.net/suhosin/index.html
Stop SPAM and VIRUS --> ASSP FOR CPANEL http://assp.bravehost.com/

Thinkforyourself!

Kan du förklara vad det handlar om?

Quote:

fråga cfr2 eller micro

Ja sanningen kan inte ligga öppet ute hur länge som helst.

tänk tänk tänk.

Ja nu har ju sekterna och deras organisationer armer med hackers.

Regeringen i sverige erkänner själva att infokrig pågår.

När dom hackar vanliga dc++ hubbar pga av anti illumninaty inehåll tror ni verkligen inte dom ska hacka en sida som denna ? tänk tänk tänk efter.

Ni kanske ser det som att möjligheterna att en vanlig wannabe hcakade vaken.se men realistiskt statistiskt sett vore det mycket mera logiskt med att sekt organisationens instutioner gör det.
Pga av vad?
Jo 1 Ekonomi
2 intresse
3 syften vilka äro många.
4 resurser + bemaning osv.

lägg israel , kärnvapen ,mossad anna, lindh Leo Zagami ,911truth.eu osv under luppen igen så lär det inte ta lång tid innan vaken.se blir hackade igen.

Nuför tiden kan man sitta i vilket land som helst och hacka och det är både tidskrävande och jobbigt .

Expose Challange Act.

lol p0wned!!!!



jaja, bra dere hadde backup.

Och hvem det var som gjorde det, who knows, who cares.

Ser SSH bruteforce angrep så og si hver dag på serverne mine.

Automatiske script ser etter gamle phpBB2 versioner (<2.0.17 vanligvis) som er så lett å "hacke" at det kan gjøres automatisk.

Jeg ser så mange rare HTTP POST requests at det er helt merkelig, forsøk på å hacke microsoft-servere (jag skjuler OS-identifikasjon på par servere) som selvfølgelig er teit iom at det er GNU/Linux bokser.. osv.

Jag sier ikke at det inte var "Illuminati" eller CIA eller SAPO or whatever som angrep Våken.

But seeing tons and tons of attacks, people trying to brute-force their way in, people trying to hack, various DDOS attacks.. that's so normal it's redicilous. The huge number of attacks I'm getting tells me that if you have a security hole, is your server is configured in a way that allows someone to hack you.. then Yes, someone Will Hack You sooner or later.

Og jag tror inte 9/11 har noe med antall angrep på serverne mine å gjøre. Kanskje hackere fra Homeland Security eller Department of Defense eller CIA forsøker å hacke serverne mine av och til, men .. it doesn't even begin to matter compared to the "normal" number of hacking attemts I see daily.

Sites som kan bli hacket blir hacket. Sånn er det bare.