Mijn hobbyserver is helaas gehackt door Ma3sTr0-Dz. Nu had ik vernomen van het hosting bedrijf dat het waarschijnlijk om een code injection gaat. Nu kan ik hier zeer weinig over vinden hoe dit opgelost kan worden, zou iemand mij een beetje op de weg kunnen helpen hoe ik dit zou kunnen oplossen?

als je eerst even wat uitleg geeft over de hack. was is er aangepast... hoe kwam je erachter ? etc. en wat er op de server "hobbelt" kan er mischien iemand op ingaan. nu is het beetje speld in hooiberg...

Server opnieuw installeren is vaak het beste. En zorgen dat je code veilig is, anders gebeurt het weer. Misschien kan je wat meer info posten over de hack?

alle html's aangepast ? ik zie: by Ma3sTr0-Dz secure your life ;)
ps: begin eens om die SSH van poort 22 af te halen.....

ps: begin eens om die SSH van poort 22 af te halen.....

En wat haalt dat uit, geef dan advies als gebruik een sterk wachtwoord met een key ipv schijnveiligheid te promoten.

En wat haalt dat uit, geef dan advies als gebruik een sterk wachtwoord met een key ipv schijnveiligheid te promoten.

Helemaal mee eens.... ssh op een andere poort maakt geen h*l uit.

Ik kan helaas niet veel terug zien in de log's. De html's zijn inderdaad allemaal aangepast en yum update werkt ook niet meer.

[root@web log]# yum update
Traceback (most recent call last):
File "/usr/bin/yum", line 4, in ?
import yum
File "/usr/lib/python2.4/site-packages/yum/__init__.py", line 55, in ?
import transactioninfo
File "/usr/lib/python2.4/site-packages/yum/transactioninfo.py", line 31, in ?
from sqlitesack import YumAvailablePackageSqlite
File "/usr/lib/python2.4/site-packages/yum/sqlitesack.py", line 26, in ?
import yumRepo
File "/usr/lib/python2.4/site-packages/yum/yumRepo.py", line 32, in ?
import sqlitecachec
File "/usr/lib64/python2.4/site-packages/sqlitecachec.py", line 18, in ?
import sqlite
File "/usr/lib64/python2.4/site-packages/sqlite/__init__.py", line 26, in ?
from main import DBAPITypeObject, Cursor, Connection, PgResultSet
File "/usr/lib64/python2.4/site-packages/sqlite/main.py", line 1
<div align="center"><font size="3"><font face="Tahoma"><font color="#0000FF">by Ma3sTr0-Dz</font><br />

Enige wat ik van mijn provider te horen gekregen heb is: mogelijk infected door een code injection.
Het lek zit hem mogelijk in phpmyadmin of proftpd.

Helemaal mee eens.... ssh op een andere poort maakt geen h*l uit.

Gelukkig hebben meerdere mensen meerdere menigen en die zijn niet altijd gelijk... En in dit geval dus ook van toepassing.
het was namelijk niet mijn bedoeling dit als discussiepunt in een thread te gaan bespreken... ik had het beter achterwege kunnen laten.
Sorry :-(

^a

Helemaal mee eens.... ssh op een andere poort maakt geen h*l uit.

Ben ik niet helemaal met je eens, het scheelt namelijk wel zo`n 90% aan spambotjes die poort 22 uitproberen met allerhande usernames.
Maar qua algemene veiligheid is het gebruiken maken van keys of flink sterke wachtwoorden veel beter.

laten we de 22 discussie even in andere thread voeren, mijn voorstel.

maar redserver volgens mij dus al je files aangepast.... welke proftd draaide je ?

Ik draai versie 1.3.1

Ik draai versie 1.3.1

Ga eerst al je software maar eens updaten dan. 1.3.1 is wel erg oud, inmiddels zitten we al op 1.3.3f

zo te horen was je niet helemaal bekend met gaten die in proftpd zaten ...... was nogal wat commotie om... maar heb je kennelijk gemist jammer.
Nu even een grep op de string van de hacker doen en de files schonen, word nog een leuk werkje, of opnieuw aan de gang...

ik denk dat je je server compleet moet herinstalleren, en alleen gebruik moet maken van de laatste versies van je software.
Mijn persoonlijke mening is dat Linux veel beter is dan windows, mits beheerd door een hele goede systeembeheerder. Als jij dat niet bent, kijk dan eens of je het allemaal op windows kunt draaien, want dat werkt ook best goed, en vereist minder expertise.

Kijk ook eens naar metasploit, en test je eigen site en software met alle exploits die daar in zitten.
Google op <softwarenaam> exploit, en als je veel hits hebt, duik erin,en hack je eigen bak.
Gebruik inderdaad minder voor de hand liggende poorten vor je remote-access, om de script-bots buiten te houden, en gebruik complexe wachtwoorden (beheer je prima met keepass) die je nergens anders gebruikt.
Controleer je access-logs, en blokkeer af en toe een volhardende bruteforce attempt.

en als het kan, zet een aparte firewall voor je box, die alleen de poorten en trafficshape toelaat die jij instelt.
Beheer je graag op afstand? zet een IP-filter op dat alleen beheer vanaf jouw adressen toelaat.

En koop een virusscanner, linux heeft er ook een paar, Mcafee heeft er gewoon een die werkt.

De bug in ProFTPd is pas gefixed vanaf versie 1.3.3e geloof ik, dus grote kans dat dat het was. Hoewel het natuurlijk altijd een vulnerability in de code kan zijn.

ik denk dat je je server compleet moet herinstalleren, en alleen gebruik moet maken van de laatste versies van je software.

+1

YUM doet het ook niet meer op Redeervers' machine. Dat is imho een teken dat er net iets meer aan de hand is dan een paar script kiddies die wat met html en een php shell aan 't rotzooien zijn, tenzij ze per ongeluk YUM om zeep geholpen hebben.

Er is momenteel een clubje bezig automatische update van populaire pakketten zoals TeamViewer te misbruiken om malware binnen te sluizen op Windows PC's. Ik heb zo'n stil vermoeden dat datzelfde clubje achter een aantal inbraken bij populaire Open Source projecten zit.

Persoonlijk zou ik die server niet meer vertrouwen, maar er een image van maken en opnieuw installeren met de recentste versies. En op 't moment ben ik zelfs paranoïde genoeg om eerst de bronnen te controleren, want naast MySQL waren ook enkele Linux distro's bij de ongelukkigen die gecompromitteerd werden.

Datzelfde clubje heeft in januari nog bank paswoorden gepikt via de gecompromitteerde versie van TeamViewer en ook mitm attacks tegen banking clients uitgevoerd.

Ik denk niet dat Ma3sTr0-Dz tot dat clubje hoort, want die werken zeer low-profile. Het is zelfs binnen de sec community moeilijk om aan info over deze voorvallen te krijgen. En logs passen ze aan, die wissen ze niet. Ook de timestamp van de logs is geen indicatie.