Onderwerp: hacker

Hoi,
Op een van mn gameserver host pc's komt af en toe een hacker. Ik heb gisteren zijn Ip te pakken gekregen tijdens een nieuwe aanval, en wil dit aangeven.
Maar mijn vraag is, hoe kan ik me beveiligen?
Het is Windows server, maar de hacker kwam niet via remote access binnen. Via een of ander process daarintegen wel: system proces. Er staat geen apache op de server dus geen phplek of dergelijke.
Als de hacker binnen is begint hij aantal systeem processen te starten. Hoe weet ik niet

Ip in de firewall opnemen zodat alles daarvan geblokt wordt..
Daarnaast uitzoeken hoe die dan wel binnenkomt, om andere aanvallen vanaf anders ips ook niet meer zullen lukken.

mja ik heb het over het vinden van die manieren dat hij binnenkomt want hij switched nogal makkelijk van IP
het enige wat ik weet: System Process

Lijkt mij sterk dat het een hacker is, eerder een cracker.

Verder moet je die server offline halen, een image van de schijf maken en geheel opnieuw installeren. Jij weet immers niet of er een backdoor draait..

Verder doe je er goed aan om een firewall te gebruiken waar je alle niet gebruikte poorten in afsluit. En alle niet benodigde services stop.. en dat ding up to date hou..

cracker/hacker: gewoon iets dat er niet moet zijn

Server offline halen en dan image maken en dan herinstalleren, lijkt dan alsof je precies zelfde krijgt als ervoor

Is er geen tool om te kijken welk systeemproces gebruikt wordt?

Het verschil tussen hacker en cracker is groot.

Je zet natuurlijk niet het image terug wat je er vanaf haal. Dat image bewaar je voor eventuele bewijsvoering. Installeren doe je vanaf known good media, dus bij voorkeur de originele CD's.

Kijk eens op sysinternals.com

Nou, http://en.wikipedia.org/wiki/Hacker en http://en.wikipedia.org/wiki/Cracker_%28computing%29 en nu verder ontopic...

op het gevaar af van een beetje off-topic te gaan zou ik de volgende suggestie willen doen: gooi je windows er af en installeer bv. een linux systeem.

los daarvan, begin al eens met een degelijke firewall te zetten, zorg dat je alle security updates van je vendor installed hebt staan etc.

vaak staan er zaken als MS-SQL server etc. volledig open voor de buitenwereld terwijl bv. alleen een ASP of PHP script daar moeten aankunnen. Je kan zo'n dingen normaal afsluiten voor connectie vanop het externe netwerk etc.

en lukt het je niet zelf ? betaal dan iemand met kennis van zake, die kost zal op lange termijn goedkoper zijn dan er elke keer opnieuw aan moeten beginnen

cheers,

Pepijn
housingcenter.be

Oorspronkelijk geplaatst door pepijnPalmans

op het gevaar af van een beetje off-topic te gaan zou ik de volgende suggestie willen doen: gooi je windows er af en installeer bv. een linux systeem.

los daarvan, begin al eens met een degelijke firewall te zetten, zorg dat je alle security updates van je vendor installed hebt staan etc.

vaak staan er zaken als MS-SQL server etc. volledig open voor de buitenwereld terwijl bv. alleen een ASP of PHP script daar moeten aankunnen. Je kan zo'n dingen normaal afsluiten voor connectie vanop het externe netwerk etc.

en lukt het je niet zelf ? betaal dan iemand met kennis van zake, die kost zal op lange termijn goedkoper zijn dan er elke keer opnieuw aan moeten beginnen

cheers,

Pepijn
housingcenter.be

hierbij wil ik je nomineren voor het meeste BS antwoord, dit slaat echt als een lul op een drumstel!
Hij moet gewoon zn firewall goed dichtzetten, alle poorten dichtzetten die niet nodig zijn en alle niet gebruikte programma's/componenten deinstalleren!

Oorspronkelijk geplaatst door pepijnPalmans

op het gevaar af van een beetje off-topic te gaan zou ik de volgende suggestie willen doen: gooi je windows er af en installeer bv. een linux systeem.
[/URL]

Bullshit,

installeer je een linux systeem zonder hem te securen is hij even lek. Geen enkel besturingsysteem kan je lekvrij maken tenzij je hemniet in een netwerk hangt.
Installeer een goeie firewall en vooral: stel hemgoed in. Kan je het niet zelf besteed het uit! De security is al een heel groot deel om een hostingbedrijf een befaamde naam te geven. Daar moet je dus wat geld voor geven of zelf leren.

Hou je ook veel bezig met het updaten van de gebruikte beveiligingsprogramma's.

What the fuck zijn dit voor adviezen? Beetje op een wetenschappelijke toon "hmm, dit lijkt me eerder een cracker". Ja dus? Lost dat iemands probleem op?

Of dan "installeer je hele server opnieuw"?! Jullie weten niet eens wat er aan de hand is. De TS geeft aan dat hij "System Process" weet. Wat? Wat weet je? Je leest de verkeerde dingen uit. Ga eens kijken waar het proces staat dat er draait, vanuit welke map, kijk hoe het erin is gekomen (logs anyone?) en zorg dat je begrijpt wat er aan de hand is.

Je kunt wel weer uren bezig zijn met een verse install, maar als het lek dan in een van je gameservers zit is je server zo weer "gecracked". (hhh, het is gewoon gehacked jongens)

http://www.microsoft.com/technet/sys...s/default.mspx

Zeer handige programma'tjes om het e.e.a. te achterhalen.

Oorspronkelijk geplaatst door Cybafish

Of dan "installeer je hele server opnieuw"?! Jullie weten niet eens wat er aan de hand is. De TS geeft aan dat hij "System Process" weet. Wat? Wat weet je? Je leest de verkeerde dingen uit. Ga eens kijken waar het proces staat dat er draait, vanuit welke map, kijk hoe het erin is gekomen (logs anyone?) en zorg dat je begrijpt wat er aan de hand is.

Cert is het met mij eens

Steps for Recovering from a UNIX or NT System Compromise:
http://www.cert.org/tech_tips/win-UN...ompromise.html

Trouwens, beetje cracker wist zijn sporen.. Veel plezier dus bij het doornemen van je logs.

Oorspronkelijk geplaatst door Cybafish

What the fuck zijn dit voor adviezen? Beetje op een wetenschappelijke toon "hmm, dit lijkt me eerder een cracker". Ja dus? Lost dat iemands probleem op?

Het wordt tijd dat men de juiste terminologie gaat hanteren. Dan weten we tenminste allemaal waar we het over hebben..

Oorspronkelijk geplaatst door Cybafish

What the fuck zijn dit voor adviezen? Beetje op een wetenschappelijke toon "hmm, dit lijkt me eerder een cracker". Ja dus? Lost dat iemands probleem op?

Of dan "installeer je hele server opnieuw"?! Jullie weten niet eens wat er aan de hand is. De TS geeft aan dat hij "System Process" weet. Wat? Wat weet je? Je leest de verkeerde dingen uit. Ga eens kijken waar het proces staat dat er draait, vanuit welke map, kijk hoe het erin is gekomen (logs anyone?) en zorg dat je begrijpt wat er aan de hand is.

Je kunt wel weer uren bezig zijn met een verse install, maar als het lek dan in een van je gameservers zit is je server zo weer "gecracked". (hhh, het is gewoon gehacked jongens)

Helemaal mee eens!
Iedereen heeft hier maar een server, doet maar aan hosting, maar zodra er iets 'technisch' aan de hand is, rent iedereen huilend naar een forum en klampt zich vast aan hetgeen anderen (zelfde soort personen) denken en vinden. Als je niet weet hoe je een auto moet repareren, ga je toch ook geen garage beginnen, of wel?

Ik hoor de meest geinige dingen hier zoals 'ip te pakken gekregen na een nieuwe aanval'.... sorry hoor... maar dat ip had je al na de eerste keer uit je logfiles moeten halen en blocken. Desnoods het hele subnet. Pff... ik heb servers waarop 99% van de wereld geblocked is omdat ik daar geen zaken met doe en ze zelfs de processortijd van de firewall niet eens waard zijn.

Trouwens... een weetje: elke hacker/cracker doet zijn werk vanaf een andere gehackte ketel. Zelfs als het zijn eigen werkstation is. Dat is een heel handige truuk om de kosten van tracken/vervolging minstens 25 keer zo duur te maken.

Maarja... wat nu? De 'goede' oplossing is natuurljk de minst prettige, duurste, ingewikkeldste etc...
Dat zijn dingen zoals loskoppelen van het net, image maken, schadeinventarisatie (anders heb je geen **** om aan te geven en kun je jezelf de moeite besparen), checken wát gecompromiteerd is en a.d.h.v. die informatie besluiten of je de boel opnieuw installeert of niet. Firewall erbij, IDS voor extra informatie over de hackpogingen, loggen 'overal' op max zetten voor een tijdje.
Herinstallatie moet je altijd doen als je niet minimaal een valid checksumlijst van alle bestanden hebt. Als je niet weet wát er waarmee gebeurd is, is het per definitie onbetrouwbaar geworden. Punt.

Misschien heb je hier nog iets aan:

http://www.cert.org/tech_tips/root_compromise.html
http://www.cert.org/tech_tips/intrud...checklist.html

Of lees gewoon die hele site eens.... werkdag is nu toch voorbij :P

Succes en alvast sorry als iemand zich stoort aan mijn opmerkingen.

De goedkopere manier is reinstal en firewall, backup erovereen...

edit: veel tekst... veel typo's ...

Oorspronkelijk geplaatst door crazycoder

Cert is het met mij eens

Steps for Recovering from a UNIX or NT System Compromise:
http://www.cert.org/tech_tips/win-UN...ompromise.html

Trouwens, beetje cracker wist zijn sporen.. Veel plezier dus bij het doornemen van je logs.


Het wordt tijd dat men de juiste terminologie gaat hanteren. Dan weten we tenminste allemaal waar we het over hebben..

Je mist mijn punt. Het is totaal niet relevant in dezen. Inplaats dat je een gedegen advies geeft lul je maar wat in het rond over terminologie. Hoe belangrijk is dat nu helemaal? Als 99% van de bevolking het heeft over een 'gehackte server', wat maakt het dan nog uit?

En logs, tja, er zijn niet alleen logs op de server zelf, er zijn ook access logs van switches/routers etc. Dan weet je al op wat voor poort er het e.e.a. gebeurt, dan kun je kijken of er iets draait op een poort, etc. Er zijn zoveel mogelijkheden, je moet toch ergens beginnen. Maar zeker niet nadenken over of het een hacker of een cracker was danwel je hele server opnieuw installeren zonder dat je weet wat er aan de hand is.