Gisteravond rond 11 uur heeft een nog onbekend persoon onze server Orion gehacked. Hierbij heeft de hacker alle data op Orion verwijderd.
Wij hebben daarom alles weer terug op Sirius gezet die helaas nogsteeds problemen heeft met de mail en met Plesk. Hierdoor loopt uw data enkele dagen achter. Dus ook op dit forum zijn topics en posts weg.

Hoe deze persoon toegang gekregen heeft tot onze server en wie dit was zijn wij aan het uitzoeken, verder zullen wij Orion zo spoedig mogenlijk weer proberen in de lucht te krijgen, zodat alles weer werkt.

Onze excuses voor dit ongemak.
Linkje naar forum (http://forum.keeponhosting.nl/index.php?showtopic=76&st=0)

Daar zit je dan, ze hebben geen backups gemaakt, dus je moet het doen met data die nog op de oude server stond, ruim 2 weken terug.

zo zie je maar wat het belang is van goede backup voorzieningen
laat dit een les zijn voor de rest
MAAK EEN BACKUP scheelt een hoop gezeur

Hoe serieus is dit, een hacker die alle gegevens weet te wissen. Betekent dat niet gewoon slechte beveiliging of erger, gewoon een stomme smoes want de hele nacht heeft PLESK keurig gereageerd, ik heb het tot 04.00 gezien :) Een hacker die zin heeft om alle (jawel alle) gegevens van iedereen te wissen, wil toch ook wel meer schade aanbrengen?

Is het een smoes?

Origineel geplaatst door Hulleman
Is het een smoes?
Ik vermoed van wel. Maargoed, ik weet er natuurlijk niet alles van. Ik zie alleen wel in hun eigen forum dat er meerdere mensen dit vermoeden hebben.

Nee het is helaas geen smoes.. :( verder heeft Plesk zeker niet tot 4 uur gereageerd aangezien de server voor 12-en opnieuw gestart is en niet meer upgekomen is. Daarna hebben wij meteen de DNS gewijzigd en heb je misschien Sirius zien reageren.

Er zij maar weinig hackers die alles verwijderen...
OF Ze veranderen niks en brengen een beheerder op de hoogte
OF ze plaatsen acker meldingen want ze zijn aandachtsgeil (en verwijderen niet alles, maar wijzigen liever iets).

Origineel geplaatst door Triloxigen
Er zij maar weinig hackers die alles verwijderen...
OF Ze veranderen niks en brengen een beheerder op de hoogte
OF ze plaatsen acker meldingen want ze zijn aandachtsgeil (en verwijderen niet alles, maar wijzigen liever iets).

Ik geloof je graag... maar als jij mij kan uitleggen waarom toen ik gister naar mij domein ging ik de melding kreeg dat het bestand niet gevonden kon worden en ook geen error page, en wanneer ik even later inlog op mijn server via SSH ik met een heel rap tempo alles verwijderd zie worden... dan zou ik dat eigenlijk wel graag willen weten :)

Vanacht weer iemand een stijf piemeltje door het wissen van gegevens. Viagra maakt blind dus dan krijg je dit he.

Smoes of niet, de gegevens zijn weg en er is geen backup. Wie snapt nu nog dat er hosters zijn die geen dagelijkse offline backups maken?

Hopelijk gaan ze hier wat van leren. Zowel de hoster als de klanten...

We maken backups... normaal gesproken

Origineel geplaatst door KeepOnHosting
We maken backups... normaal gesproken
Maar?

Origineel geplaatst door Triloxigen
Er zij maar weinig hackers die alles verwijderen...
OF Ze veranderen niks en brengen een beheerder op de hoogte
OF ze plaatsen acker meldingen want ze zijn aandachtsgeil (en verwijderen niet alles, maar wijzigen liever iets).

En concurentie? Concurentie heeft er wel baad bij dat een andere webhoster er zo veel mogelijk schade bij heeft. Het zou niet de eerste keer zijn dat zoiets uit komt.

Nogmaals een bewijs dat een standaard linux/*nix + plesk installatie niet aan te raden is voor webhosters met weinig technische kennis (algemeen bedoelt, niet op bepaalde webhoster)

Origineel geplaatst door wv-


En concurentie? Concurentie heeft er wel baad bij dat een andere webhoster er zo veel mogelijk schade bij heeft. Het zou niet de eerste keer zijn dat zoiets uit komt.

Ja je hebt blijkbaar van die zielige types die het anders niet aankunnen...

Origineel geplaatst door Domenico
Vanacht weer iemand een stijf piemeltje door het wissen van gegevens. Viagra maakt blind dus dan krijg je dit he.

Smoes of niet, de gegevens zijn weg en er is geen backup. Wie snapt nu nog dat er hosters zijn die geen dagelijkse offline backups maken?

Hopelijk gaan ze hier wat van leren. Zowel de hoster als de klanten...

Ik snap dat ook niet..
Wissel eventueel backup mogelijkheden uit met iemand anders, dat je op hun server mag backuppen en zij op de jouwe. Of iets dergelijks..



Origineel geplaatst door kilian

Maar?

...toevallig nu niet... ;)

Was op nieuwe server nog niet ingesteld/geregeld... :( beetje dom... zeker achteraf... stond op de planning voor deze week...

Was orion een nieuwe server...?

Hoe verloopt het 'onderzoek' ?

Huur een goed iemand in die je server een beetje kan beveiligen 8-)

Origineel geplaatst door KeepOnHosting
Was op nieuwe server nog niet ingesteld/geregeld... :( beetje dom... zeker achteraf... stond op de planning voor deze week...
Mijn gevoel wil nu zeggen "kan gebeuren" maar niemand hoeft je te zeggen dat het wel een enorm domme fout is, dat weet je zelf hopelijk ook wel.

Enorm veel succes er verder mee, ik hoop dat de schade beperkt blijft.

Origineel geplaatst door KeepOnHosting
...en wanneer ik even later inlog op mijn server via SSH ik met een heel rap tempo alles verwijderd zie worden...

Dan ben ik toch benieuwd hoe de hacker in kwestie dat zo snel voor elkaar heeft gekregen :) Weet je zeker dat -alles- weg is?

Ik bedoel, MySQL databases staan in een andere directory dan de website's, en het lijkt mij erg sterk dat dit echt allemaal weg is.

Mount de schijf dus in een andere computer, en dan hoop ik voor jou en je klanten dat er nog wat informatie afkomt.

Ennuh.. heb je op het moment dat je het ontdekte nog logfiles kunnen veiligstellen (voor zover daar wat in zou staan)?

Origineel geplaatst door m@rcel


Dan ben ik toch benieuwd hoe de hacker in kwestie dat zo snel voor elkaar heeft gekregen :) Weet je zeker dat -alles- weg is?

Ik bedoel, MySQL databases staan in een andere directory dan de website's, en het lijkt mij erg sterk dat dit echt allemaal weg is.

Mount de schijf dus in een andere computer, en dan hoop ik voor jou en je klanten dat er nog wat informatie afkomt.

Ennuh.. heb je op het moment dat je het ontdekte nog logfiles kunnen veiligstellen (voor zover daar wat in zou staan)?

ja dat mounten waren we al van plan.. maar heb er niet veel goede hoop op...

Good luck en haal er een les uit !

/var/log/* op de oude disk.

Als je en managed switch hebt, dan moet je toch uit de logs kunnen halen wat de laatste ip's geweest zijn die op de server zijn ingelogd?

Als je de ip's heb, dan is het maar effe te checken van wie die kwamen.

Hopelijk heb je logging op de switchen of routers ...

Good Luck

Origineel geplaatst door KeepOnHosting

maar heb er niet veel goede hoop op...

Toen je met SSH op de server was ingelogged, zag je dat er bestanden werden verwijderd. Ik neem aan dat je de server toen zo snel mogelijk uitgezet hebt.

Zoniet, dan lijkt het me nog sterk dat alles wordt verwijderd.

Check daarom /var/lib/mysql (of waar Plesk de MySQL files ook opslaat), /var/log/* en natuurlijk even de /home directory.

Ik kan me haast niet voorstellen dat alles weg is.

Denk dat het laatste weinig nut heeft, als het een "goede hacker" was geweest heeft hij 100% zeker via een anonymous socks proxy gewerkt.

Die zijn overal van het internet te plukken en je kan ze zo goed als niks maken.

Origineel geplaatst door m@rcel


Toen je met SSH op de server was ingelogged, zag je dat er bestanden werden verwijderd. Ik neem aan dat je de server toen zo snel mogelijk uitgezet hebt.

Zoniet, dan lijkt het me nog sterk dat alles wordt verwijderd.

Check daarom /var/lib/mysql (of waar Plesk de MySQL files ook opslaat), /var/log/* en natuurlijk even de /home directory.

Ik kan me haast niet voorstellen dat alles weg is.

Jap heb m meteen uitgezet.. maar toen was de /home al leeg... de rest heb ik niet naar gekeken... meteen uitgezet...

Puur uit nieuwsgierigheid. Wat was er gedaan aan beveiliging op de betreffende server, alleen standaard minimal installatie + plesk, of ook bepaalde tools, firewall etc etc? Welke OS draaide er op de server, en was deze ook helemaal up2date?

Zie op het plesk forum laatste tijd ook al aantal soortgelijke topics voorbij komen, standaard installatie blijkt verre van veilig.

Succes ermee...

Standaard install = Stupid

De installatie van Plesk beveiligd helemaal niets. Hardening is het eerste wat je doet zogauw als je je server online hebt staan. (ik in ieder geval wel)

de nodige kennis moet dan wel aanwezig zijn. Men kiest voor een reden Plesk/Cpanel/... Meestal omdat de technische kennis ver te zoeken is. Budget hosters gaan ook minder snel iemand betalen of in dienst nemen om de server te beveiligen. Uitendelijk krijg je dan situaties zoals deze :)

Prachtig die reacties van die beheerder, gewoon vermakelijk om te lezen: 'Ja ik snap ook wel dat het rot is dat alle data weg is, maar we kunnen er niets aan doen' :p

Echt een aanrader die link naar hun forum ;)

Origineel geplaatst door wv-
de nodige kennis moet dan wel aanwezig zijn. Men kiest voor een reden Plesk/Cpanel/... Meestal omdat de technische kennis ver te zoeken is. Budget hosters gaan ook minder snel iemand betalen of in dienst nemen om de server te beveiligen. Uitendelijk krijg je dan situaties zoals deze :)

Ik merk wel dat er meer en meer vraag begint te komen naar "quick fixes" om lekjes weer dicht te gooien. Als je de klant dan adviseert om de beveiliging in het vervolg direct in orde te (laten) brengen bij (of voordat) het online gooien van een productieserver krijg je ook nog eens met regelmaat scheve blikken :rolleyes: . Erg typsich, die klanten... :D

Origineel geplaatst door jinxedworld


Ik merk wel dat er meer en meer vraag begint te komen naar "quick fixes" om lekjes weer dicht te gooien. Als je de klant dan adviseert om de beveiliging in het vervolg direct in orde te (laten) brengen bij (of voordat) het online gooien van een productieserver krijg je ook nog eens met regelmaat scheve blikken :rolleyes: . Erg typsich, die klanten... :D

Ligt helemaal aan de ingesteldheid en budget er van :). Sommige mensen snappen echt niet dat je wel even bezig bent aan het securen en hardening van een systeem. Gewoonweg omdat ze er geen idee van hebben. Hoeveel hosters dat je hier elke dag wel ziet dat denken dat de kous af is met een cpanel te kopen. Daarom, hosters die een default install gebruiken, wacht niet, en huur ons, mensen met clue, in :D

Ik sluit me hier volledig bij aan :D

Origineel geplaatst door wv-


Ligt helemaal aan de ingesteldheid en budget er van :). Sommige mensen snappen echt niet dat je wel even bezig bent aan het securen en hardening van een systeem. Gewoonweg omdat ze er geen idee van hebben. Hoeveel hosters dat je hier elke dag wel ziet dat denken dat de kous af is met een cpanel te kopen. Daarom, hosters die een default install gebruiken, wacht niet, en huur ons, mensen met clue, in :D

K, is hier geen advertentie forum... Maar goed, nu we het er toch over hebben, wat doen jullie dan precies om een systeem te securen?

Onderstaand een stukje uit mijn lijst:

tmp dir protection
Geen onnodige services / porten open
System tools alleen voor root
Mod_security voor httpd server
Signatures van httpd en dns uit
SSH hardening (apart ip, root loggin off etc etc)
Goede firewal config
Dagelijkse scan van chkrk en rkhunter
Gebruik prosess monitoring tools
In de php ini disable_functions system,exec, safe_mode on + nog aantal
Syctl aanpassingen tegen ddos
up2date blijven(het volgen van mailing lists)

En natuurlijk het maken van backups, heb hier vorig jaar nog handleiding voor geschreven, wellicht handig voor hosters die het nog zonder backup doen: http://www.webhostingtalk.nl/showthread.php?s=&threadid=53032&highlight=backup

Origineel geplaatst door wv-
Men kiest voor een reden Plesk/Cpanel/... Meestal omdat de technische kennis ver te zoeken is.

Dat is echt grote onzin :D:D
Je wilt de klanten de mogelijkheid geven zaken zelf te kunnen beheren ipv dat de klant voor ieder ding een email moet sturen.

Origineel geplaatst door Bob2


K, is hier geen advertentie forum... Maar goed, nu we het er toch over hebben, wat doen jullie dan precies om een systeem te securen?

Onderstaand een stukje uit mijn lijst:

tmp dir protection
Geen onnodige services / porten open
System tools alleen voor root
Mod_security voor httpd server
Signatures van httpd en dns uit
SSH hardening (apart ip, root loggin off etc etc)
Goede firewal config
Dagelijkse scan van chkrk en rkhunter
Gebruik prosess monitoring tools
In de php ini disable_functions system,exec, safe_mode on + nog aantal
Syctl aanpassingen tegen ddos
up2date blijven(het volgen van mailing lists)

Het was eerder grappig bedoelt, in plaats van te adverteren. Budget hosters op webhostingtalk kunnen geen degelijke sysadmin betalen met 1 euro winst / pakket :)

Ik heb een relevant antwoord in een andere thread gezet, om deze niet te veel te vervuilen: http://www.webhostingtalk.nl/showthread.php?s=&postid=514237



Origineel geplaatst door Triloxigen


Dat is echt grote onzin :D:D
Je wilt de klanten de mogelijkheid geven zaken zelf te kunnen beheren ipv dat de klant voor ieder ding een email moet sturen.

Het heeft geen zin om een zoveelste controlpanel-flamewar te starten, dus houdt ik het kort. Het gebruik van zo een controle paneel dat alle webhosting taken overneemt is misschien wel leuk voor jullie en jullie klanten, MAAR ten koste van security natuurlijk. Er zijn genoeg alternatieven als je de kennis hebt.

Origineel geplaatst door jinxedworld
Hardening is het eerste wat je doet zogauw als je je server online hebt staan. (ik in ieder geval wel)

Beter nog: voordat je je server online hebt.



Domenico
rm -rf /*


Hij was het! :)

Origineel geplaatst door Apoc


Beter nog: voordat je je server online hebt.



Hij was het! :)


sssst. ;)

hij was wat?

Origineel geplaatst door Bramm
hij was wat?


geen Linux kennis?

Origineel geplaatst door Bramm
hij was wat?

Typ eens in console rm -rf /* in, dan weet je het ;)



Nee, nou niet serieus gaan doen :x

haha, toch maar even kleine uitleg dan voor iemand hier echt aan gaat beginnen ;)

rm = verwijder
r = ook alle onderliggende mappen
f = zonder vraag om bevestiging
/* = alles achter /

# \rm -r /

Zelfs zonder de -f doet'ie dan hetzelfde ;)

Origineel geplaatst door Bob2
haha, toch maar even kleine uitleg dan voor iemand hier echt aan gaat beginnen ;)

rm = verwijder
r = ook alle onderliggende mappen
f = zonder vraag om bevestiging
/* = alles achter /

Dankuwel voor deze uitleg :D Wist ik nieteens :)

Dit werkt als je als root ingelogt bent in dat tekst dinges?

:D

Ok, arme webhostingbedrijfjes die nu "wij zijn gehackt" op hun site moeten zetten omdat ze wouden weten wat dat commando deed :)

Probeer het eens zou ik zeggen :D. Ik heb het 1 keer op een oude hardeschijf gedaan, het ging goed totdat het RM commande werd weggegooid, maar bijna alles was eraf!

rm wordt uitgevoerd in het geheugen en is dus niet meer nodig nadat het commando uitgevoerd wordt. Het zal dus wel aan iets anders gelegen hebben waardoor die stopte. rm -rf /* is ook een slechte manier om alles weg te gooien. Met wat data recovery (wat keeponhosting trouwens ook had kunnen doen) kan je veel terug vinden. Een betere manier is alles met random karakters te overschrijven dd if=/dev/urandom of=/dev/hda :)

Of je runt gewoon geen webhosting bedrijf als je niet weet hoe het werkt :) Een beetje kennis van je eigen product kan geen kwaad lijkt me.

Origineel geplaatst door ThePostman

Dit werkt als je als root ingelogt bent in dat tekst dinges?

Precies je start eerst de tekst dinges en dan tiep je je gebruikersdinges dus gewoon root en de passcodedinges en dan krijg je dus dat dinges met die rare tekentjes met dat knipperdinges erachter en daar tiep je dan weer die formule en dan krijg je allemaal dingesen op je beelddinges want dan kan je zien wat je webdinges allemaal aan het dingesen is. En als het fout gaat dan dinges je gewoon control z en dan is alles weer terug zoals het was, soms.

LOL :)

Goed bezig ThePostman :p

Try it !

Origineel geplaatst door wv-
rm wordt uitgevoerd in het geheugen en is dus niet meer nodig nadat het commando uitgevoerd wordt. Het zal dus wel aan iets anders gelegen hebben waardoor die stopte. rm -rf /* is ook een slechte manier om alles weg te gooien. Met wat data recovery (wat keeponhosting trouwens ook had kunnen doen) kan je veel terug vinden. Een betere manier is alles met random karakters te overschrijven dd if=/dev/urandom of=/dev/hda :)

Ext3 en data recovery? Knappe jongen als het je lukt zonder de harddisk uit elkaar te halen...

Origineel geplaatst door Domenico


Ext3 en data recovery? Knappe jongen als het je lukt zonder de harddisk uit elkaar te halen...

gespecialiseerde bedrijven inschakelen he. Gewoon er van uit gaan dat alles weg is en dezelfde hd gebruiken was toch niet toch nodig

format c: ? :(

Het gebeurt overal van die zaken...

Vannacht is de centrale server van de Universiteit van onze stad gehacked, ze kunnen ook enkel de backups van gisteren terugzetten...

http://www.helpdesk.ugent.be/informatie/nieuws.php

Het gebeurt dus overal... hoe kundig en welopgeleid het personeel ook, ondanks de high end machine en ondanks alle beveiligingen...

Origineel geplaatst door smurf
Het gebeurt overal van die zaken...

Vannacht is de centrale server van de Universiteit van onze stad gehacked, ze kunnen ook enkel de backups van gisteren terugzetten...

http://www.helpdesk.ugent.be/informatie/nieuws.php

Het gebeurt dus overal... hoe kundig en welopgeleid het personeel ook, ondanks de high end machine en ondanks alle beveiligingen...

Maar dit is wel wat makkelijker natuurlijk aangezien je van binnenuit toegang kan hebben.

Origineel geplaatst door wv-


gespecialiseerde bedrijven inschakelen he. Gewoon er van uit gaan dat alles weg is en dezelfde hd gebruiken was toch niet toch nodig

Heb je dit wel eens laten doen dan? Vraag voor de grap maar eens een offerte aan. :)
Geloof me, met software krijg je dat niet meer terug. Die harddisk moet open wil je die data terug zien te krijgen.

Als je geen budget hebt voor een offline backup dan heb je dat al helemaal niet voor dit soort zaken.

Dat dit soort dingen kunnen gebeuren, dat weten we allemaal wel. Dit wens je niemand toe, al is het een concurrent. Succes ermee, en ik hoop dat je ervan hebt geleerd.

B A C K U P S

Origineel geplaatst door Domenico


Heb je dit wel eens laten doen dan? Vraag voor de grap maar eens een offerte aan. :)
Geloof me, met software krijg je dat niet meer terug. Die harddisk moet open wil je die data terug zien te krijgen.

Als je geen budget hebt voor een offline backup dan heb je dat al helemaal niet voor dit soort zaken.

In de goeie ouwe tijd dat de guldens nog als betaalmiddeldienden heb ik een offerte aangevraagd voor een klant van ons.
was 1200 gulden per MB.

Ik verwacht dat dit nu iets goedkoper is maar is alsnog inderdaad geen goedkope grap

Muer, alsnog success ermee.

Mwa, datarecovery is wel duur - maar niet zo duur ;)

Check anders even voor prijzen:
http://www.yodata.nl

En nee, dit is geen reclame/spam en ik heb er ook geen aandelen in ;)

Origineel geplaatst door ThePostman


Dankuwel voor deze uitleg :D Wist ik nieteens :)

Dit werkt als je als root ingelogt bent in dat tekst dinges?

Geintje zeker? Enne, tekstdinges? Djeez ;)