Allereerst: ik ben geen webhoster maar heb een windows vps voor wat websites...

Vorige week is deze server "getagged", plotseling zag ik dat er amper nog harde schijfruimte over was. Na wat speuren zag ik dat er een torrent van 4gb was geüpload in directory's met vage namen die niet zomaar te verwijderen waren door de bestandsnamen, maar ook omdat ze in gebruik waren. Uiteindelijk is dat verwijderen met wat programma's wel gelukt.

Nu is echter de vraag hoe kom ik erachter via welk script/forum ofzo men dit is gelukt zodat ik dat gat kan fixen. Op deze server draaien niet veel scripts van derden, het Snitz-forum en sinds 2 weken een Shoutbox (http://genusproject.com/index.php/downloads). Om ruimte op de server vrij te maken had ik wat logfiles verwijderd, mogelijk dat daar ook de files van de datum bijzitten waarop de server getagged is.

Is er nu een bestand op de server geplaatst dat die hackers laat weten: hallo ik sta open misbruik me? (er is deze week een 2e keer een groot bestand geüpload en dat kwam in dezelfde map terecht in nieuwe directory's.

Wij hebben dit probleem ook een keer gehad. Dat werd veroorzaakt door een lek in Cacti. Ze hadden bij ons bergen games geupload :S
Het is wel jammer dat je logs hebt verwijderd want die hadden mogelijk nog informatie kunnen verschaffen over welke site/script de boosdoener had kunnen zijn.

Zorg er iig altijd voor dat alle forums/scripts up2date zijn en natuurlijk windows/linux ook van de laatste versies voorzien.

Kijk anders ook even in welke map het wordt geupped en welke site daar gebruik van maakt. Mogelijk dat dit de bewuste site is welke een lek heeft?

Het wordt in een map geupload 1 level hoger dan waar de sites in staan. Dus dat geeft geen duidelijkheid. Heb wel zitten kijken of ik rechten voor deze map www kan aanpassen.

De bestanden komen terecht in c:\www\ÿfasdfÿ\blabla (directory met vage namen en honderden subdirectory's waarvan in 1 map slechts de bestanden zich bevinden.

De sites staan als volgt
c:\www\site1.nl\web\default.asp
c:\www\site1.nl\database\

Gebruik je wel IPSEC? En al een x je processen laten scannen door iets als ClamAV?

Gebruik je wel IPSEC? En al een x je processen laten scannen door iets als ClamAV?

Wat heeft IPSec hiermee te maken? Een virusscanner gaat ook vermoedelijk geen spyware eruit halen. Het lijkt er gewoon op dat een script misbruikt werd, of dat een gebruiker een zwak paswoord heeft. Je kan best even de access logs gaan naspeuren rond de tijdstippen dat de bestanden op de server gezet werden. Als er ongekende processen lopen, dan die best even opsporen waar die staan (de exe), en gaan zoeken in de logs hoe die daar kwamen.

Een ietwat ervaren systeembeheerder moet hier normaal wel uit de voeten kunnen, en zou na enig speurwerk moeten kunnen vinden waar het lek zit.

Kan jij uitsluiten dat hij wel een poort filter / firewall gebruikt (en dat nog juist ingesteld)?

Er is een firewall actief. Ik zie niet echt rare processen, alles wat loopt lijkt bij windows te horen...

Dat is omdat een eventuele trojan de procesnaam van windows overneemt. Welke firewal gebruik je? Windows firewall doet alleen binnenkomend verkeer, IPSEC beide + je kan poorten opgeven die alleen verbinding mogen maken (en dan nog de richting ook).

Dat is omdat een eventuele trojan de procesnaam van windows overneemt. Welke firewal gebruik je? Windows firewall doet alleen binnenkomend verkeer, IPSEC beide + je kan poorten opgeven die alleen verbinding mogen maken (en dan nog de richting ook).


Daar zit dan ook het eerste probleem, neem de iis unicode bug of webdav, deze gingen over poort 80 een richting verkeer, waarna je later zonder problemen nieuwe processen of opdrachten kon spawnen om betreffende firewall & AV uit te kunnen zetten.

Tja beter dan een simpele binnenkomende firewall toch?