Vandaag voor het eerst (bewust) meegemaakt dat een server gehackt was.

Bij een klant van me was de Terminal Server gehackt. Iemand had lokaal een admin account aangemaakt en diverse hacktools geinstalleerd.

Naast deze tools kon hij blijkbaar niet zonder MSN/Facebook en nog wat van zulke sites dus ik heb wat nicknames / email adressen kunnen achterhalen.

Na een korte zoektocht op internet heb ik ongeveer alles over deze jongen kunnen vinden, hij is niet echt zorgvuldig met privacy gegevens en een fan van social sites...

Helaas komt hij niet uit Nederland maar uit Kosovo.

Wat doen jullie in zo'n geval? Doe je ergens aangifte? Neem je via msn/mail contact op met zo'n persoon? Of blokkeer je gewoon de IP(reeks) en denk je er verder niet bij na?

Weinig dat je kan doen denk ik, gewoon beter beveiligen en inderdaad het IP in de firewall gooien..

Met aangifte gebeurt er vrij weinig waarschijnlijk. Je kan wel naar zijn provider een abuse report sturen per mail. Grote kans dat die dan afgesloten wordt. Misschien leert die daar wat van. Natuurlijk de punten die StevenW opnoemt ook uitvoeren.

Aangifte doen tegen iemand in het buitenland is mijns inziens vrij zinloos voor zoiets. Gewoon IP adres blokkeren en beter beveiligen volgende keer.

Met een aangifte doen ze inderdaad bitter weinig tenzei er echt sprake zou zijn van criminele feiten. Een abuse report naar de provider is altijd een goed idee, dit is iets dat ik altijd doe en meestal komt er een positief bericht op. Vooral als de provider meerdere abuse meldingen krijgt van de persoon waarover het gaat. Daar naast inderdaad ook even in de abuse mail zetten dat door deze actie het volledige netblock van de provider gefirewalled staat (en dit dan ook daadwerkelijk firewallen).

Toch blijf ik dat apart vinden, ze willen criminaliteit graag aanpakken maar met dit soort dingen doet de politie niks.

Dat persoon uit buitenland komt moet lijk me niet uitmaken. Want als er een terrorist in Nederland komt dan maakt het niet uit of hij een Nederlander is of een Chinees (bijv.)

Maar goed ik zou wel aangifte doen, dit ivm mogelijk verzekerings werk en sowieso natuurlijk het IP blokkeren + een abuse report richting zijn provider.

Mijn ervaring is dat ook providers weinig doen met abuse reports (1 positieve uitzondering is dan toch XS4ALL die zonder discussie de klant gelijk afsloot). Geen enkele provider zal je terugkoppelen wat ze doen.

Wij sturen voor ons eigen goede gevoel nog wel eens een mailtje, maar weten dat we niets hoeven te verwachten. Aangifte bij politie doen we alleen als de klant bereid is de uren te vergoeden - en dat is precies nooit..

Naast de afweging of aangifte en veel tijd erin steken de moeite waard gaat zijn, hoe zeker weet je dat die persoon ook echt de persoon is die de boel heeft gehacked? Het kan ook zijn dat iemand anders jou server heeft misbruikt om de facebook en msn van een derde te verkloten... Ik zou er in ieder geval zeker niet vanuit gaan dat de persoon waarvan de facebook pagina is bewerkt, ook echt de persoon is die de hack heeft gedaan.

Aangifte kan nuttig zijn.verzekering zie ik zo snel niet in, wat is er aan schade wat vergoed kan worden? maar toch zeker als 'bewijs' dat er iets niet in orde is geweest gedurende de tijd dat de server misbruikt werd. Indien derden dan met claims komen omdat jouw IP in allerlei logs opduikt, kun je aantonen dat er iets aan de hand is geweest op dat IP

hoe zeker weet je dat die persoon ook echt de persoon is die de boel heeft gehacked? Het kan ook zijn dat iemand anders jou server heeft misbruikt om de facebook en msn van een derde te verkloten...

Daar heb ik ook nog even aan zitten denken maar er staan een stuk of 40 chatlogs in mijn documenten. Ik heb wat van die chats bekeken en er een paar door Google translate gehaald maar dat zijn normale gesprekken met bekenden.


Aangifte kan nuttig zijn.verzekering zie ik zo snel niet in, wat is er aan schade wat vergoed kan worden? maar toch zeker als 'bewijs' dat er iets niet in orde is geweest gedurende de tijd dat de server misbruikt werd. Indien derden dan met claims komen omdat jouw IP in allerlei logs opduikt, kun je aantonen dat er iets aan de hand is geweest op dat IP

Daar heb je wel een goed punt inderdaad. Er stonden diverse hacktools geinstalleerd dus de kans is groot dat hij deze server heeft misbruikt om andere te hacken.

De klant zelf heeft geen schade, verder dan het lokale admin account is hij niet gekomen.

Aangifte zal weinig uitmaken, zowel voor binneland als buiteland (als er echt ingebroken word moet je smeken of ze langskomen)
Verzekering zal er ook weinig mee doen denk ik, en meer als tijd declaren (herinstall) zal het niet kunnen worden denk ik

Meer als beter beveiligingen aanbreken en ip blokeren kan je denk ik niet doen

Persoonlijk zou ik al zijn email adressen aan te melden op spamlijsten :)

Aangifte zal weinig uitmaken, zowel voor binneland als buiteland (als er echt ingebroken word moet je smeken of ze langskomen)
Verzekering zal er ook weinig mee doen denk ik, en meer als tijd declaren (herinstall) zal het niet kunnen worden denk ik

Meer als beter beveiligingen aanbreken en ip blokeren kan je denk ik niet doen

Persoonlijk zou ik al zijn email adressen aan te melden op spamlijsten :)

Denk dat hij het wel heeft uitgevogeld na meer dan een maand.

Email adressen aanmelden op spamlijsten is gewoon kwaad met kwaad vergelden.

Denk dat hij het wel heeft uitgevogeld na meer dan een maand.

Email adressen aanmelden op spamlijsten is gewoon kwaad met kwaad vergelden.

en iemand in de gevangenis laten donderstralen is dat niet, ik denk dat het de weg van de minste weerstand is en daar moet je als commeciele partij gewoon voor gaan.
die optie van 'een mailtje aan de provider zou ik altijd doen' als we er een 'whf-policy van maken loop je nog kans dat het op termijn gaat helpen ook.

xs4all is daar idd een schoolvoorbeeld van ook in het oplossen naar de klant toe (het is mijn bijv een keer overkomen dat er een bugg zat in de openwrt software op mijn router, en iemand ermee probeerde mijn router om te bouwen in een relay port voor spam,
echter draai ik thuis een monitor demon (ook op mijn thuis routertje). en kwam er al snel achter dat ik verdacht veel verbindingen hat met hotmail.com voor iemand die zich een MS-verachter (geen hater). noemt. kortom tijd voor onderzoek, toen ik halverwege mijn speurttocht op openwrt.org achter kwam dat die verd*mde pagina niet meer wilde laden, had ik hem al vrij snel door, 2 telefoontjes met xs4all later en ik had weer internet. en een wijze les geleerd.