Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Ik ben gehackt  (gelezen 12055 keer)

Offline Pivni Pes

  • Lid
  • Steunpunt: Nee
Ik ben gehackt
« Gepost op: 2009/10/13, 14:56:51 »
Vandaag heb ik van mijn provider een E-mail gehad dat mijn computer is gehackt en
dat mijn internet verbinding is dichtgezet.
Het schijnt dat mijn computer flink spam aan het versturen is.
Nu is het zo dat al ruim een week mijn server behoorlijk warm wordt, de ventilatoren staan vaak
op volle toeren te draaien, dus ik denk dat ook mijn server het is.
Vanavond als ik thuis komt ga ik gelijk al mijn wachtwoorden vervangen voor nieuwe.
Wat is het wat ik meer kan doen om dit probleem te verhelpen en te voorkomen?

oja, volgens mijn provider wordt er gebruik gemaakt van de SSH poort.

Offline siegi

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #1 Gepost op: 2009/10/13, 15:11:14 »
Wat draait die server allemaal?
Voor ssh zou ik aanraden dit eens te lezen.
http://www.debian-administration.org/articles/455

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #2 Gepost op: 2009/10/13, 15:25:50 »
Voor ssh (via internet) zou ik wachtwoorden totaal afraden en uitsluitend gebruik maken van certificaten/keys.
http://wiki.ubuntu-nl.org/community/Openssh-server#Internettoegang
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #3 Gepost op: 2009/10/13, 15:29:18 »
Vanavond als ik thuis komt ga ik gelijk al mijn wachtwoorden vervangen voor nieuwe.
Dat zal geen garantie geven dat de server dan niet meer toegankelijk is. Een beetje "inbreken" zal al een ssh sleutel gemaakt (kunnen) hebben en heeft dan nog steeds toegang, ook als je het wachtwoord verandert.
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline Kev

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #4 Gepost op: 2009/10/13, 15:59:34 »
Controleer al uw logs en ik bedoel al uw logs.
Het minste wat voor bron je kunt vinden van inbraak moet je de nodige maatregelen treffen.

Alles start bij het doornemen van de logs als deze natuurlijk al niet gemanipuleerd zijn door de inbreker in kwestie.
All Hail Lelouch, The 99th Emperor of Britannia
All Hail Lelouch! All Hail Lelouch!
Iedereen heeft het recht op mijn waarheid, zo wees geprezen.

Offline ertai

  • Lid
    • programming
    • http://www.ertai.nl
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #5 Gepost op: 2009/10/13, 17:00:31 »
ik zou server opnieuw installeren en alleen de data overnemen die je zeker weet dat goed is (dus alleen scripts & programma's na grondige controle)
Is je vraag opgelost? Markeer het als [OPGELOST] in de titel van je bericht!

Offline Scormen

  • Lid
    • LinuxOntdekt.Be
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #6 Gepost op: 2009/10/13, 17:08:24 »
Inderdaad, ertal.

Een éénmaal gehackte server kan nooit nog 100% garantie bieden wat betreft veiligheid en stabiliteit.
Herinstalleren is de boodschap.

Dit laat niet na dat je best kan uitzoeken waardoor je server gehackt is, zoals reeds gemeld: logs (uitprinten) en nalezen.
Trek je server uit het netwerk en ga eens op zoek waarom je ventilators zulke toeren maken, dus: welke processen zoveel CPU of geheugen gebruiken.

Zeker nog niet weggooien, eerst onderzoeken :)

Kris
Ubuntu gebruiker #18341 | Linux gebruiker #456955
· Mijn persoonlijke Linux blog

Offline Pivni Pes

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #7 Gepost op: 2009/10/13, 17:38:19 »
Misschien erg dom, maar ik heb een root wachtwoord ingesteld.
Dat ik beter geen wachtwoord via SSH moet gebruiken, is mij al eens verteld, is me denk ik ontgaan :(
Morgen komt mijn nieuwe HDD binnen, het was toch de bedoeling om alles overnieuw te installeren.
Ik heb zojuist de server uit het netwerk getrokken, en vanavond ga ik even tussen de log files neuzen.
Root wachtwoord ga ik dus niet meer instellen, en de linken siegi en testcees ga ik doornemen.

Offline AutoStatic

  • Lid
    • autostatic
    • linux.autostatic.com - Audio Productie & Linux
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #8 Gepost op: 2009/10/13, 18:56:11 »
Zet SSH gelijk op een andere poort ook. OK, is security through obscurity maar houdt wel je logs schoner ivm scriptkiddies die subnetten aflopen op SSH poorten die openstaan. En hing je server achter een router? Zo niet dan is een firewall onontbeerlijk. En zet er ook iets als fail2ban op.

Offline Pivni Pes

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #9 Gepost op: 2009/10/13, 20:16:58 »
SSh op een andere poort is misschien niet zo'n gek idee, dit ga ik zeker doen.
De server hangt zeker wel achter een router, ik heb een Draytek 2820VN, was wat duurder, maar de gratis
routers van de provider vindt ik 3x niks.
Ik nu een speedtest gedaan, resultaat is dat ik nu ruim 1Mbit upload hebt, hiervoor was dat nog niet eens een halve Mbit.
Punten die belangrijk zijn wat ik moet aanpassen zijn:

- Geen root wachtwoord meer gebruiken
- SSH op een andere poort
- Uitsluitend SSH certificaten gebruiken.
- Belangrijke documenten encryptie op zetten.
- Vaker van wachtwoord wisselen.

Zijn er nog puntjes waar ik overheen kijkt?

Offline ertai

  • Lid
    • programming
    • http://www.ertai.nl
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #10 Gepost op: 2009/10/13, 21:49:41 »
het ligt eraan hoeveel je wil tegenhouden maar je hebt genoeg programma's die IP-adressen voor bepaalde tijden blokkeren als login fout gaat. Dit is goed tegen dictionary-hacks.
Is je vraag opgelost? Markeer het als [OPGELOST] in de titel van je bericht!

Offline Pivni Pes

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #11 Gepost op: 2009/10/13, 23:26:11 »
Interessant, een programma die je kan instellen dat bij x aantal keer foutief inloggen een x tijd niet meer kan inloggen?
Daar wil ik wel gebruik van maken, hoe heet zo'n programma?

Offline ertai

  • Lid
    • programming
    • http://www.ertai.nl
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #12 Gepost op: 2009/10/13, 23:37:44 »
moet je even op internet zoeken. Ik heb er namelijk wel eerst een gehad maar geen idee meer hoe die heet. Heb tegenwoordig ook geen server meer.
Is je vraag opgelost? Markeer het als [OPGELOST] in de titel van je bericht!

Offline siegi

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #13 Gepost op: 2009/10/14, 00:13:32 »
Knockd is op dat vlak ook wel cool.
Je laat aan de buitenwereld zien dat je geen poorten hebt openstaan.
De poort wordt pas geopent voor jouw ip adres nadat je achtereen volgens op een bepaald aantal poorten hebt geklopt.
http://wiki.ubuntu-nl.org/Knockd

EDIT: dit vereist natuurlijk dat je een firewall opgesteld hebt, het open zetten van bepaalde poorten nadat ze al open stonden heeft niet veel zin:)
Fail2ban is natuurlijk ook goed en geeft je als gebruiker niet zoveel hinder als knockd.
« Laatst bewerkt op: 2009/10/14, 00:25:03 door siegi »

Offline Kev

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #14 Gepost op: 2009/10/14, 09:33:57 »
Weet je wat echt het belangrijkste is, is het regelmatig nakijken van je logs.

De logs zijn HET startpunt voor alles, de eerste indicatie van hacking vind je in de logs.
Als je echt een server wilt instellen, dan ben je ethisch verplicht om elke dag je logs na te kijken, daarmee bedoel ik zo eens diagonaal scannen.
Ik doe het ook elke dag.
Elke ochtend start ik met de logs na te kijken en elke avond eindig ik met de logs na te kijken.

Ik heb zo al een hacker aan de deur kunnen zetten, dus het helpt wel.

MvG
All Hail Lelouch, The 99th Emperor of Britannia
All Hail Lelouch! All Hail Lelouch!
Iedereen heeft het recht op mijn waarheid, zo wees geprezen.

Offline AutoStatic

  • Lid
    • autostatic
    • linux.autostatic.com - Audio Productie & Linux
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #15 Gepost op: 2009/10/14, 09:59:52 »
Interessant, een programma die je kan instellen dat bij x aantal keer foutief inloggen een x tijd niet meer kan inloggen?
Daar wil ik wel gebruik van maken, hoe heet zo'n programma?
fail2ban

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #16 Gepost op: 2009/10/14, 10:45:49 »
Interessant, een programma die je kan instellen dat bij x aantal keer foutief inloggen een x tijd niet meer kan inloggen?
Daar wil ik wel gebruik van maken, hoe heet zo'n programma?
fail2ban
of denyhosts
Ik heb zojuit de Sleepnet-kieswijzer ingevuld op www.waartrekjijdegrens.nl/

Offline rja

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #17 Gepost op: 2009/10/14, 13:39:40 »
Hier nog wat leesvoer over beveiliging onder Linux.

http://www.mrleejohn.nl/linux-security.htm

Offline bramboos

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #18 Gepost op: 2009/10/14, 22:13:32 »
Leuk, ik wou net een topic aanmaken over SSH maar zo te zien niet meer nodig. Iemand heeft net ook 20 keer (volgens de logs) met root proberen in te loggen maar is niet gelukt  :rolleyes: nou heb ik hier de boel ingesteld dat alleen root kan inloggen met HET wachtwoord. Ik verwacht dat ik dit wel vaker tegenkom. Maar ik vraag me af of ssh te hacken valt?? Trouwens ik ga zo wel even poortnummer veranderen want er word vaak een poortscan gedaan. Weet iemand een leuk nummertje? XD

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #19 Gepost op: 2009/10/14, 22:23:37 »
Bramboos, dat is nou net iets wat ik NIET zou doen.
Iedereen weet namelijk dat Linux (en enkele andere OS-en) een root-account heeft. De helft van de informatie heb je dus al en hoef je alleen nog maar het wachtwoord te raden. Probeer je dat duizenden keren, dan heb je vast wel een keer "geluk".

Je kan beter alleen je eigen account toegang geven, en de rest verbieden. Bovendien kan je iedereen direct blokkeren die toch probeert om als root, of een niet bestaand account, in te loggen.
Wil je toch iets met root-rechten doen, gebruik dan sudo. Daar is het voor gemaakt en het zou stom zijn om dat niet te gebruiken.

Het veranderen van het poortnummer maakt de SSH-service zelf niet veiliger. Het maakt het alleen ietsje lastiger om de goede poort te vinden.
1 x scannen is genoeg om dat te achterhalen, dus zo'n goede "beveiliging" is het niet ;)

Offline AutoStatic

  • Lid
    • autostatic
    • linux.autostatic.com - Audio Productie & Linux
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #20 Gepost op: 2009/10/14, 22:25:13 »
Root access via SSH zou ik meteen uitzetten. Ten eerste is het erg onveilig en ten tweede onnodig, je kan ook ook als een gewone gebruiker inloggen en vervolgens root worden. En in jouw geval zou SSH prima te hacken zijn, password generator erop en inloggen maar. Ok, misschien duurt het uren dagen of zelfs weken maar eens komen ze er doorheen ;) En dan zijn ze nog meteen root ook.

Offline bramboos

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #21 Gepost op: 2009/10/15, 19:38:41 »
Ik heb poort 22 eerst maar even dichtgegooid naar buiten. Alleen intern is die nog te bereiken. Vanmiddag was weer die stomme chinees bezig met mijn server. Hij probeerde volgensmij achter het poortnummer te komen van ssh. Hij had na 1,5 uur er geen zin meer in denk ik en toen heeft die het gestaakt. Deze persoon heeft er veel voor over om 41 bestanden van de webserver. Hij kont toch ook gewoon even een mailtje sturen. Of zou die andere plannen hebben gehad??

Offline Scormen

  • Lid
    • LinuxOntdekt.Be
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #22 Gepost op: 2009/10/15, 20:36:02 »
Ik maak ook altijd gebruik van Logwatch.

Citaat
Logwatch is a modular log analyser that runs every night
 and mails you the results. It can also be run from command line.
 
 The output is by service and you can limit the output to one particular
 service. The subscripts which are responsible for the output, mostly
 convert the raw log lines in structured format.
 
 Logwatch generally ignores the time component in the output, that means,
 you will know that the reported event was logged in the requested range of
 time, but you will have to go to the raw log files to get the exact details.

Stuurt me elke dag de logs van de firewall, SSH, geïnstalleerde progs, ingelogde gebruikers ... via E-mail.

Kris
Ubuntu gebruiker #18341 | Linux gebruiker #456955
· Mijn persoonlijke Linux blog

Offline Kev

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #23 Gepost op: 2009/10/16, 10:09:23 »
Ik maak ook altijd gebruik van Logwatch.

Citaat
Logwatch is a modular log analyser that runs every night
 and mails you the results. It can also be run from command line.
 
 The output is by service and you can limit the output to one particular
 service. The subscripts which are responsible for the output, mostly
 convert the raw log lines in structured format.
 
 Logwatch generally ignores the time component in the output, that means,
 you will know that the reported event was logged in the requested range of
 time, but you will have to go to the raw log files to get the exact details.

Stuurt me elke dag de logs van de firewall, SSH, geïnstalleerde progs, ingelogde gebruikers ... via E-mail.

Kris

Wow dit ziet er mij toch een handig ding uit.
Ik heb ooit indertijd zelf zo iets proberen te programmeren in Bash en daarna geconverteerd naar een Ruby script en een Python script.

Ik vond het Ruby scriptje er netter en overzichtelijker uitzien dan het scriptje in Python.

Maar ik denk dat ik dit programma eens ga testen.
All Hail Lelouch, The 99th Emperor of Britannia
All Hail Lelouch! All Hail Lelouch!
Iedereen heeft het recht op mijn waarheid, zo wees geprezen.

Offline rja

  • Lid
  • Steunpunt: Nee
Re: Ik ben gehackt
« Reactie #24 Gepost op: 2009/10/16, 17:20:04 »
Ik maak ook altijd gebruik van Logwatch.
Ik vind maar niks een tijdje gebruikt, wel onder Solaris, niet Linux waarvoor die bestemd is.

Die laat alleen de meldingen zien, voor programma's en kernel modules die hij kent.
Als er een onbekend programma tussen zit, mis je die meldingen, dat is mij gebeurd.

Ook niet makkelijk aanpasbaar, zodat die wel worden gelogd.