Onderwerp: Hack ... waar ligt het probleem.

Ik heb nu verschillende hacks meegemaakt, steeds dezelfde? Hacker.

Wat gebeurt er:
1 de website is niet meer bereikbaar en er staan plaatjes als inde bijlage op.
2 mail is niet meer bereikbaar
3 Direct Admin is niet meer bereikbaar.
4 CMS (CmsMadeSimple) admin is wél bereikbaar. (niet in alle gevallen geüpdate naar laatste versie.)

Mijn vraag is nu: Waar komt die hacker binnen. Via de CMS, Via DirectAdmin óf via een andere weg.

Wat zijn jullie gedachten hierover?

Beste,

Klikt in eerste instantie als een server die slecht beveiligd is.

- Worden PHP-script onder de standaard apache gebruiker uitgevoerd, of als eigenaar van het script?
- Is CMSSimple volledig up-to-date
- Is de /tmp beveiligd tegen het uitvoeren van scripts. Dit voorkomt dat script zichzelf kunnen uploaden en daarna kan worden uitgevoerd.
- Zijn er plugins van derde geïnstalleerd.
- Kijk in de logbestanden van je webserver.
- Installeer een goede firewall.
- Reset alle wachtwoorden. Oudere versies van bepaalde FTP-clients en e-mailclients zijn lek. Update de betreffende software.

En zo kun je nog wel even doorgaan.

Dit soort defaces gaan over het algemeen volledig automatisch en in dit geval denk ik dat het vrijwel zeker komt door verouderde versies van CmsMadeSimple.

En voor de rest wat Frank zegt.

Oorspronkelijk geplaatst door Domenico

Dit soort defaces gaan over het algemeen volledig automatisch en in dit geval denk ik dat het vrijwel zeker komt door verouderde versies van CmsMadeSimple.

En voor de rest wat Frank zegt.

Direct Admin is niet meer bereikbaar.

Een CMS met toegang tot DA of Shell? Ik zou meer zoeken naar een ssh breach, misschien te simpel wachtwoord?

Oorspronkelijk geplaatst door CharlieRoot

Een CMS met toegang tot DA of Shell? Ik zou meer zoeken naar een ssh breach, misschien te simpel wachtwoord?

Of gewerkt op een door een virus, malware of spyware geïnfecteerd systeem en/of een onveilig (openbaar) Wifi netwerk? Hoe is de hacker (scriptkiddie) binnen gekomen?

Je website is dan niet goed beveiligd, is een XSS injectie mogelijk? Zo kan je geloof ik ook een website defacen.

Kan ook via ftp zijn, de ftp-log kan hierover uitsluitsel geven. In dat geval is er sprake van een achterhaald ftp wachtwoord door malware of ftp via openbare wifi.

Wat je ook doet, kijk eerst goed hoe de hacker binnen gekomen is. Zoek logbestanden, tijdstippen en gewijzigde bestanden en doe een analyse.

Ik zoek meestal in gewijzigde bestanden en kijk dan naar de timestamp, dat is mijn eerste stap. Je ziet dan vaak ook al welke website gebruikt is om binnen te komen. Ga met deze timestamp eens door alle logfiles greppen en verzamel zo nog meer gegevens.

Doe ook een virus scan en pak de timestamps van alle gevonden bestanden.

Vervolgens weet je welke website als eerst misbruikt is en hoe ze te werk gegaan zijn. Daarna kan je maatregelen gaan nemen. Als hij echt heel ver gekomen is dan zou ik overwegen om een nieuwe server install te doen en de websites over te zetten, compleet met nieuwste software en nieuwe wachtwoorden.

Sent from my GT-I9505 using webhostingtalk mobile app

Het is voor ons een beetje gissen wat er is gebeurd, beste kan je inderdaad in de logs gaan kijken. Maar als Direct Admin ook stuk is is een complete herinstallatie denk wel aangeraden.

Naast het draaien van Mod Security is een webhost specifieke virus/exploit scan ook aan te raden. Heb zeer goede ervaring met ConfigServer eXploit Scanner kost bijna niets en haalt de meeste infecties weg voordat ze iets gedaan kunnen hebben.
Al staat in de beschrijving dat het cPanel nodig hebt werkt CXS ook zonder problemen inclusief de interface met Direct Admin.