Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

Gehackete fedora hoe kom je erachter wat er mis ging

None
9 antwoorden
  • Ok half jaar geleden is 1 van mn servers gehacked. Ik had blijkbaar te veel vertrouwen in de standaard beveiliging en daardoor te weinig aan extra beveiliging gedaan.
    Het probleem was echter dat allepoorten sluiten geen oplossing was omdat ik er stuk of 10 gameservers op runde. Deze hebben meerdere poorten nodig, soms wel 5.

    Nu was het zo dat mn rootpassword is gechanged. Ik kan nu nog bij de OS dmv een zogenaamde recue modus die ik via mn provider kan aanzetten.
    [quote:067debd922]
    de rescue mode is heel simpel een linux omgeving die in het geheugen van de server geladen is, en die automatisch alle beschikbare hdd partities mount onder /sda-getal-.
    Het systeem wordt opgestart met het wachtwoord wat je colocontrolstation.com opgeeft. De indeling van bestanden is dus inderdaad anders omdat je niet op je server installatie (fedora) werkt, maar in een aangepaste (ik dacht) centos omgeving. Je eigen gegevens vind je onder de eerdergenoemde /sda1 en/of /sda2 etc.

    Rescuemode geeft je een onafhankelijke linuxomgeving vanwaar je toegang hebt tot de hdd van je server. Op die manier kan je bij je bestanden om onderzoek te doen op je server/installatie.
    [/quote:067debd922]

    http://img172.imageshack.us/my.php?image=serverdp8.jpg

    Echter ik vind hier maar bar weinig bestanden en niks wat lijkt op mijn oude hd!

    Moet ik nog iets mounten ofzo:S?
  • als je server een half jaar geleden al is gehackt is de kans groot dat nu zo'n beetje alles wat los en vast zat is gewijzigd/verwijdert.

    om er achter te komen wat er mis ging kan je mss even in /var/log/apache2 , /var/log/messages , /var/log/syslog kijken. zodat je er bij de volgende keer niet weer instinkt. maar de kans is groot dat het allemaal al is verwijderd.

    zo'n resque mode zal wel inhouden dat je via een andere server op jouw server kijkt. dus het kan dat je geen essentiele systeem bestanden ziet, want die zijn waarschijnlijk foetsie.

    ik zou maar voor een schone installatie zorgen…. 8)
  • [quote:b3b485d33d="januz"]als je server een half jaar geleden al is gehackt is de kans groot dat nu zo'n beetje alles wat los en vast zat is gewijzigd/verwijdert.

    om er achter te komen wat er mis ging kan je mss even in /var/log/apache2 , /var/log/messages , /var/log/syslog kijken. zodat je er bij de volgende keer niet weer instinkt. maar de kans is groot dat het allemaal al is verwijderd.

    zo'n resque mode zal wel inhouden dat je via een andere server op jouw server kijkt. dus het kan dat je geen essentiele systeem bestanden ziet, want die zijn waarschijnlijk foetsie.

    ik zou maar voor een schone installatie zorgen…. 8)[/quote:b3b485d33d]
    Had remote power off gedaan;) maar had het te druk om er toen naar te kijken. Dus sindsdien is er niks veranderd. Hij is ong 4 weken gekraakte geweest voordat ik het door had… (toen ging ineens van alles uit de lucht).
  • Als sda1 de hoofdmap van linux bevat, dan is die inderdaad nogal leeg.
    Gezien de inhoud heb ik eerder het idee dat die partitie alleen de map /boot bevat, en dat de hoofdmap van linux op een andere partitie staat.

    of je nog iets moet mounten hangt af hoe je de schijven hebt ingedeeld, en of die gemount zijn.
    Meer info kun je achterhalen uit het bestand /etc/fstab en de uitkomst van het commando fdisk -l sda

    Overigens is herinstalleren de meestlogische stap als je server inderdaad gehacked is.
  • Vervelende is dat dataverkeer ong 500 gb werd (Dus ja hij was gehacked) en dat heeft me nog geld gekost… vandaar dat hij uitstaat totdat ik weet hoe ik het in de toekomst kan voorkomen;).
  • Als je niet weet hoe je een hack dient te voorkomen, herkennen als t toch gebeurd en weet hoe je de zaak hersteld, moet je niet aan eigen servers beginnen. Tip: laat hosting over aan professionals ;)

    Belangrijk 'early warning system' voor (eigenlijk: tegen) hackers is rkhunter en http://www.chkrootkit.org/ Er zijn diverse boeken mbt server beveiliging, zoek ff met Google oid voor iets passends :)
  • Tijdsgebrek is ook een belangrijke factor, ik weet genoeg van servers etc echter niet van linux… dat is nieuw voor me (daarom experimenteer ik atm ook met win2k3, dat is echter wel een stuk prijziger).
    Ik ging er eigenlijk vanuit dat het met de beveiliging goed zat ( want dat hoor je atlijd, het is zo veel veiliger en stabieler dan windows) eigenlijk vallen beide een beetje tegen want idd de OS loopt nooit vast, de programma's erop echter wel. Zeker als je iets via wine moet emuleren…

    Maar ik ben gelukkig intelligent genoeg om alles te leren en nu heb ik eventjes wat meer tijd (alleen master thesis en 2 vakjes) dus vandaar nu het topic:). Desbetreffende server lease ik voor paar 10tjes per maand.
  • Veilige distro: http://www.debian.org
    Webbeheer: http://www.webmin.com
    Virtuele machine: http://www.virtualbox.org/

    Boeken:
    Running Linux, O'Reilly, ISBN 0-596-00272-6
    Linux Administration Handbook, Prentice Hall, ISBN 0-13-148004-9
    Beide Engelstalig, maar als je WO doet moet dat geen probleem zijn ;)

    DEJVM!
  • [quote:dae5e10ed5="sdk"]het is zo veel veiliger en stabieler dan windows) eigenlijk vallen beide een beetje tegen want idd de OS loopt nooit vast, de programma's erop echter wel. Zeker als je iets via wine moet emuleren…
    [/quote:dae5e10ed5]

    wine is ook niet erg geschikt om services via een netwerk aan te bieden. zoek liever een alternatief voor het programma.
    en WINE staat voor Wine Is Not an Emulator. dus niet: "Zeker als je iets via wine moet emuleren…" :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.