Server volledig gehackt

    Beste,

    Gisteren om 16u02 is onze server gehackt en alles verwijderd. (Er is niets van de server gedownload) Mijn vraag is nu hoe kan ik er achterkomen hoe ze in de server zijn geraakt, en hoe ik kan vinden wie dit gedaan heeft.

    Zelf heb ik al ingelogd op DA (DirectAdmin) maar kan daar in de logs zelf niets vinden wel vindt ik in die logs dat de persoon al de gebruikers heeft verwijderd. Maar voor de rest kan ik geen IP-adres
    of iets anders vinden. Zijn er nog manieren om ergens in de logs te kijken?

    Wachtwoorden van de server zelf waren redelijk sterk was een wachtwoord van 21 karakters en het ander wachtwoord had 10 karakters met hoofdletter, cijfers en kleine letters. Deze wachtwoorden zijn nu wel allemaal veranderd moet ik nog stappen ondernemen voor te kijken of de hacker iets heeft toegevoegd aan de VPS?

    Met vriendelijke groeten

    rkhunter draaien, die scant op exploits namelijk.

    Verder zou je K.Rens kunnen vragen om hulp, die is redelijk bekend met rootkits en het linux systeem.
    Hij heeft mij ook al een aantal keer succesvol geholpen dus is zeker de moeite waard ;)

    Citaat van tcbhome

    Op de server staat alleen een online maffia spel voor de rest niks.


    Zelf dacht ik eerst dat het voor de source te stelen was, maar er is namelijk niks gedownload van server gewoon alles is verwijderd.

    Mvg

    Als het het spel opensource is, heb je al een possibiliteit.

    Bewerkt één keer, laatst door Stanvk (10 april 2013 om 18:46).

    Heb je backups? Heeft er iemand anders een wachtwoord die op de server heeft kunnen inloggen?
    Er zijn een aantal tools voor dit, maar ik denk dat Koen (Zoals Fils al zei) daar meer verstand van heeft.
    Ik zou inderdaad wel even alles scannen voor het geval de hacker andere content heeft overgezet. Ook de bestaande bestanden, aangezien die nu besmet kunnen zijn.

    Stanvk
    Bruteforce is anders ook niet echt relevant. Zo kunnen we nog wel 50 andere dingen uitsluiten.

    Edit
    Het is mogelijk dat er een exploit in die opensource crime is.. Daar zit je lek dan misschien. ;)

    - Excuses Ferhat, niet goed gelezen. ;)

    Met vriendelijke groet,

    Victor
    Beheerder ICTscripters

    Bewerkt één keer, laatst door victor (10 april 2013 om 18:33).

    @All
    Ik ken Tcbhome al tijdje dus heb net even voor hem gekeken, de bevindingen hieronder:

    1. Er zijn 2029 bruteforce aanvallen geweest op de user root.
    2. Al deze pogingen zijn wel gelogd we hebben ook een IP maar dit is 100% een proxy aangezien hij uit Duitsland komt en van een hoster is.
    3. Hij heeft alles via SSH commando's verwijderd, er is dus geen inbraak in DirectAdmin zelf geweest.

    Het IP uitzoeken heeft weinig zin want we hebben geen idee hoeveel proxy's er exact gebruikt zijn.
    Ik ga hem vanavond helpen alles dicht te zetten en beter af te stellen.

    Edit
    Server is dicht gegooid en zou nu beter moeten reageren.

    Bewerkt één keer, laatst door WHMCSAddons (11 april 2013 om 08:22).

    Fils wij willen je enorm bedanken, Fils heeft ons geholpen om de gehele server opnieuw in te richten en te beveiligen. En hebben een aantal nuttige tips gehad.

    @ Iedereen die denkt dat het een open source was.

    Wij maken geen gebruik van Open source's alles wat op die server stond is door ons zelf gescript.

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login