Bliv gratis medlem
|
<et spørgsmål til nogle af dem som driver hosting virksomhed. Når man er blevet hacket én gang, er man så ikke udsat igen? Hvad kan man gøre for at sikre sig? Skifte ip? eller? Ikke det fedeste at vågne til klokken 4 om morgenen - når man er på messe i USA. / Daniel |
Server hacket
|
Du kan naturligvis skifte IP og sætte en striks firewall på maskinen, det er dog ikke nødvendigvis en løsning, og jeg vil bestemt anbefale dig en reinstallation af maskinen. |
|
Hej Daniel, Jeg er helt enig med Sune - reinstallation er i langt de fleste tilfælde det eneste rigtige valg efter en hacker-episode. |
|
Nu kan der jo være forskellige former for hacking. Er det et "simpelt" defacement hvor de "bare" har brugt en ftp konto og ændre dine website filer, så er det ikke nødvendigvis nødvendigt. Men har de haft system adgang så vl jeg også klart anbefale en re-installation (træk netværksstikket ud imens du gør det og for at sætte en firewall op før du sætter det i igen). /Claus |
https://www.campaya.dk - ferieboliger og sommerhuse i hele verden
|
Tak for jeres svar. Maskinen fik de fucket godt og grundigt op - der var tale om mere end bare en deface. Vi har nu taget maskinen ned - og den bliver reinstalleret´, tak for råd. |
|
Eller hvis der er andre fejl... Det er ikke ligsom skoldkopper får man det 1 gang får man det ikke igen... Men brug IKKE samme password igen... Og det hjælper ikke at skifte ip... de finder dig igen hvis de vil... og de er det ikke sikkert det er men nok en maskine som søge efter software som ikke er updated / har fejl... |
|
Det er helt sikkert, at en geninstallation vil være det mest optimale. Dog er det en god ide at ansætte en konsulent til at undersøge hvilke filer der er blevet ændret, hvilke filer der eventuelt er blevet stjålet og hvor hackeren kom fra. De fleste hackere er meget uerfarne og vil efterlade sig et hav af spor. Dette vil ofte kunne lede en hen til dem og gøre det langt nemmere at få dem retsforfulgt. Så inden din server geninstalleres er det en god ide at få undersøgt serveren til bunds. Hvis du efterfølgende vil have sikret din server er det bedste igen at ansætte en konsulent til at lave en såkaldt hærdning af systemet. Du kan læse mere her om Rigspolitiets anbefalinger hvis din server er blevet angrebet: https://www.zepcom.dk/downloads/optimering_datakriminalitet.pdf Både efterforskningen og hærdningen er noget Zepcom kan tilbyde, og til langt billigere priser end vore konkurrenter. |
|
- så har du et godt udgangspunkt i fald du skulle opleve problemer igen. |
|
Jeg har ikke sat nogen efterforskning igang endnu, men overvejer da det kraftigt. Vi har taget den "inficerede disk" ud af maskinen og installeret ny harddisk i maskinen, så alle spor burde være intakte. Tidligere havde vi freebsd, men jeg har ikke været for god til at holde den opdateret. Nu er vi skiftet til Debian, da den skulle være lidt nemmere at holde up-to-date. Jeg mangler en mand til at flytte nogle data fra den gamle harddisk over til den nye, den gamle sidder stadig i maskinen, så det burde kunne gøres via telnet. Derudover har jeg et par mysql databaser jeg skal prøvet at have hevet ud af den gamle disk. Men så vidt jeg er orienteret kræver det en konvertering for at den vil køre på debian. Til orientering kører vi Plesk software på maskinen. Nogle der kan hjælpe? mail mig på daniel@funtastic.dk |
|
Dato: 16-11-2006 16:15:03 Forfatter: Michael Mortensen Hej Daniel, Dog er det en god ide at ansætte en konsulent til at undersøge hvilke filer der er blevet ændret, hvilke filer der eventuelt er blevet stjålet og hvor hackeren kom fra. De fleste hackere er meget uerfarne og vil efterlade sig et hav af spor. Dette vil ofte kunne lede en hen til dem og gøre det langt nemmere at få dem retsforfulgt. Så inden din server geninstalleres er det en god ide at få undersøgt serveren til bunds. Hvis du efterfølgende vil have sikret din server er det bedste igen at ansætte en konsulent til at lave en såkaldt hærdning af systemet. Det er ret irrelevant at undersøge hvor crackeren(som du så misvisende ligestiller med en hacker) kommer fra, hvad han ændrede og læste. I 90% af tilfældende sider personen på en TOR forbindelse eller lign.anonym forbindelse og i langt de fleste tilfælde er der tale om mass defacements hvor angriberen scanner en range ip adresser og ødelægger de maskiner han falder over. Udover det har ikke nogen måde på et almindeligt Unix basseret system at finde ud af hvad han har læst, du kan se hvad han har overført med de forskellige ftp, scp og http protokoller....såfremt han ikke har kompromiteret den account din syslogger kører fra eller administrator kontoen. Et godt råd til dig Michael, jeg tror ikke du scorer særlig mange points på at diskutere med folk herinde som du har gjort et par steder. Jeg kender en af dine freelancere og han er dygtig, jeg har læst en masse af dine indlæg og også talt med dig og ved siden af ham vil jeg på ingen måde kalde dig dygtig. Jeg vil ikke afvise at dine indlæg måske giver et andet indtryk på ikke-sikkerheds folk, men "som en nu 23 år selvstændig ung mand der siden han var 17 år har arbejdet professionelt med hardening, penetrering og forensics af Unix systemer" kan jeg sige at det giver ingen troværdighed overhovedet. Og lad så være med at skrive ordene "billig" og "sikkerhed" i samme sætning! Kunne du nogensinde finde på at købe en faldskærm i Aldi måske? :) Folk ved at god sikkerhed koster, og folk ved også at hvis nogen sælger den billigt er der nok en grund til de ikke tager samme pris som de "store" i branchen. Mht. Daniels problem er jeg lige blevet færdig med at ryde op i hans gamle maskine og flytte filerne over på hans nye harddisk, jeg mener stadig han skal tegne et abbonement for jævnligt at få tjekket maskinen samt evt. lavet noget hardening på den. Dog skal det siges med de systemer han kører kan hardening meget vel gå ind og blive et problem da de ting han bruger maskinen til kræver at den er så tæt på standard konfigurationen som muligt. Men i langt størstedelen af nutidens defacements drejer det sig om en bug i noget php kode på den angrebne maskine, og det kan man altså sikkerhedsteste maskinen nok så grundigt for det lukker ikke hullet. Der skal en grundig code audit til, og den er dyr. Der betaler man en konsulent timeløn for at side og læse programmet igennem linie for linie, tegne diagrammer, flow-charts og analysere alle disse hændelsesforløb, procedurer og andre data for at finde ud af om programmet semantik kan afbrydes for at opnå uønskede resultater. Det ville for et program som f.eks. phpbb koste i omegnen af 50.000kr at få lavet bare en grundlæggende code audit af det. (og det er ikke et tal slynget ud af ærmet, vi har faktisk gennemført en test af et system i samme størelse for en kunde til den pris) Men når så code auditet er gennemført er det relativt nemt at lappe eventuelle huller. Nå undskyld jeg stjal din tråd Daniel men jeg ville lige forklare nogen ting. Det er selvfølgelig med vilje at jeg ikke nævner detaljer, navne på kunder mv. Hvis nogen har sikkerhedsrelaterede spørgsmål er i altid velkommen til at pm'e mig så vi undgår at hijacke flere tråde :P Mvh Mikke |
Opret bruger