You are not logged in.

  • Login
Bitte besucht unser neues Forum unter https://forum.nitrado.net | Please visit our new Forum at https://forum.nitrado.net

Dear visitor, welcome to Nitrado.net Prepaid Gameserver Community-Support - Archiv. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

StClaus

User / Kunde

  • "StClaus" is male
  • "StClaus" started this thread

Posts: 6,883

Thanks: 142

  • Send private message

1

Sunday, July 10th 2011, 10:32am

"Hackangriff"

Hallo,
wie ihr im Titel schon lesen könnt vermute ich einen "Hackangriff" auf unseren Minecraftserver. Ich schilder mal die Situation:
Am Samstag (09.07.) kamen mehrere Mitglieder (Keine Gäste!) auf unseren Server und haben angefangen zu griefen. Anschließend kam ein weiteres Mitglieder "JugoX", meine Mitglieder berichteten, dass er gehackt habe. Also, Serverlog rausgeholt und durchgegangen. Dabei sind mir merkwürdige stellen aufgefallen.

Source code

1
2
3
4
2011-07-09 16:06:12 [INFO] JugoX [/88.75.139.241:52202] logged in with entity id 734476 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:06:14 [INFO] Connection reset
2011-07-09 16:06:24 [INFO] JugoX [/88.75.139.241:52209] logged in with entity id 734740 at ([world] -56.048673682735014, 70.0, -51.803015471101496)
2011-07-09 16:06:26 [INFO] Connection reset


Dann geht es weiter:

Source code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
2011-07-09 16:03:39 [INFO] JugoX [/88.75.139.241:52132] logged in with entity id 727077 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:03:40 [INFO] Mr_Kartoffel [/79.226.134.119:51109] logged in with entity id 727683 at ([world] 62.87923182349445, 69.5, 120.78847219154002)
2011-07-09 16:03:41 [INFO] /79.236.247.110:58378 lost connection
2011-07-09 16:03:41 [INFO] Connection reset
2011-07-09 16:03:44 [INFO] JugoX [/88.75.139.241:52137] logged in with entity id 727980 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:03:46 [INFO] Connection reset
2011-07-09 16:03:50 [INFO] /96.126.97.111:35437 lost connection
2011-07-09 16:03:51 [INFO] JugoX [/88.75.139.241:52142] logged in with entity id 728225 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:03:53 [INFO] Connection reset
2011-07-09 16:04:02 [INFO] JugoX [/88.75.139.241:52147] logged in with entity id 728232 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:04:04 [INFO] Connection reset
2011-07-09 16:04:05 [INFO] /79.236.247.110:58427 lost connection
2011-07-09 16:04:07 [INFO] JugoX [/88.75.139.241:52156] logged in with entity id 728238 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:04:09 [INFO] Connection reset
2011-07-09 16:04:13 [INFO] JugoX [/88.75.139.241:52161] logged in with entity id 729923 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:04:15 [INFO] Connection reset
2011-07-09 16:04:19 [INFO] JugoX [/88.75.139.241:52166] logged in with entity id 730009 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:04:21 [INFO] Connection reset
2011-07-09 16:04:25 [INFO] JugoX [/88.75.139.241:52171] logged in with entity id 730013 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:04:27 [INFO] Connection reset
2011-07-09 16:04:30 [INFO] JugoX [/88.75.139.241:52176] logged in with entity id 730028 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:04:32 [INFO] Connection reset
2011-07-09 16:04:35 [INFO] /79.236.247.110:58456 lost connection
2011-07-09 16:04:36 [INFO] JugoX [/88.75.139.241:52181] logged in with entity id 730036 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:04:38 [INFO] Connection reset
2011-07-09 16:04:43 [INFO] JugoX [/88.75.139.241:52186] logged in with entity id 730065 at ([world] -55.5, 70.0, -51.5)
2011-07-09 16:04:45 [INFO] Connection reset
2011-07-09 16:04:58 [INFO] Connection reset
2011-07-09 16:04:58 [INFO] Connection reset


Er disconnectet nie. Es loggt sich immer wieder ein. Manchmal gibt es einen "Read timed out". Paar Minuten später ist ein Gast (!) gejoint und konnte (vielleicht, durch JugoX) bauen, obwohl Gäste keine Berechtigungen haben. In der Permissions ist er auch noch Gast:

Source code

1
2
3
4
    ullianboss:
        permissions: []
        groups:
        - Gast


Kann man dies von JugoX als "Hackangriff" werten?

Grüße,
StClaus

BrickxD

User / Kunde

Posts: 20

  • Send private message

2

Sunday, July 10th 2011, 6:31pm

Es ist schon sehr merkwürdig. Nimm McBans und bann ihn Local oder Global. Wenn er dann noch joinen kann dann Hackt er mit 90 prozentiger Wahrscheinlichkeit. Ich würde mal sagen das wenn er hackt die dauernden Connections ohne Disconnects eine Tarnung für irgendein Programm sind.

Edit: Frag doch mal deine Mitglieder was er überhaupt gehackt hat. Dann könnte man nachschauen ob dieser Hack vllt. diese Meldungen verursacht.

StClaus

User / Kunde

  • "StClaus" is male
  • "StClaus" started this thread

Posts: 6,883

Thanks: 142

  • Send private message

3

Sunday, July 10th 2011, 6:57pm

Hallo BrickxD,
ich möchte ihn nicht nur Banen, sondern strafrechtlich verfolgen lassen. Wir haben in Deutschland Gesetzte, die sollten eingehalten werden. Ich vermute mal er hat "ullianboss" Baurechte gegeben, dass fällt unter StGB §303a. Aber allgemein was er gemacht hat (er hat anscheinend einmal den Server zum Absturtz gebracht) fällt es unter StGB §303b (1). Er hat eine Datenverarbeitungsanlage (indem Fall den Server) der für mich von wesentlicher Bedeutung ist gestört.

Ich weiß, es klingt übertrieben, aber wenn es nur Griefing wäre, dann ist es "in Ordnung". Aber nicht hacken ... dagegen sollte man vorgehen.

Er hat sich und den anderen Diamantenausrüstung gegeben lassen, sowie ullianboss Baurechte gegeben.

4135

User / Kunde

Posts: 278

Thanks: 3

  • Send private message

4

Sunday, July 10th 2011, 7:04pm

nya laut ip whois siehts auch net nach nem proxy aus da er bei arcor ist also könnteste schon was mit anfangen also der ip. mich würde wen du anzeige erstattest interessieren wie es weiter geht.
lg
hurr durr

THEEX

Moderator im Ruhestand

  • "THEEX" is male

Posts: 3,242

Location: Saarland

Occupation: Ist das wichtig?

Thanks: 8

  • Send private message

5

Sunday, July 10th 2011, 7:30pm

Nun denn, wenn das wirklich alles so ist, fände ich das auch recht interessant. Das Problem dabei ist aber, das es trotzdem schwer sein wird, alles nachzuweisen und diese meist von Leuten beurteilt wird, die es nicht wirklich beurteilen können. Daher wird sich sowas eher im Sande verlaufen. Trotzdem wird es die Person zumindest bei verhören, sofern es soweit überhaupt kommt, mit der Angst zu tun bekommen.
mal wieder da

85.131.149.85:28015 [Ger] Rust Oxide - Testgelaende - kein Spielplatz

marcel

Nitrado.net

  • "marcel" is male

Posts: 1,558

Thanks: 29

  • Send private message

6

Monday, July 11th 2011, 2:51pm

Du könntest auch probieren die Whitelist zu aktivieren. Möglicherweise blockt Minecraft den User dann schon vorher ab.

Strafrechtlich wirst du da herzlich wenig erreichen können, da Arcor/Vodafone die Verbindungsdaten nicht speichert.

StClaus

User / Kunde

  • "StClaus" is male
  • "StClaus" started this thread

Posts: 6,883

Thanks: 142

  • Send private message

7

Monday, July 11th 2011, 2:59pm

Sind die Provider nicht verpflichtet die Verbindungsdaten für 6 Monate zu speichern? Wenn dies nicht der Fall wäre, dann könnte man "theoretisch" von Arcor/Vodafone so viel "böses" (Hacken, Illegale Downloads/Uploads, etc.) machen, ohne belangt zu werden?

Bitte besucht unser neues Forum unter https://forum.nitrado.net| Please visit our new Forum at https://forum.nitrado.net