PDA

Bekijk Volledige Versie : hacker



EHS-Jerre
02/02/07, 10:50
Hoi,
Op een van mn gameserver host pc's komt af en toe een hacker. Ik heb gisteren zijn Ip te pakken gekregen tijdens een nieuwe aanval, en wil dit aangeven.
Maar mijn vraag is, hoe kan ik me beveiligen?
Het is Windows server, maar de hacker kwam niet via remote access binnen. Via een of ander process daarintegen wel: system proces. Er staat geen apache op de server dus geen phplek of dergelijke.
Als de hacker binnen is begint hij aantal systeem processen te starten. Hoe weet ik niet

bakkerl
02/02/07, 11:04
Ip in de firewall opnemen zodat alles daarvan geblokt wordt..
Daarnaast uitzoeken hoe die dan wel binnenkomt, om andere aanvallen vanaf anders ips ook niet meer zullen lukken.

EHS-Jerre
02/02/07, 11:17
mja ik heb het over het vinden van die manieren dat hij binnenkomt want hij switched nogal makkelijk van IP ;)
het enige wat ik weet: System Process

crazycoder
02/02/07, 11:21
Lijkt mij sterk dat het een hacker is, eerder een cracker.

Verder moet je die server offline halen, een image van de schijf maken en geheel opnieuw installeren. Jij weet immers niet of er een backdoor draait..

Verder doe je er goed aan om een firewall te gebruiken waar je alle niet gebruikte poorten in afsluit. En alle niet benodigde services stop.. en dat ding up to date hou..

EHS-Jerre
02/02/07, 11:41
cracker/hacker: gewoon iets dat er niet moet zijn ;)

Server offline halen en dan image maken en dan herinstalleren, lijkt dan alsof je precies zelfde krijgt als ervoor :)

Is er geen tool om te kijken welk systeemproces gebruikt wordt?

crazycoder
02/02/07, 11:56
Het verschil tussen hacker en cracker is groot.

Je zet natuurlijk niet het image terug wat je er vanaf haal. Dat image bewaar je voor eventuele bewijsvoering. Installeren doe je vanaf known good media, dus bij voorkeur de originele CD's.

Kijk eens op sysinternals.com

Domenico
02/02/07, 12:23
Nou, http://en.wikipedia.org/wiki/Hacker en http://en.wikipedia.org/wiki/Cracker_%28computing%29 en nu verder ontopic...

pepijnPalmans
02/02/07, 17:51
op het gevaar af van een beetje off-topic te gaan zou ik de volgende suggestie willen doen: gooi je windows er af en installeer bv. een linux systeem.

los daarvan, begin al eens met een degelijke firewall te zetten, zorg dat je alle security updates van je vendor installed hebt staan etc.

vaak staan er zaken als MS-SQL server etc. volledig open voor de buitenwereld terwijl bv. alleen een ASP of PHP script daar moeten aankunnen. Je kan zo'n dingen normaal afsluiten voor connectie vanop het externe netwerk etc.

en lukt het je niet zelf ? betaal dan iemand met kennis van zake, die kost zal op lange termijn goedkoper zijn dan er elke keer opnieuw aan moeten beginnen :)

cheers,

Pepijn
housingcenter.be (http://www.housingcenter.be)

3j3ct
02/02/07, 17:53
op het gevaar af van een beetje off-topic te gaan zou ik de volgende suggestie willen doen: gooi je windows er af en installeer bv. een linux systeem.

los daarvan, begin al eens met een degelijke firewall te zetten, zorg dat je alle security updates van je vendor installed hebt staan etc.

vaak staan er zaken als MS-SQL server etc. volledig open voor de buitenwereld terwijl bv. alleen een ASP of PHP script daar moeten aankunnen. Je kan zo'n dingen normaal afsluiten voor connectie vanop het externe netwerk etc.

en lukt het je niet zelf ? betaal dan iemand met kennis van zake, die kost zal op lange termijn goedkoper zijn dan er elke keer opnieuw aan moeten beginnen :)

cheers,

Pepijn
housingcenter.be (http://www.housingcenter.be)

hierbij wil ik je nomineren voor het meeste BS antwoord, dit slaat echt als een lul op een drumstel!
Hij moet gewoon zn firewall goed dichtzetten, alle poorten dichtzetten die niet nodig zijn en alle niet gebruikte programma's/componenten deinstalleren!

tvm
02/02/07, 18:10
op het gevaar af van een beetje off-topic te gaan zou ik de volgende suggestie willen doen: gooi je windows er af en installeer bv. een linux systeem.
[/URL]

Bullshit,

installeer je een linux systeem zonder hem te securen is hij even lek. Geen enkel besturingsysteem kan je lekvrij maken tenzij je hemniet in een netwerk hangt.
Installeer een goeie firewall en vooral: stel hemgoed in. Kan je het niet zelf besteed het uit! De security is al een heel groot deel om een hostingbedrijf een befaamde naam te geven. Daar moet je dus wat geld voor geven of zelf leren.

Hou je ook veel bezig met het updaten van de gebruikte beveiligingsprogramma's.

Cybafish
02/02/07, 18:27
What the fuck zijn dit voor adviezen? Beetje op een wetenschappelijke toon "hmm, dit lijkt me eerder een cracker". Ja dus? Lost dat iemands probleem op?

Of dan "installeer je hele server opnieuw"?! Jullie weten niet eens wat er aan de hand is. De TS geeft aan dat hij "System Process" weet. Wat? Wat weet je? Je leest de verkeerde dingen uit. Ga eens kijken waar het proces staat dat er draait, vanuit welke map, kijk hoe het erin is gekomen (logs anyone?) en zorg dat je begrijpt wat er aan de hand is.

Je kunt wel weer uren bezig zijn met een verse install, maar als het lek dan in een van je gameservers zit is je server zo weer "gecracked". (hhh, het is gewoon gehacked jongens)

Sernate
02/02/07, 18:50
http://www.microsoft.com/technet/sysinternals/default.mspx

Zeer handige programma'tjes om het e.e.a. te achterhalen.

crazycoder
02/02/07, 19:55
Of dan "installeer je hele server opnieuw"?! Jullie weten niet eens wat er aan de hand is. De TS geeft aan dat hij "System Process" weet. Wat? Wat weet je? Je leest de verkeerde dingen uit. Ga eens kijken waar het proces staat dat er draait, vanuit welke map, kijk hoe het erin is gekomen (logs anyone?) en zorg dat je begrijpt wat er aan de hand is.

Cert is het met mij eens :)

Steps for Recovering from a UNIX or NT System Compromise:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

Trouwens, beetje cracker wist zijn sporen.. Veel plezier dus bij het doornemen van je logs.


What the fuck zijn dit voor adviezen? Beetje op een wetenschappelijke toon "hmm, dit lijkt me eerder een cracker". Ja dus? Lost dat iemands probleem op?

Het wordt tijd dat men de juiste terminologie gaat hanteren. Dan weten we tenminste allemaal waar we het over hebben..

systemdeveloper
02/02/07, 20:25
What the fuck zijn dit voor adviezen? Beetje op een wetenschappelijke toon "hmm, dit lijkt me eerder een cracker". Ja dus? Lost dat iemands probleem op?

Of dan "installeer je hele server opnieuw"?! Jullie weten niet eens wat er aan de hand is. De TS geeft aan dat hij "System Process" weet. Wat? Wat weet je? Je leest de verkeerde dingen uit. Ga eens kijken waar het proces staat dat er draait, vanuit welke map, kijk hoe het erin is gekomen (logs anyone?) en zorg dat je begrijpt wat er aan de hand is.

Je kunt wel weer uren bezig zijn met een verse install, maar als het lek dan in een van je gameservers zit is je server zo weer "gecracked". (hhh, het is gewoon gehacked jongens)

Helemaal mee eens!
Iedereen heeft hier maar een server, doet maar aan hosting, maar zodra er iets 'technisch' aan de hand is, rent iedereen huilend naar een forum en klampt zich vast aan hetgeen anderen (zelfde soort personen) denken en vinden. Als je niet weet hoe je een auto moet repareren, ga je toch ook geen garage beginnen, of wel?

Ik hoor de meest geinige dingen hier zoals 'ip te pakken gekregen na een nieuwe aanval'.... sorry hoor... maar dat ip had je al na de eerste keer uit je logfiles moeten halen en blocken. Desnoods het hele subnet. Pff... ik heb servers waarop 99% van de wereld geblocked is omdat ik daar geen zaken met doe en ze zelfs de processortijd van de firewall niet eens waard zijn.

Trouwens... een weetje: elke hacker/cracker doet zijn werk vanaf een andere gehackte ketel. Zelfs als het zijn eigen werkstation is. Dat is een heel handige truuk om de kosten van tracken/vervolging minstens 25 keer zo duur te maken.

Maarja... wat nu? De 'goede' oplossing is natuurljk de minst prettige, duurste, ingewikkeldste etc...
Dat zijn dingen zoals loskoppelen van het net, image maken, schadeinventarisatie (anders heb je geen **** om aan te geven en kun je jezelf de moeite besparen), checken wát gecompromiteerd is en a.d.h.v. die informatie besluiten of je de boel opnieuw installeert of niet. Firewall erbij, IDS voor extra informatie over de hackpogingen, loggen 'overal' op max zetten voor een tijdje.
Herinstallatie moet je altijd doen als je niet minimaal een valid checksumlijst van alle bestanden hebt. Als je niet weet wát er waarmee gebeurd is, is het per definitie onbetrouwbaar geworden. Punt.

Misschien heb je hier nog iets aan:

http://www.cert.org/tech_tips/root_compromise.html
http://www.cert.org/tech_tips/intruder_detection_checklist.html

Of lees gewoon die hele site eens.... werkdag is nu toch voorbij :P

Succes en alvast sorry als iemand zich stoort aan mijn opmerkingen.

De goedkopere manier is reinstal en firewall, backup erovereen...

edit: veel tekst... veel typo's ...

Cybafish
02/02/07, 21:47
Cert is het met mij eens :)

Steps for Recovering from a UNIX or NT System Compromise:
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

Trouwens, beetje cracker wist zijn sporen.. Veel plezier dus bij het doornemen van je logs.


Het wordt tijd dat men de juiste terminologie gaat hanteren. Dan weten we tenminste allemaal waar we het over hebben..

Je mist mijn punt. Het is totaal niet relevant in dezen. Inplaats dat je een gedegen advies geeft lul je maar wat in het rond over terminologie. Hoe belangrijk is dat nu helemaal? Als 99% van de bevolking het heeft over een 'gehackte server', wat maakt het dan nog uit?

En logs, tja, er zijn niet alleen logs op de server zelf, er zijn ook access logs van switches/routers etc. Dan weet je al op wat voor poort er het e.e.a. gebeurt, dan kun je kijken of er iets draait op een poort, etc. Er zijn zoveel mogelijkheden, je moet toch ergens beginnen. Maar zeker niet nadenken over of het een hacker of een cracker was danwel je hele server opnieuw installeren zonder dat je weet wat er aan de hand is.

systemdeveloper
02/02/07, 22:02
Je moet gewoon kijken wat je beurs kan. Wat je er dus voor over hebt. Beveiliging kost geld. Meer security, meer centen (of tijd, kennis, studie e.d.)
Mijn ervaring is trouwens dat hackers en crackers behoorlijk veel problemen hebben met syslog -a ip servertjes. if you know what i mean... Laat die maar eens proberen een remote logserver te hacken... dan zijn toch al een tijdje alarmbellen aan het rinkelen :)
En bij freebsd kun je je bestanden zelfs zo beveiligen dat je ze zelfs als root niet kunt wijzigen. Alleen via een reboot en single user login.Dus technisch kun je het een hacker onmogelijk maken om je logs te verwijderen met minimale inspanning...

Damn... was een windowbox, he? Nou ja, post het toch maar voor de postcount :P

EHS-Jerre
02/02/07, 22:07
het is een gameserver, dus veel rebooten vermijd ik liever ;)

Stewie
02/02/07, 23:27
het is een gameserver, dus veel rebooten vermijd ik liever ;)

Ooh hoef je je geen zorgen om te maken :)
Gehackte windows bakken rebooten namelijk vanzelf vaker, dus als jij hem niet wilt rebooten om je server dicht te zetten doet de zogenaamde hacker dat wel voor je :W:

:lovewht:

EHS-Jerre
03/02/07, 00:17
Ooh hoef je je geen zorgen om te maken :)
Gehackte windows bakken rebooten namelijk vanzelf vaker, dus als jij hem niet wilt rebooten om je server dicht te zetten doet de zogenaamde hacker dat wel voor je :W:

:lovewht:
Vriendelijk ;)

De hacker die het op mijn server gemunt had probeerde die voornamelijk als leech server te gebruiken