Onderwerp: Gehackt of niet.

Willem,

Als jouw server spam verstuurt, kan je provider dit gewoon op hun firewall voorbij zien komen.
Stuurt iemand uit jouw naam spam, dan zien ze dit simpelweg niet voorbijkomen, omdat het ergens anders vandaan komt.

Ip-spoofing is een techniek, en geen mythe, en al helemaal geen woord om je eigen gebrek aan netwerkkennis mee te verbloemen.
Als je dit probleem serieus wilt aanpakken, plaats dan een eigen firewall tussen je server en het internet, en kijk daar naar het door je server gegenereerde verkeer, of laat je provider dit doen.
Hiervoor heb je dus geen linux kennis of windows kennis meer nodig, hoef je geen provider op je bak toe te laten, en kun je alle verkeer in mooie taartdiagrammen en overzichtjes uitdraaien.

UDP kun je spoofen.
TCP is vrijwel onspoofbaar.
Dit omdat TCP een reactie verwacht, UDP word gestuurd en mja, je kan dan als source IP eigenlijk alle IP adressen gebruiken als source.
UDP wordt veelal gebruikt voor DDoS aanvallen, omdat het spoofen ervan uiterst simpel is.

Je provider heeft echt niet zelf de port scan waargenomen hoor. En ook de spam melding hebben ze waarschijnlijk niet zelf ontdekt. Er wordt actie ondernomen op basis van abuse meldingen.

Wat rkhunter doet, maar wat je ook zelf in een snel bash script kunt plaatsen is het volgende:

Code:

#!/bin/bash
# look for running process which files have been deleted
echo "";
echo "Searching for running processes of which the executable has been deleted";
for bashpid in `lsof -nP | grep '(deleted)' | grep 'REG' | grep 'txt' | grep -v '/bin/bash' | grep -v '/sbin/brcm_iscsiuio' | awk '{print $2}'`; do
	# we have the pid, get the original location
	bashscript=`lsof -nNp ${bashpid} | grep 'REG' | grep 'txt' | awk '{print $10}'`
	echo "Found: ${bashscript} (deleted)";
	
	# get network connections
	bashnet=`lsof -nP -p ${bashpid} | grep "IPv4" | grep -v "UDP" | awk '{print $8}'`
	echo "WARNING: Script running under PID ${bashpid}";

	# check if any network connections are open
	if [ `echo ${bashnet} | grep -c '[0-9]'` -ne "0" ]; then
		echo "Open network connections from ${bashscript}";
		echo "PID ${bashpid} -- ${bashnet}";                 
	fi
	echo "-";
done
echo "Done.";

Het is bij ons onderdeel van een wat grotere check en ik weet dat het soms wat false positives geeft. Maar over het algemeen is het vrij accuraat en het helpt ons bij het opsporen van dit soort meldingen. Misschien dat anderen hier nog toevoegingen of aanpassingen op hebben. Dit zoekt overigens alleen voor de executables die nog draaien in het geheugen maar verwijderd zijn van de server. Alles wat er nog staat laat dit dus niet zien. Maar het geeft je een idee hoe en wat je kunt zoeken.

Gebruik laatste OpenSSH en OpenSSL ALTIJD wanneer je een schone machine gebruikt.
Compile deze, en configureer om CERTIFICATE ONLY logins te gebruiken voor SSH.
Blokkeer dan de user/pass login, deze is namelijk zo hackable als de pest (uit ervaring).
Certificaat login only is de meest veilige setup, en wellicht moet je eens jailkit googlen en eens bekijken, daarmee kun je hackers het moeilijker maken om je machine in de war te schoppen.