Nieuws
image

Hoe je een gehackte Linux server kunt herstellen

dinsdag 18 juli 2006, 10:29 door Redactie, 9 reacties

Elke systeembeheerder doet zijn of haar best om het systeem zo goed mogelijk te beveiligen. Toch kan het voorkomen dat hackers toeslaan. Bijna alle experts zijn het er in deze situatie over eens dat het systeem opnieuw geinstalleerd moet worden, omdat je nooit 100% weet wat een aanvaller allemaal heeft aangepast.

Zelfs een gecompromitteerd systeem bevat waardevolle informatie die inzicht geeft over de aanval en hoe dit in de toekomst voorkomen kan worden.

Systeembeheerder Marius heeft ervaring met het herstellen van gehackte Linux servers. Hij gebruikt het volgende plan van aanpak om een hack te onderzoeken:

  • Geen paniek, bedenk wat je gaat doen
  • Haal het systeem uit het netwerk
  • Zoek uit hoe men is binnengekomen
  • Stop alle scripts van de aanvaller en verwijder zijn bestanden
  • Herstel services die niet getroffen zijn
  • Verhelp het probleem dat de hack mogelijk maakte
  • Herstel de getroffen service
  • Monitor het systeem
    • Reacties (9)
    18-07-2006, 10:40 door SirDice
    Stop alle scripts van de aanvaller en verwijder zijn bestanden
    Dan moet je ze wel allemaal kunnen vinden wat niet altijd even makkelijk is.

    Beter is om gewoon je belangrijke bestanden te backuppen (als je het goed doet gebeurd dat al) en een herinstallatie doen. Dan weet je tenminste zeker dat je niet per ongeluk een achterdeurtje bent vergeten. It's better to be safe than sorry.
    18-07-2006, 12:08 door Anoniem
    Onzin als je server gehacked is, dan moet em opnieuw
    installeren. Uiteraard wel de oorzaak achterhalen van de
    hack. Je kan namelijk niet uitsluiten of er nog een backdoor
    ERGENS in zit.
    18-07-2006, 12:40 door Anoniem
    ok, maar in de praktijk?
    hoeveel mensen installeren de server opnieuw _zonder_ uit te
    zoeken wat de oorzaak was?
    18-07-2006, 13:12 door egeltje
    bijvoorbeeld in de handige 'ls' utility.
    18-07-2006, 13:43 door Anoniem
    Er wordt inderaad vergeten toe te voegen dat men NA het
    monitoren de server geheel opnieuw dient te installeren
    omdat je nooit en tenimmer weet of het systeem veilig is.
    Mede door de rootkits die geinstalleerd kunnen zijn.
    18-07-2006, 13:44 door awesselius
    In het Nederlandse Linux tijdschrift "Linux Magazine" stond
    vorig jaar of anderhalf jaar terug ook een 'scenario' van
    een gehackte Linux server. Ook hier werd enigzins duidelijk
    wat voor een stappen er te nemen zijn om zowel sporen als
    data te behouden, maar wel zo spoedig mogelijk de boel weer
    werkend en clean te krijgen.

    Het is niet makkelijk, daarom is het belangrijk een aparte
    logserver te hebben waarheen zoveel mogelijk gegevens gelogd
    worden. Je kunt zo'n logserver zo goed als onzichtbaar maken
    binnen je netwerk, zodat men geen sporen kan wissen waar men
    bij kan. Zie het volgende artikel:

    http://www.linuxjournal.com/article/6222

    Maar dan nog... als je een gehackte server hebt, heb je grotere problemen en is het traject eerder al ergens foutgelopen (patchen, scannen, logfiles checken, backuppen enz.)

    - Unomi -
    18-07-2006, 14:16 door Anoniem
    Er verschijnen vaak van dit soort zogenaamde handige berichtjes, waarin
    grove stappen beschreven staan. Die komen altijd neer op:
    - bekijk wat je hebt
    - wat je wilt hebben
    - bedenk een plan
    - voer het uit
    - bekijk afwijkingen

    De stappen zijn doorgaans zo algemeen beschreven dat ze neerkomen op
    het aloude Nederlandse 'bezint eer ge begint'. Wat mij betreft hebben
    artikelen zoals dit van Marius weinig toegevoegde waarde voor degene die
    het echt nodig hebben. Het enige doel dat dit soort artikelen volgens mij
    dient, is naamsbekendheid van de schrijver en weer x hits op diverse
    webvertenties.
    18-07-2006, 14:45 door Anoniem
    Zet een iets zwaardere server neer, installeer VMware
    servertje (gratis te downloaden bij VMware.com). *nix distro
    (linuxiso.org) erop en na installatie een snapshot draaien.
    Bij een gecompromitteerde bak, snapshot terugzetten, binnen
    een kwartier volledig up and running. Wel ff patchen nog
    natuurlijk... zo kan je analyseren, installeren en
    controleren in een zeer krappe tijdsspanne

    Met vriendelijke groet,
    19-07-2006, 18:36 door G-Force
    Door SirDice
    Stop alle scripts van de aanvaller en verwijder zijn
    bestanden
    Dan moet je ze wel allemaal kunnen vinden wat niet
    altijd even makkelijk is.

    Beter is om gewoon je belangrijke bestanden te backuppen
    (als je het goed doet gebeurd dat al) en een herinstallatie
    doen. Dan weet je tenminste zeker dat je niet per ongeluk
    een achterdeurtje bent vergeten. It's better to be safe than
    sorry.

    100% mee eens. Ook het ISC geeft dit advies. Bij een
    compromittering van een systeem kan het beste alles opnieuw
    geïnstalleerd worden. Dan weet je ZEKER dat er geen
    achterdeurtjes, bots e.d. zijn achtergebleven.
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.

    Zoeken
    search