Nieuws

Hoe je een gehackte Linux server kunt herstellen

dinsdag 18 juli 2006, 10:29 door Redactie, 9 reacties

Elke systeembeheerder doet zijn of haar best om het systeem zo goed mogelijk te beveiligen. Toch kan het voorkomen dat hackers toeslaan. Bijna alle experts zijn het er in deze situatie over eens dat het systeem opnieuw geinstalleerd moet worden, omdat je nooit 100% weet wat een aanvaller allemaal heeft aangepast.

Zelfs een gecompromitteerd systeem bevat waardevolle informatie die inzicht geeft over de aanval en hoe dit in de toekomst voorkomen kan worden.

Systeembeheerder Marius heeft ervaring met het herstellen van gehackte Linux servers. Hij gebruikt het volgende plan van aanpak om een hack te onderzoeken:

Geen paniek, bedenk wat je gaat doen

Haal het systeem uit het netwerk

Zoek uit hoe men is binnengekomen

Stop alle scripts van de aanvaller en verwijder zijn bestanden

Herstel services die niet getroffen zijn

Verhelp het probleem dat de hack mogelijk maakte

Herstel de getroffen service

Monitor het systeem

Microsoft klaagt software piraten aan

Hittegolf en bliksem vergroten kans op data-verlies

Reacties (9)

18-07-2006, 10:40 door SirDice

Stop alle scripts van de aanvaller en verwijder zijn bestanden

Dan moet je ze wel allemaal kunnen vinden wat niet altijd even makkelijk is.

Beter is om gewoon je belangrijke bestanden te backuppen (als je het goed doet gebeurd dat al) en een herinstallatie doen. Dan weet je tenminste zeker dat je niet per ongeluk een achterdeurtje bent vergeten. It's better to be safe than sorry.

18-07-2006, 12:08 door Anoniem

Onzin als je server gehacked is, dan moet em opnieuw
installeren. Uiteraard wel de oorzaak achterhalen van de
hack. Je kan namelijk niet uitsluiten of er nog een backdoor
ERGENS in zit.

18-07-2006, 12:40 door Anoniem

ok, maar in de praktijk?
hoeveel mensen installeren de server opnieuw _zonder_ uit te
zoeken wat de oorzaak was?

18-07-2006, 13:12 door egeltje

bijvoorbeeld in de handige 'ls' utility.

18-07-2006, 13:43 door Anoniem

Er wordt inderaad vergeten toe te voegen dat men NA het
monitoren de server geheel opnieuw dient te installeren
omdat je nooit en tenimmer weet of het systeem veilig is.
Mede door de rootkits die geinstalleerd kunnen zijn.

18-07-2006, 13:44 door awesselius

In het Nederlandse Linux tijdschrift "Linux Magazine" stond
vorig jaar of anderhalf jaar terug ook een 'scenario' van
een gehackte Linux server. Ook hier werd enigzins duidelijk
wat voor een stappen er te nemen zijn om zowel sporen als
data te behouden, maar wel zo spoedig mogelijk de boel weer
werkend en clean te krijgen.

Het is niet makkelijk, daarom is het belangrijk een aparte
logserver te hebben waarheen zoveel mogelijk gegevens gelogd
worden. Je kunt zo'n logserver zo goed als onzichtbaar maken
binnen je netwerk, zodat men geen sporen kan wissen waar men
bij kan. Zie het volgende artikel:

http://www.linuxjournal.com/article/6222

Maar dan nog... als je een gehackte server hebt, heb je grotere problemen en is het traject eerder al ergens foutgelopen (patchen, scannen, logfiles checken, backuppen enz.)

- Unomi -

18-07-2006, 14:16 door Anoniem

Er verschijnen vaak van dit soort zogenaamde handige berichtjes, waarin
grove stappen beschreven staan. Die komen altijd neer op:
- bekijk wat je hebt
- wat je wilt hebben
- bedenk een plan
- voer het uit
- bekijk afwijkingen

De stappen zijn doorgaans zo algemeen beschreven dat ze neerkomen op
het aloude Nederlandse 'bezint eer ge begint'. Wat mij betreft hebben
artikelen zoals dit van Marius weinig toegevoegde waarde voor degene die
het echt nodig hebben. Het enige doel dat dit soort artikelen volgens mij
dient, is naamsbekendheid van de schrijver en weer x hits op diverse
webvertenties.

18-07-2006, 14:45 door Anoniem

Zet een iets zwaardere server neer, installeer VMware
servertje (gratis te downloaden bij VMware.com). *nix distro
(linuxiso.org) erop en na installatie een snapshot draaien.
Bij een gecompromitteerde bak, snapshot terugzetten, binnen
een kwartier volledig up and running. Wel ff patchen nog
natuurlijk... zo kan je analyseren, installeren en
controleren in een zeer krappe tijdsspanne

Met vriendelijke groet,

19-07-2006, 18:36 door G-Force

Door SirDice

Stop alle scripts van de aanvaller en verwijder zijn
bestanden

Dan moet je ze wel allemaal kunnen vinden wat niet
altijd even makkelijk is.

Beter is om gewoon je belangrijke bestanden te backuppen
(als je het goed doet gebeurd dat al) en een herinstallatie
doen. Dan weet je tenminste zeker dat je niet per ongeluk
een achterdeurtje bent vergeten. It's better to be safe than
sorry.

100% mee eens. Ook het ISC geeft dit advies. Bij een
compromittering van een systeem kan het beste alles opnieuw
geïnstalleerd worden. Dan weet je ZEKER dat er geen
achterdeurtjes, bots e.d. zijn achtergebleven.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer