Nieuws
image

Wat te doen als je server gehackt is

donderdag 24 maart 2005, 13:00 door Redactie, 16 reacties

Het is de nachtmerrie van elke systeembeheerder, een gehackte server. Een nachtmerrie die voor Brice Burgess werkelijkheid werd. Iemand wist zijn webserver te hacken en de websites van verschillende klanten te defacen. Nu had de aanvaller ook stilletjes een rootkit kunnen plaatsen, maar in plaats daarvan maakte hij zich "bekend". Toch is het gebruik van software om te integriteit te testen, zoals chkrootkit en tripwire geen overbodige luxe. Het eerste wat Burgess deed na ontdekking dat de machine getroffen was, deze van het netwerk te verwijderen. Daarna begon hij met het onderzoeken van de server om te kijken hoe de aanvaller was binnengekomen en wat hij allemaal op de machine gedaan had. De volgende stap bestond uit het schoonmaken en beveiligen van de webserver om die daarna weer "live" te gooien. In dit artikel geeft Burgess tips wat er gedaan kan worden als een server gehackt is.

Reacties (16)
24-03-2005, 13:31 door Anoniem
Wie zegt dat je precies kan nagaan wat er is gebeurd? Dat is
vrijwel onmogelijk!!!!! Doe een clean install en ja raak al
je data kwijt :P
24-03-2005, 14:00 door Su-Root
Neem maar van mij aan dat je voor 99% kunt nagaan wat er allemaal is
gebeurd...mits je natuurlijk verstand van zaken hebt!
24-03-2005, 14:21 door Anoniem
Door Su-Root
Neem maar van mij aan dat je voor 99% kunt nagaan wat er
allemaal is
gebeurd...mits je natuurlijk verstand van zaken hebt!
En neem maar van mij aan dat je zonder een clean install te
doen er nooit zeker van kunt zijn dat je alles gevonden hebt.

Een clean install, van geverifieerde media, is verplicht!
24-03-2005, 14:32 door Jeroen Wijnands
Wel lef om een bak weer schoon te maken.
24-03-2005, 15:15 door Anoniem
Jup, ik zou ook voor een clean install gaan. Zeker als die
awstats vulnerabilities je nog niet bekend waren...
24-03-2005, 16:20 door Su-Root
Ik zei dus 99%
24-03-2005, 16:44 door Anoniem
Ze bedoelen dus wat te doen als je server gecrackt is. Dat
is een nachtmerrie.
Als je server gekraakt is heb je deze zeer waarschijnlijk
niet of niet goed genoeg gehacked.
Nu hebben de meeste artikelen op deze site dan wel het
niveau 'persbericht' voor het gewone volk: het kan echter
worden overdreven.
24-03-2005, 16:44 door Anoniem
Door Su-Root
Neem maar van mij aan dat je voor 99% kunt nagaan wat er allemaal is
gebeurd...mits je natuurlijk verstand van zaken hebt!
Hehe, die 1% is het gevolg van een rm -rf .* :)
24-03-2005, 16:50 door Anoniem
Wat een mazzel, hij heeft de tijd hiervoor.

En ik maar denken dat een server service moet leveren en dus zo snel
mogelijk weer in de lucht moet zijn.
Dus schijven verwisselen, restore uitvoeren en back in business.

En de schijven door een forenische specialist laten onderzoeken.
(vooropgesteld dat dit de moeite waard is.)

Willem
24-03-2005, 17:16 door Anoniem
Eh delogger :)


Brazilliaanse stuff
24-03-2005, 20:41 door GateHawk
Door Anoniem
Wat een mazzel, hij heeft de tijd hiervoor.

En ik maar denken dat een server service moet leveren en dus
zo snel
mogelijk weer in de lucht moet zijn.
Dus schijven verwisselen, restore uitvoeren en back in business.

En de schijven door een forenische specialist laten
onderzoeken.
(vooropgesteld dat dit de moeite waard is.)

Willem
Inderdaad, de downtijd zuigt. Altijd verwachten ze weer van
je dat die bak zo snel mogelijk weer online is. Soms heb je
gewoon geen tijd voor een clean-install. Zorg dus altijd dat
je hier op voorbereid bent!! Het kan iedereen overkomen.
24-03-2005, 21:06 door Anoniem
Door GateHawk
Inderdaad, de downtijd zuigt. Altijd verwachten ze weer van
je dat die bak zo snel mogelijk weer online is. Soms heb je
gewoon geen tijd voor een clean-install. Zorg dus altijd dat
je hier op voorbereid bent!! Het kan iedereen
overkomen.
Je moet inderdaad rekening houden met
crackers, scriptkids en ander gespuis en zaken extra achter
de hand houden zodat je daadwerkelijk prompt de dienst weer
online hebt door van harddisk te wisselen. Dat geeft je ook
tijd om e.e.a. forensisch te (laten) onderzoeken, zodat dit
in vervolg kan worden voorkomen.
26-03-2005, 22:19 door Anoniem
Simpel....
Kijken waarom de server gehacked kon worden. Dan het backup
systeem direct actief maken met de update's en aanpassingen.
want.....prof. workers have a backup system... Als je dat
niet hebt.... waar ben je dan mee bezig....
26-03-2005, 22:26 door Brugman
Door Su-Root
Ik zei dus 99%

Blijft erg hoog. Ook kennis van forensics begint mode te worden.
28-03-2005, 13:48 door Anoniem
Door Anoniem

Simpel....
Kijken waarom de server gehacked kon worden.

Da's inderdaad de meest belangrijke stap. Waarom?
Anders restore je het systeem naar een vulnerable state (die
bak was toch gehekt? Nou dan..)
28-03-2005, 16:32 door Anoniem
En niet alleen een backup systeem.
Een beedje provider zorgt dat hij reserve servers heeft klaarstaan zodat in
de tussentijd dat de gehackte bak uit het rek gehaald wordt en onderzocht
wordt. door zooi gewoon kan doordraaien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure