Onderwerp: Gekraakt

ik neem aan dat ik ben gekraakt.
Gedeelte van het inhoud van mn hd is verwijderd.
ik kan niet als admin inlioggen op direct admin.
wel ssh
public_html map is verwijderd, er zitten rare bestanden in ftp
kan iemand mij aub dringend helpen via msn
ik kom er niet uit

iemand die wilt helpen graag msn adres per prive bericht verzenden.

aub

Je bent waarschijnlijk gehacked inderdaad. Welk OS en welke kernel versie heb je?

CentOS 4.2
Dell PE850
Linux

Had je toevallig een simpele root password?

Gezien de OS versie, is het in ieder geval geen "onervaren" hacker..

Zeker weten geen simple root wachtwoord.
Weet iemand toevallig hoe ik een nieuw admin kan aanmaken in Direct Admin.

Wat ook raar is dat ik in mn ftp een map heb "ssh", met daarin in bestand "know_hosts.

In die bestand zit een ip adres en dan ssh-rsa en dan een hele lange code.
Weet iemand toevallig wat dit betekent?

Hoe kan ik cheken door welke ip ik ben gehacked en rond hoelaat het gebeurt is.

PhpBB installed misschien?

Mijn klanten wel ja niet alleen phpBB ook andere php forums.

>Weet iemand toevallig wat dit betekent?

Een mogelijke authenticatie methode om zonder wachtwoord (vanuit een bepaald ip) in te loggen op de server..

Gezien je allerlei rare bestanden op schijf hebt, kan het van alles zijn.

Wellicht dat je een lijstje kunt maken met onbekende bestanden in /dev/shm of /tmp of je ftp account?

Heb je nog wel root access?

En is je admin password ook moeilijk te raden?

Advies: huur iemand met ervaring in om je OS na te lopen op backdoors, beveiliging erop en toch maar een systeembeheerder regelen voor het nodige onderhoud!

Allerbeste is schone OS installatie en vanuit daar alles beveiligen. Het lijkt me niet dat je iemand gaat vinden die dit voor niets gaat doen voor je, dit is toch wel fors wat uurtjes werk.

ik heb je een PM gestuurd met mijn MSN. Vind dit altijd wel leuk werk.

De beste oplossing is uithuilen en opnieuw beginnen. Als je dit wil herstellen dan kan ik je verzekeren dat er gaten blijven in het systeem.

Heb je niet iets draaien als afick zodat je snel een overzicht kan genereren van nieuwe/verwijderde/aangepaste bestanden?

Je moet in zo'n situatie kijken naar waardoor is dit gebeurd (om hier van te leren en bij je volgende installatie te beveiligen), wat kan ik aan data redden waarvan ik zeker weet dat heet programma's zijn waarmee je weer gaten kan openen, kortom je red alleen data.
Daarna ga je opnieuw beginnen en ik kan je aanraden net als mensen voor mij zorg dat de installatie wordt gedaan door iemand met veel verstand van servers aan publieke netwerken.

Origineel geplaatst door Arto
ik neem aan dat ik ben gekraakt.
Gedeelte van het inhoud van mn hd is verwijderd.
ik kan niet als admin inlioggen op direct admin.
wel ssh
public_html map is verwijderd, er zitten rare bestanden in ftp
kan iemand mij aub dringend helpen via msn
ik kom er niet uit

iemand die wilt helpen graag msn adres per prive bericht verzenden.

aub

lijkt er inderdaad op of je gehacked ben. Om alles goed dicht te gooien:
- installeer Mod_Security
- Installeer APF
- Zet php Openbasedir aan
Install ook ff rootkit en kijk even of je nog niet geroot bent!
http://www.rootkit.nl

Origineel geplaatst door Arto
Zeker weten geen simple root wachtwoord.
Weet iemand toevallig hoe ik een nieuw admin kan aanmaken in Direct Admin.

Wat ook raar is dat ik in mn ftp een map heb "ssh", met daarin in bestand "know_hosts.

In die bestand zit een ip adres en dan ssh-rsa en dan een hele lange code.
Weet iemand toevallig wat dit betekent?

Hoe kan ik cheken door welke ip ik ben gehacked en rond hoelaat het gebeurt is.

Kopieer die map ssh eens snel naar een windows systeem en verwijder die map daarna van de server. Controleer ook hoe de bestanden op je server zijn gezet die je niet kunt verklaren en geef ze minstens een chmod 000.

Het beste is een kopie van de hardeschijf maken voor onderzoek na de tijd en nu het systeem opnieuw installeren (hopelijk heb je backups van voor de problemen).

Ondaks ik het map ssh en het bestand "known_hosts" verwijderd heb is mn server totaal naar de klote.
home dir is compleet geleegt.
Helaa kan ik ook het mysql database's niet backupen, die zijn ook geleegt.
Dus alles naar de klote.

Ik heb mn server via APC nu ofline gezet.
Morgen re-install
Alles overnieuw, dus alle data weg ik had geen backups.

Wat ik me eigen afvraag is wie is dit geweest?

Inhoud ssh/known_hosts :

Code:

85.92.134.115 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAs0KZziiL2MxkJ/ClqSiNoMeei4bgSskd52fwSfREUr4LNCmE71XnV0+PGJykuebjT5gU24qX5hJC+0RfI9DehvGdfBC4QtEvyDAy03GIbZXistBpxoKvooG3Vd8Itv70DjrXiCjFterTraG2+10UmXHteBOC5pMHCRAPSj+kAH0=

85.92.134.115 verwijst naar Hostlab BV
www.hostlab.nl
Kan ik dit nog bewijzen en schade vergoeding terug krijgen?

Nu is mn vraag wat moet ik doen om mn server in het toekomst te beveilligen, dit is echt klote.

woei DirectAdmin, altijd uitkijken voor admin/reseller account passwords. Toevallig vandaag weer alles opnieuw ingevoerd. Lange en complexe wachtwoorden en verander deze eens in het half jaar of zelfs nog vaker.

In iedergeval success. Probeer ook een externe backup te regelen. Vaak kan dit wel bij je coloboer.

Succes in iedergeval!