PDA

Bekijk Volledige Versie : Gekraakt



Arto
08/02/06, 17:40
ik neem aan dat ik ben gekraakt.
Gedeelte van het inhoud van mn hd is verwijderd.
ik kan niet als admin inlioggen op direct admin.
wel ssh
public_html map is verwijderd, er zitten rare bestanden in ftp
kan iemand mij aub dringend helpen via msn
ik kom er niet uit

iemand die wilt helpen graag msn adres per prive bericht verzenden.

aub

Swiftway-UK
08/02/06, 17:44
Je bent waarschijnlijk gehacked inderdaad. Welk OS en welke kernel versie heb je?

Arto
08/02/06, 18:03
CentOS 4.2
Dell PE850
Linux

McRox
08/02/06, 18:32
Had je toevallig een simpele root password?

Gezien de OS versie, is het in ieder geval geen "onervaren" hacker..

Arto
08/02/06, 18:36
Zeker weten geen simple root wachtwoord.
Weet iemand toevallig hoe ik een nieuw admin kan aanmaken in Direct Admin.

Wat ook raar is dat ik in mn ftp een map heb "ssh", met daarin in bestand "know_hosts.

In die bestand zit een ip adres en dan ssh-rsa en dan een hele lange code.
Weet iemand toevallig wat dit betekent?

Hoe kan ik cheken door welke ip ik ben gehacked en rond hoelaat het gebeurt is.

Domenico
08/02/06, 18:48
PhpBB installed misschien?

Arto
08/02/06, 18:49
Mijn klanten wel ja niet alleen phpBB ook andere php forums.

McRox
08/02/06, 19:05
>Weet iemand toevallig wat dit betekent?

Een mogelijke authenticatie methode om zonder wachtwoord (vanuit een bepaald ip) in te loggen op de server..

Gezien je allerlei rare bestanden op schijf hebt, kan het van alles zijn.

Wellicht dat je een lijstje kunt maken met onbekende bestanden in /dev/shm of /tmp of je ftp account?

Heb je nog wel root access?

En is je admin password ook moeilijk te raden?

Swiftway-UK
08/02/06, 19:27
Advies: huur iemand met ervaring in om je OS na te lopen op backdoors, beveiliging erop en toch maar een systeembeheerder regelen voor het nodige onderhoud!

Allerbeste is schone OS installatie en vanuit daar alles beveiligen. Het lijkt me niet dat je iemand gaat vinden die dit voor niets gaat doen voor je, dit is toch wel fors wat uurtjes werk.

DiedX
08/02/06, 19:34
ik heb je een PM gestuurd met mijn MSN. Vind dit altijd wel leuk werk.

Ryan Kalkhoven
08/02/06, 19:37
De beste oplossing is uithuilen en opnieuw beginnen. Als je dit wil herstellen dan kan ik je verzekeren dat er gaten blijven in het systeem.

Heb je niet iets draaien als afick zodat je snel een overzicht kan genereren van nieuwe/verwijderde/aangepaste bestanden?

Je moet in zo'n situatie kijken naar waardoor is dit gebeurd (om hier van te leren en bij je volgende installatie te beveiligen), wat kan ik aan data redden waarvan ik zeker weet dat heet programma's zijn waarmee je weer gaten kan openen, kortom je red alleen data.
Daarna ga je opnieuw beginnen en ik kan je aanraden net als mensen voor mij zorg dat de installatie wordt gedaan door iemand met veel verstand van servers aan publieke netwerken.

hostingpower
08/02/06, 20:57
Origineel geplaatst door Arto
ik neem aan dat ik ben gekraakt.
Gedeelte van het inhoud van mn hd is verwijderd.
ik kan niet als admin inlioggen op direct admin.
wel ssh
public_html map is verwijderd, er zitten rare bestanden in ftp
kan iemand mij aub dringend helpen via msn
ik kom er niet uit

iemand die wilt helpen graag msn adres per prive bericht verzenden.

aub

lijkt er inderdaad op of je gehacked ben. Om alles goed dicht te gooien:
- installeer Mod_Security
- Installeer APF
- Zet php Openbasedir aan
Install ook ff rootkit en kijk even of je nog niet geroot bent!
http://www.rootkit.nl

Mark17
08/02/06, 21:47
Origineel geplaatst door Arto
Zeker weten geen simple root wachtwoord.
Weet iemand toevallig hoe ik een nieuw admin kan aanmaken in Direct Admin.

Wat ook raar is dat ik in mn ftp een map heb "ssh", met daarin in bestand "know_hosts.

In die bestand zit een ip adres en dan ssh-rsa en dan een hele lange code.
Weet iemand toevallig wat dit betekent?

Hoe kan ik cheken door welke ip ik ben gehacked en rond hoelaat het gebeurt is.

Kopieer die map ssh eens snel naar een windows systeem en verwijder die map daarna van de server. Controleer ook hoe de bestanden op je server zijn gezet die je niet kunt verklaren en geef ze minstens een chmod 000.

Het beste is een kopie van de hardeschijf maken voor onderzoek na de tijd en nu het systeem opnieuw installeren (hopelijk heb je backups van voor de problemen).

Arto
08/02/06, 22:05
Ondaks ik het map ssh en het bestand "known_hosts" verwijderd heb is mn server totaal naar de klote.
home dir is compleet geleegt.
Helaa kan ik ook het mysql database's niet backupen, die zijn ook geleegt.
Dus alles naar de klote.

Ik heb mn server via APC nu ofline gezet.
Morgen re-install
Alles overnieuw, dus alle data weg ik had geen backups.

Wat ik me eigen afvraag is wie is dit geweest?

Inhoud ssh/known_hosts :




85.92.134.115 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAs0KZziiL2MxkJ/ClqSiNoMeei4bgSskd52fwSfREUr4LNCmE71XnV0+PGJykuebj T5gU24qX5hJC+0RfI9DehvGdfBC4QtEvyDAy03GIbZXistBpxo KvooG3Vd8Itv70DjrXiCjFterTraG2+10UmXHteBOC5pMHCRAP Sj+kAH0=


85.92.134.115 verwijst naar Hostlab BV
www.hostlab.nl
Kan ik dit nog bewijzen en schade vergoeding terug krijgen?

Nu is mn vraag wat moet ik doen om mn server in het toekomst te beveilligen, dit is echt klote.

Technotop
08/02/06, 22:20
woei DirectAdmin, altijd uitkijken voor admin/reseller account passwords. Toevallig vandaag weer alles opnieuw ingevoerd. Lange en complexe wachtwoorden en verander deze eens in het half jaar of zelfs nog vaker.

In iedergeval success. Probeer ook een externe backup te regelen. Vaak kan dit wel bij je coloboer.

Succes in iedergeval!

HostServe
08/02/06, 22:57
Je had meteen al actie moeten ondernemen, indien je gekraakt bent ga je het natuurlijk niet allemaal online uit zitten zoeken.
Dat je geen backups hebt is zeer jammer maar wel je eigen schuld.

Wat je nu nog kan doen is eigelijk niks, aangezien alle belangrijke data verwijderd is.

Even uitzoeken wat de mogelijke oorzaak was en je server opnieuw laten installeren + beveiligen door iemand die er wel verstand van heeft.

Succes!

blaaat
08/02/06, 23:06
Origineel geplaatst door Arto

85.92.134.115 verwijst naar Hostlab BV
www.hostlab.nl
Kan ik dit nog bewijzen en schade vergoeding terug krijgen?



85.92.134.115 zit in de range van icehosting!
www.icehosting.nl

Edit: op die server staat in admin account webtiger.nl zie sidn voor meer gegevens.
zelfde persoon: www.wisehosted.nl

Veel succes er mee, altijd off-site backuppen hé ;)

Bullcat
08/02/06, 23:09
Ik ben dan redelijk nieuw hier , maar geen backup hebben van iets, ik maak zelf elke nacht een bach up van server en alle accounts die erop staan, het is toch een kleine moeite om thuis, als je nergens anders plek hebt, een ftp server neer te zetten lijkt mij, ok kost trafic, maar nu zit je met de gebakken peren. :(

Ik heb 1 colo server hangen, en 1 dual hier thuis staan, en daar gaat elke nacht alles op. En het eerste wat ik smorgens doe is kijken of de backups geslaagd zijn en zo niet dan start ik die accuut op !

Technotop
08/02/06, 23:13
Origineel geplaatst door Bullcat
Ik ben dan redelijk nieuw hier , maar geen backup hebben van iets, ik maak zelf elke nacht een bach up van server en alle accounts die erop staan, het is toch een kleine moeite om thuis, als je nergens anders plek hebt, een ftp server neer te zetten lijkt mij, ok kost trafic, maar nu zit je met de gebakken peren. :(

Ik heb 1 colo server hangen, en 1 dual hier thuis staan, en daar gaat elke nacht alles op.

Lijkt me niet echt rendabel om elke nacht 30/50GB over te pompen via het netwerk. 1.5TB per maand ongeveer... Kan je beter met iemand in het dc iets afspreken. Wissel je bijvoorbeeld van elkaar de bestanden uit op een eigen ftp.

Zij backuppen op jouw server en jij backuped op hun server via een intern netwerk. Kost je dus eigenlijk niets.

Bullcat
08/02/06, 23:18
zoveel is het nog niet bij mij, en tja ik ben net nieuw in de bussenis dus echt mensen kennen is een 2de, ik ben dan ook al hard opzoek naar een 2de U1 server als zou het alleen maar voor MX en backup zijn, als het maar extern is op ander plek als mijn eigen bak, je kunt uiteraard niet alles voorzijn maar zoals ik net lees van een gehackte server en alles kwijt wil ik mezelf en nog minder mijn klantjes aandoen. Je probeerd in det begin uiteraard alles zo perfect mogelijk te doen met je zaak, dan maar wat minder centjes verdienen dat komt later hopelijk wel dan!

Oeps, laten we weer [Ontopic] gaan

fre0n
08/02/06, 23:21
/var/log/messages tsjekken
/var/log/security tsjecken
logs van apache tsjecken
logs van ftpd tsjecken

zoek uit hoe ze binnen zijn gekomen. Controleer de accounts die ze hierbij gebruikt hebben. Scan op rootkits. Kom zoveel mogelijk over hun werkwijze te weten. Controleer crondjobs en andere intervalscripts. Controlleer running processes. Controleer openstaande poorten die voorheen dicht waren (nmap localhost).

Technotop
08/02/06, 23:22
Je probeerd in det begin uiteraard alles zo perfect mogelijk te doen met je zaak, dan maar wat minder centjes verdienen dat komt later hopelijk wel dan!

Je haalt de woorden uit mijn mond. ;)

IceHosting
09/02/06, 00:37
Volgende keer graag mail naar abuse@icehosting.nl.

Server wordt nu onderzocht. Tis een server van een colocatie klant. Neem anders voor meer info op met info@icehosting.nl

(het blijkt dat deze server gehacked is)

HostServe
09/02/06, 13:21
Origineel geplaatst door trebbor


Lijkt me niet echt rendabel om elke nacht 30/50GB over te pompen via het netwerk. 1.5TB per maand ongeveer... Kan je beter met iemand in het dc iets afspreken. Wissel je bijvoorbeeld van elkaar de bestanden uit op een eigen ftp.

Zij backuppen op jouw server en jij backuped op hun server via een intern netwerk. Kost je dus eigenlijk niets.

Waarom 30/50GB per dag ?
Eenmaal een volledige backup, de opvolgende dagen alleen backuppen wat er veranderd is, heb je altijd een up2date backup. Rdiff-backup bijvoorbeeld.

whtrulez
09/02/06, 16:32
Heeft ICEhosting.nl al iets gevonden?

Anders denk ik ( ? ) dat je de schade kunt verhalen op de eigenaar van het IP wat op jouw server stond, MITS je aan kunt tonen dat het niet een of andere fout was in het management van je server! Of het ik het mis?

Arto
09/02/06, 16:41
Ze nemen het telefoon niet op helaas.

Swiftway-UK
09/02/06, 16:42
Aan onze firewall logs te zien is dit dan niet de enige gehackte server@icehosting,dat even terzijde. Icehosting check je server park! :)

blaaat
09/02/06, 16:49
Origineel geplaatst door Swiftway-UK
Aan onze firewall logs te zien is dit dan niet de enige gehackte server@icehosting,dat even terzijde. Icehosting check je server park! :)

Nou maak je me bang..
Sta gecolocate bij icehosting..
Om welke ip's gaat het?

Swiftway-UK
09/02/06, 16:59
Toch wel een redelijke aantal in de 85.92.134/24 range die fijn aan het port scannen en BFen zijn. Ik weet niet ofdie range specifiek van Icehosting is ofzo :)

blaaat
09/02/06, 17:05
Origineel geplaatst door Swiftway-UK
Toch wel een redelijke aantal in de 85.92.134/24 range die fijn aan het port scannen en BFen zijn. Ik weet niet ofdie range specifiek van Icehosting is ofzo :)

Is geheel van icehosting.
Zitten er 85.92.134.65 t/m .90 bij?

Swiftway-UK
09/02/06, 17:11
Ik stuur je PB, ditis geen info voor publiek forum verder.

Arto
09/02/06, 20:08
icehosting weet welke klant het is, ondaks afgesproken met Icehosting nog steeds geen email met klant gegevens.
En nu staat zn telefoon uit.
Erg vreemd.

Ik heb benodigde log bestand met benodigde ip en andere gegevens, zoals wat er allemaal gedaan is.
Indien dat er geen kontakt opgenomen wordt schakel ik perdirect een advocaat in om dit probleem verder optelossen.

Tuinslak
09/02/06, 20:22
Origineel geplaatst door McRox
Had je toevallig een simpele root password?

Gezien de OS versie, is het in ieder geval geen "onervaren" hacker..

OS heeft niets met veiligheid te maken... Server is maar zo veilig als je sysadmin het maakt.



Wat ook raar is dat ik in mn ftp een map heb "ssh", met daarin in bestand "know_hosts.

Proficiat, je hebt je eigen home dir geftped?
Ssh en "cd .ssh && ls".


In die bestand zit een ip adres en dan ssh-rsa en dan een hele lange code.
Weet iemand toevallig wat dit betekent?

De host naar waar je SSH'ed en hun keys.
Basic linux kennis, maar goed.


Wat ik me eigen afvraag is wie is dit geweest?
Inhoud ssh/known_hosts :


85.92.134.115 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAs0KZziiL2MxkJ/ClqSiNoMeei4bgSskd52fwSfREUr4LNCmE71XnV0+PGJykuebj T5gU24qX5hJC+0RfI9DehvGdfBC4QtEvyDAy03GIbZXistBpxo KvooG3Vd8Itv70DjrXiCjFterTraG2+10UmXHteBOC5pMHCRAP Sj+kAH0=


Kans klein dat een hacker vanaf jouw server naar z'n eigen host gaat ssh'en ... Lijkt er meer op dat jij naar die server ge'sshed hebt, of dat de hacker je server als proxy server gebruikt heeft.

En blijkbaar al genoeg hulp gekregen, (snel door topic gescrolled), dus veel geluk ermee. :)

McRox
09/02/06, 21:00
Origineel geplaatst door Tuinslak
OS heeft niets met veiligheid te maken... Server is maar zo veilig als je sysadmin het maakt.

OS niets met veiligheid te maken??

Wat voor syadmin je ook hebt, als je OS niet up-to-date is, dan is je systeem toch echt in gevaar..

CentOS 4.2 draaien betekent redelijk up-to-date zijn qua updates, gezien versie 4.2 veel nieuwe rpm's ingebakken heeft.

De meeste hacks komen van oude exploits, gezien hij CentOS 4.2 draait, gaat het hier dus om vrij nieuwe exploits waar de meeste scriptkiddies weinig van weten..

Tuinslak
09/02/06, 21:05
Dat is de taak van de sysadmin, je OS up2date houden.
Ik mag nog steeds een livecd van gentoo 1.4 gebruiken om servers te instaleren, als ik daarna alles update is het alweer veiliger.

IceHosting
09/02/06, 21:18
Beste Mensen,

Mijn partner heeft vandaag contact gehad met de thread starter. Het kwam er inderdaad opneer dat de hacker erg onproffesioneel was.

Ook bleek dat meerdere partijen (degene ie de thread starter ingelicht hadden) gebrek van linux kennis hadden. Zoals Tuinslak al zegt is vanaf deze gekraakte server contact proberen te leggen met een server ondergebracht bij ons.

Er waren dus geen attacks vanaf onze server of van de servers van onze klanten.

McRox
09/02/06, 22:41
Origineel geplaatst door IceHosting
Ook bleek dat meerdere partijen (degene ie de thread starter ingelicht hadden) gebrek van linux kennis hadden. Zoals Tuinslak al zegt is vanaf deze gekraakte server contact proberen te leggen met een server ondergebracht bij ons.

Er waren dus geen attacks vanaf onze server of van de servers van onze klanten.

Lijkt het mij niet bepaald netjes anderen te beschuldigen van gebrek aan linux kennis..

Een (public) rsa key is een manier om zonder password in te loggen op een linux server. Dat het hier om een andere type rsa key gaat, dat zou best eens kunnen (zie ook mijn reply..)

Sowieso zegt dit al genoeg:
"Zoals Tuinslak al zegt is vanaf deze gekraakte server contact proberen te leggen met een server ondergebracht bij ons."

Waarom zou de hacker dat doen? Om het wachtwoord van jullie server te raden zeker? ;)

hostingpower
10/02/06, 14:52
Origineel geplaatst door trebbor


Lijkt me niet echt rendabel om elke nacht 30/50GB over te pompen via het netwerk. 1.5TB per maand ongeveer... Kan je beter met iemand in het dc iets afspreken. Wissel je bijvoorbeeld van elkaar de bestanden uit op een eigen ftp.

Zij backuppen op jouw server en jij backuped op hun server via een intern netwerk. Kost je dus eigenlijk niets.


Wij hebben gewoon een 2e switch gekocht en laten alles via de 2e switch en 2e netwerkkaart backuppen (lokaal). kost geen bandwith en alles staat veilig opgeslagen! Maar volgens mij had icehosting ook zoiets hangen, misschien had je dat als extra dienst bij ze kunnen bestellen.. Nu zit je opgeschept met boze klanten en geen backups!



Origineel geplaatst door McRox


Lijkt het mij niet bepaald netjes anderen te beschuldigen van gebrek aan linux kennis..

Een (public) rsa key is een manier om zonder password in te loggen op een linux server. Dat het hier om een andere type rsa key gaat, dat zou best eens kunnen (zie ook mijn reply..)

Sowieso zegt dit al genoeg:
"Zoals Tuinslak al zegt is vanaf deze gekraakte server contact proberen te leggen met een server ondergebracht bij ons."

Waarom zou de hacker dat doen? Om het wachtwoord van jullie server te raden zeker? ;)

Begin anders eerst met ssh op een nadere poort te laten draaien
install apf en klaar is kees!

Technotop
10/02/06, 15:04
Origineel geplaatst door hostingpower



Wij hebben gewoon een 2e switch gekocht en laten alles via de 2e switch en 2e netwerkkaart backuppen (lokaal). kost geen bandwith en alles staat veilig opgeslagen! Maar volgens mij had icehosting ook zoiets hangen, misschien had je dat als extra dienst bij ze kunnen bestellen.. Nu zit je opgeschept met boze klanten en geen backups!




Begin anders eerst met ssh op een nadere poort te laten draaien
install apf en klaar is kees!

Wij werken ook met een apart netwerk voor backups. Maar even ontopic.

Server is gekraakt.. misschien in de toekomst apf instaleren (apf is ook niet echt secure, tenminste bij lange na ben je er nog niet) Ssh op andere poort kwakken heeft ook maar weinig nut voor een echte hacker. Ssh proto 1 uit mieteren IP protect.. mwa niet echt handig. Stel je bent een keer ergens anders kan je mooi niet op de server komen. Gewoon root goed beveiligen, bruteforce detector er op, firewall er naast draaien, rkhunter instaleren. Rechten veranderen van de tmps/tmp dirs. PHP Beveiligen. Safe Mode aan (optie), je software up2date houden, server kernel ook up2date houden, externe backups elke dag. Liefst ander netwerk maar kan ook het zelfde netwerk.

en dan heb je een redelijk goed beveiligde server denk ik zo :) Echter je bent nooit 100% veilig!

whtrulez
10/02/06, 15:35
Maar volgens mij had icehosting ook zoiets hangen, misschien had je dat als extra dienst bij ze kunnen bestellen.. Nu zit je opgeschept met boze klanten en geen backups!



TS neemt bij leaseweb af (zie post in aanvragen forum), dus niet bij icehosting.

McRox
10/02/06, 19:34
Origineel geplaatst door hostingpower
Begin anders eerst met ssh op een nadere poort te laten draaien
install apf en klaar is kees!

SSH op een andere poort is voor de meeste hackers nutteloos, snel een portscan uitvoeren en je weet de nieuwe poort.

Een firewall is ook niet echt een maatregel waarmee je hackpogingen kunt stoppen, een firewall blokkeert alleen de gewenste poorten..

hostingpower
10/02/06, 20:18
Origineel geplaatst door McRox


SSH op een andere poort is voor de meeste hackers nutteloos, snel een portscan uitvoeren en je weet de nieuwe poort.

Een firewall is ook niet echt een maatregel waarmee je hackpogingen kunt stoppen, een firewall blokkeert alleen de gewenste poorten..

precies, en dan je software nog up to date houden. maar het helpt best veel tegen bots om je ssh poort te veranderen. verder zou je ook Mod_Security kunnen installeren zodat de scriptkiddies niks meer in de tmp partitie kunnen plaatsen.


Origineel geplaatst door whtrulez
Maar volgens mij had icehosting ook zoiets hangen, misschien had je dat als extra dienst bij ze kunnen bestellen.. Nu zit je opgeschept met boze klanten en geen backups!



TS neemt bij leaseweb af (zie post in aanvragen forum), dus niet bij icehosting.

sorry, dan heb ik het verkeerd gelezen!

sander
10/02/06, 20:23
ga elkaar nu niet verwijten het is gewoon de fout van Arto,

als hij zijn zaakjes in orde had was zijn systeem al online of was hij niet gehackt,
als je geen kennis van linux hebt laat je je systeem beheren.

Een sysadmin behoort kennis te hebben van zaken als je commercieel hosting aanbied.
Dan nog bestaat er altijd wel een kans dat je systeem gekraakt kan worden door een nog onbekend public exploit welke een deamon kan treffen die als root draait, maar daar heb je dan je backup weer voor om je systeem online te brengen...

DelTa
20/02/06, 20:55
Ben best benieuwd hoe het is afgelopen.. Als je hulp nodig hebt, stuur ff een PB.. :)

Unixboy
25/02/06, 13:58
Beste topicstarter,

In de toekomst kan ik u aanraden om een diskdump te maken voordat u enige modificaties gaat maken.

Deze kunt u aan de politie afleveren in geval van een Nederlandse hacker.

Een oude RH9 link: oud maar goud (http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/s1-response-invest.html)