Vps hack - wat te doen?

vuurtoren 3 december 2010, 16:09

Ik kreeg vanmiddag een mail van Strato dat mijn VPS misbruikt wordt tbv hacking.

Dear Mr. / Mrs.
We inform you that third parties let us know that your server with the hostname < hxxxxxx.stratoserver.net> has a security issue. Your server attacks the systems of these third parties via hacking and scanning. Please see the log-file at the end of this e-mail for details.
This process affects the technical infrastructure of the STRATO AG on an unacceptable manner and is therefore contrary to the normal operation conditions of our terms and conditions. This information can always be found following this link: http://strato.de/agb/index.html

It is very likely that a third party has access to your server. Please be aware that hacking the systems of others is a violation of the law.
Now we need you to fully check your server and take measures so that the hacking stops. Also we like you to let us know what you have done to solve this issue.
If you harbour the suspicion that a third party has compromised your server, we recommend that you back up your data, check it for manipulation (backdoors) and reinstall the server.

Wat er precies aan de hand is weet ik niet.
Belangrijker nu is welke stappen ik ondernemen moet/kan?

Antwoord niet gevonden? Stel hier je vraag:

vuurtoren 3 december 2010, 16:36

Kennelijk heeft iemand mijn login gebroken want er staat een onbekend ip in de admin inlog logfile. Die heb ik nu dus veranderd.
Het lijkt erop dat de misbruik tot één dag beperkt is gebleven.
Een check levert het volgende op

Rootkit checks...
Rootkits checked : 112
Possible rootkits: 2
Rootkit names : SHV4 Rootkit, SHV5 Rootkit

:(

vuurtoren 3 december 2010, 16:49

Ik vraag me af...
De hack was kennelijk op 28 november. Via backupcontrol kan ik nog een paar eerdere versies terugzetten. Betekent dit dat ik dan weer schoon ben?
Er is niet zoveel veranderd dus het verlies zou dan minimaal zijn. Databases kan ik vooraf nog veiligstellen.

The Dragon 3 december 2010, 18:38

Post het probleem eens bij beveiliging. Misschien dat Abraham 54 er iets meer duidelijkheid over kan geven. :o

vuurtoren 3 december 2010, 22:09

Cross-posten is niet zo handig...
Ik ga er maar een nacht over slapen en kijken wat handiger is ook wat betreft tijd die erin gaat zitten.

vuurtoren 7 december 2010, 22:07

Heb uiteindelijk besloten de hele boel opnieuw te installeren. Dat kost enkele uren maar was, gezien mijn kennis van servers, beter dan zoeken naar de gaten en deze proberen te verhelpen.

The Dragon 7 december 2010, 22:25

vuurtoren:
Heb uiteindelijk besloten de hele boel opnieuw te installeren. Dat kost enkele uren maar was, gezien mijn kennis van servers, beter dan zoeken naar de gaten en deze proberen te verhelpen.
Prima oplossing dus :o

windowsXP-PRO 8 december 2010, 18:28

vuurtoren:
Heb uiteindelijk besloten de hele boel opnieuw te installeren. Dat kost enkele uren maar was, gezien mijn kennis van servers, beter dan zoeken naar de gaten en deze proberen te verhelpen.

goed plan,, nu je toeleggen op het dischttimmeren van servers
anders ben je de volgende keer weer de sigaar

Antwoord niet gevonden? Stel hier je vraag: