Graag komen wij in contact met iemand die ons zsm kan helpen met een server die gehackt is.
Server is gehackt en log bestanden missen.
Directadmin centos 5.x
Server ligt plat en we weten niet hoe we het op moeten lossen.
HELPP!!!
Graag komen wij in contact met iemand die ons zsm kan helpen met een server die gehackt is.
Server is gehackt en log bestanden missen.
Directadmin centos 5.x
Server ligt plat en we weten niet hoe we het op moeten lossen.
HELPP!!!
Misschien handig om te vermelden in welk datacenter je server hangt.
Sudus Internet voor bijna alle internet diensten.
Als een server gehacked is, dan is de enige beste oplossing een schone installatie en de backups terug plaatsen. Je vind toch niet altijd alles om de server weer schoon te krijgen. Blijft altijd een gevaar.
Ik heb net mijn provider gesproken die gaat een reinstall doen.
Maar er zit toch ergens een lek en zal ik na backup toch weer een lek hebben.
Dat klopt, maar zoals je nu al zegt, missen de logs. Dus je kunt niks onderzoeken nu. Na een herinstall kun je dan proberen te achterhalen wat er gebeurt als het opnieuw begint. Wordt troubleshooting dan
Bij een installatie laat deze alvast goed opzetten met de nodige beveiliging. Denk bijvoorbeeld al even aan php scripts onder eigen user draaien, permissies van files/bin's, ... etc
Maar vergeet ook niet dat een server ook up to date moet gehouden worden.
Heb je directadmin, en heb je proftpd niet geupdate de laatste 2 weken (ongeveer) dan is het grote kans dat ze via jouw FTP server root dingen gedraaid hebben.
Wil gerust een schone DirectAdmin installatie zo voor je opleveren met extra beveiliging, inclusief firewall... Kost je niets, en kan je gelijk goed starten! (PM/mail gerust)
Zorg wel dat het geheel goed onderhouden wordt, dit kan je zelf doen of uitbesteden.
Wellicht was het misschien handiger om het lek dan eerst te vinden.
Paar generieke lekken die indirect voorkomen uit directadmin die ik weet zijn proftpd, phpmysqladmin, roundcube dus als je een een reinstall doet met nieuwe directadmin en laatste versies van services dan zou je daar geen last van moeten hebben.
Tja als het lek in een website zit dan zou je misschien de backups eerst nog door een virusscan kunnen halen voordat je ze terug zet. Daarnaast zul je waarschijnlijk alle wachtwoorden moeten resetten.
Ik ben ook best bereid om wat beveiliging op de nieuwe machine te doen netzoals Tim ook aanbied, mocht je dit graag willen.
Belangrijk is dat je de machine up to date houdt. Dit kan bijvoorbeeld door je in te schrijven op mailinglijsten van bijvoorbeeld Directadmin (als je die software gebruikt), wanneer er nieuwe updates van software die aan boord zit uitkomen.
Zo is er onlangs inderdaad een nieuwe ProFTPD uitgekomen die een aantal lekken dicht, en het probleem wat jij beschrijft is op de Directadmin forums al eens eerder langsgekomen en viel eigenlijk terug te redeneren op een niet gepachte machine.
Mocht je hulp nodig hebben, schiet me dan gerust even aan, dan maak ik zometeen even tijd voor je