Gehacked? Veel GB's traffic per maand!?

**mikeh** · 25/04/09 12:28

Je bent op zeker slachtoffer van een mass RFI scanner.
De ircd waar jij naar geconnect was zit er namelijk vol mee, ze gebruiken de volgende strings;

http://zmeu.eu/dork

Dus 1 of meerdere van je klanten en/of sites draait veroudere vulnerable software / applicatie(s)

**Lite-On** · 25/04/09 12:33

Oorspronkelijk geplaatst door Ronald2

Ik check m'n traffic met VNSTAT en het volgende commando watch -n 1 netstat -ta geeft:

Lijkt erop dat je wat IRC bot's hebt draaien.
Tijdje geleden hetzelfde gezien bij een dedicated server van een klant.
Ongeveer 500KB aan scripts, maar werkt gebruikt voor IRC DCC (filetransfer).

Zoek eens op .rar en .iso files.

**Ronald2** · 25/04/09 12:34

Er zijn geen .rar, .iso of .mp3's te vinden (gelukkig)

**mikeh** · 25/04/09 12:46

Het lijkt me alsnog slim om contact op te nemen met LeaseWeb omtrent je "gehackte" server.
Misschien dat je een regeling kunt treffen omtrent het verbruikte dataverkeer.

Maar op het moment zouden je prioriteiten moeten liggen bij het controleren van je server op mogelijke backdoors en het beveiligen zodat het in de verdere toekomst niet meer gebeurd !

**Japje** · 25/04/09 14:09

herinstall, freelancer zoeken om hem te beveiligen en te onderhouden... klaar

je server draait vast een backdoor, als ie al niet geroot is.. dus doe iedereen een plezier en laat iemand met clue er naar kijken

**RichardVD** · 25/04/09 14:14

todat ik voor maart opeens 600 euri's moest bijbetalen voor het dataverkeer.

Toen ik dat lees dacht ik direct een externe expert inschakelen, die kan je voor minder dan dit bedrag vast van dit probleem afhelpen. Ik zou het risico zeker niet nemen om nog een maand zo'n rekening te krijgen.

**Ronald2** · 25/04/09 15:33

Hulp is on the way; bedankt voor jullie reacties.

Even samenvattend: er draaiden een x-aantal scripts vanuit /tmp die IRC mogelijk maakten. De nodige poorten en IP's zijn geblocked en de scripts zijn verwijderd.

**Japje** · 25/04/09 16:36

kratje pils er op dat ze binnen een week of 2 weer bezig zijn? je hebt waarschijnlijk brakke software zoals joomla, mambo, phpbb of andere zooi die lek is. Dit is een hobbeltje voor de gene die je nu geblokt hebt, maar een andere kan er net zo hard misbruik van gaan maken.

maar je moet het zelf weten, je ziet de rekening van leaseweb vanzelf, en die is duidelijk duurder dan of managed gaan zitten, of er iemand naar laten kijken die weet wat ie doet ;-)

**ichosting** · 25/04/09 16:49

Controleer ook even goed of er geen cronjobs achter blijven in de apache cron.
Sluit deze ook af voor gebruik. Scheelt ook alweer veel ellende met het automatisch herstarten van de processen.

**Ronald2** · 25/04/09 22:58

Cronjob(s) reeds gechecked; deze week kijkt er een linux-nerd naar.

Kratje pils staat; echter die gaat redelijk snel leeg hier :-)

**SF-Jeroen** · 25/04/09 23:38

Poort 6667 , 54000 t/m 54010 en 113 dichtpleuren

**brinkie** · 26/04/09 00:03

@TS - aangezien het een dedicated server is, zou ik

1. het probleem 'terugleggen' bij Leaseweb. Zij zijn (lees eerst even je contract of het zo is) in principe verantwoordelijk voor het up-to-date houden van de server, beveiliging, e.d. en ze hadden m.i. je dan ook veel eerder moeten attenderen op het excessieve dataverkeer (dat kunnen ze toch monitoren!!)

2. als de donder gaan uitzoeken hoe men is binnengekomen. Er werd al gewezen naar (zoals altijd) Joomla, PHPBB e.d. maar mijn ervaring is dat door mensen zelf "gescripte" upload-dingetjes tot de grootste ellende kunnen leiden...

Het weggooien van de scrips helpt niet veel. Zolang je de oorzaak niet kent en wegneemt, blijft je server open staan. Even een "nachtje doorhalen" kan veel ellende besparen,.. mijns inziens heb je niet de tijd om een weekje te wachten op een derde maar moet je dit zelf zo snel mogelijk onder controle zien te krijgen.

**mikeh** · 26/04/09 00:20

Onder welke steen ben jij vandaan gekropen brinkie ?

Je weet toch dat er verschil is in dedicated servers?
Je hebt namelijk managed en unmanaged servers, dit bericht is immers gepost in het unmanaged gedeelte

Leaseweb denkt in gigabytes en terabytes traffic, the more the better, makes it cheap..

@TS;

Suc6 gozer !

**brinkie** · 26/04/09 00:27

Oorspronkelijk geplaatst door mikeh

Je hebt namelijk managed en unmanaged servers, dit bericht is immers gepost in het unmanaged gedeelte

Dit forumdeel heet "(unmanaged) Hosting". Met unmanaged tussen haakjes. Uit TS's post maak ik niet op dat hij een unmanaged server heeft. Als dat wel zo is, dan heeft hij een onjuiste keuze gemaakt want hij kan het klaarblijkelijk niet beheren.

Zo, maar weer terug onder m'n steen dan maar hè?

**mikeh** · 26/04/09 00:33

Begrijpend lezen is inderdaad vak apart.
Deze sectie heet niet voor niks;

Dedicated en VPS (unmanaged) Hosting

Het leek me toch vrij duidelijk dat de TS het over een unmanaged dedicated server heeft, welke in het leaseweb netwerk staat.

Maar genoeg hierover. Get to the roots to fix the problem \!/

Onderwerp Gereedschap

Toon

Onderwerp: Gehacked? Veel GB's traffic per maand!?

Labels voor dit Bericht

Webhostingtalk.nl

Link met ons

Partners

Contact