27. november 2005 - 16:48Der er
20 kommentarer og 2 løsninger
PIS, vi er lige blevte hacket, men jeg har IP hvad gør jeg så
Vores side er blevet hacket igen, selvom jeg har Zone alarm har de fundet en vej ind, jeg kan se de har forsøgt en masse porte, men hvorfor og zone alarm har også sagt den har blokket dem, men hvordan kan de så have hacket siden?
Og hvad kan jeg gøre for at de ikke kan det igen?
De der har hacket ind er: Turkish Hacking Sabotage (THS) 23Erdem Was Here... Turkish Hacking Sabotage Saldırı TIM Turkish Hacker's " Devrimin ve Cumhuriyetin Bekçileriyiz " We are; 23Erdem - BattalGazi - MezarKabul - Fox www.thsgroup.org
Nogen der ved hvordan de plejer at komme ind, og hvad precis de gør når de er inde, kopierer de data, sletter de ting. .. ?
Hvordan de plejer at komme ind, er svært at sige noget bestemt om uden at sidde ved maskiner og uden at have adgang til logfiler mm.
Helt generelt er Zonealarm ikke egnet til at beskytte servere, det er en personlig firewall, der bruges til at beskytte personlige computere, også kaldet en PC. Den skal beskyttes af en rigtig firewall, der ordentligt isolerere hackerne fra serveren.
Selv om du har IP adressen kan du sikkert intet gøre, dels kan denne spoofes så du ikke kan regne med den og dels kan de komme fra et land der ikke retsforfølger den slags.
Du bør undersøge logfiler for at finde ud af hvordan de er kommet ind. Du bør hardne alle dine systemer på den maskine der har serveren installeret. Du bør tage orddentlige firewalls i drift
bufferzone: Firewall da snakker du ikke om software så eller? bufferzone: Logfilen, den Windows laver går jeg ud fra, jeg her ikke selv så meget forstand på servere, det er en ven der har sat den op i sin tid, men har ikke kontakt til ham mere. (jeg vil da gerne give dig windows log filen, hvis du vil kigge i den) bufferzone; Hardne, hmm jeg opdaterer windows, ellers aner jeg ikke hvad jeg kan gøre :(
Firewallen kan godt være software, men jeg taler om en rigtig firewall som f.eks. linux med netfilter (som er gratis), Firewall-1 fra checkpoint (som koster kassen)og ikke zonealarm, sygate eller den indbyggede i XP.
Logfilerne afhænger af hvilket styresystem vi taler om f.eks. windows og hvilken web server du bruger f.eks. IIS eller Apache.
Du skal opdaterer ALT, Windows, Office, IIS eller Apache. ALT det software du har på dine maskiner
Zonealarm er en udemærket personlig firewall og den kan du sagtens bruge, men du skal beskytte en server yderligere for at få tilstrækkelig sikkerhed. Zonealarm er efter min mening bedre end den idnbyggede. De du bør gøre er at placerer en firewall foran din server der beskytter før hacvkerene har fat i serveren.
Windows 2003 web server er IIS og du bør kunne se hvad der er sket i logfilen. du er velkommen til at sende den til mig, så forsøger jeg at se hvad der er sket, (det bliver dog først efter onsdag da jeg er væk mandag og tirsdag
uden at kende d-link i detaljer, så ser der rimeligt ud.
Du kan scanne dig selv med http://scan.sygate.com for at se om dine porte er lukket som de skal. Hvis du vil ind i noget mere avanceret, så kan du med programmet nessus, scane din maskine for sårbarheder, men så skal du have gang i en linux maskine
Hmm jeg har lige slettet alle de filer den havde lagt op, så startede jeg serveren igen, og 1 min efter så jeg så at den havde lavet alle de p.s filer igen, men jeg kan ikke finde ud af hvad script eller program det er der laver dem :(
Og linux er ikke lige mig, jeg kan bedre finde ud af Windows, well kan jeg jo heller ikke kan man se :D
HEHE ok ved ikke om det er godt eller ej, men jeg får "The page cannot be displayed" når jeg trykker på "Scan now", så jeg tror at den ikke er åben for de porte ?
Kan stadig ikke komme ind. Jeg så lige et øjeblik i linket at der stod: http://scan.sygate.com:443.. . . eller sådan noget, altså bruger de port 443 til at teste med ik?
Og da jeg kun har 2 porte åben kan de jo ikke komme ind, eller er jeg forkert på den der ?
Oh har fundet ud af hvordan de har gjort det, vi har et billede galleri på siden, og der kan brugere uploade billeder, de har så på en eller anden måde fået uploaded en .asp fil til serveren, og derfra så started deres spam af diverse .asp .php . . . filer som har kopieret sig selv til samtlige mapper på serveren :(
Du skal helst køre din firewall på flere "levels" (derved ment at du skal have firewalls så vel på maskinen som en dedikeret firewall sat først på forbindelsen), jeg forslå kraftigt at du sætter en maskine op til at være dedikeret firewall. Måden du gør det på er at tage en gammel maskine med et cdrom drev og sætter 3 netværkskort i. Så går du ind på www.m0n0.ch/wall og henter m0n0wall firewallen og brænder den til en cd. Det næste trin er så at dele trafikken op rent fysisk, så du har en WAN, LAN og DMZ. Det vil sige at du lader firewallen filtere trafikken sådan at den trafik der kun skal til server kun har mulighed for at komme ind på den del af netværket (DMZ) og lader trafikken til dit interne netværk (LAN) være lukket af fra udekommende trafik. Men læs lidt mere på hvordan du sætter det op på sitet det kræver lidt planlægning og du sætter dig lidt ind i tingene men det er et "must" hvis du vil have en smule sikkerhed. Der ud over skal du særfølgelige også hardne din maskine som bufferzone skriver. Jeg mener han har skrevet et par gode artikler om hvordan du gør, kig under hans profil og de artikler han har skrevet. Nårh ja og den sidste bemærkning, hold din maskine opdateret, det er altid nemmest at have lukket hullerne så der ikke er noget at udnytte :)
Jeg sorterede efter dato på serveren, og fandt så 2 filer under images som ikke burde være der, da jeg så navnet var den samme som ham der hackede, var jeg klar over at det var denvej de var kommet, filen var krypteret også, og da jeg ikke havde lavet noget om på serveren i flere dage, så var der ikke så mange filer at kigge igennem :)
dreamless: At smide en maskine mere op, for at sikre er lidt formeget for mig, har knap nok råd til at have de andre kørrende jeg har, kæsreten og jeg har hver vores samt serveren, men helt sikkert det ville hjælpe på sikkerheden :D
dudesicko, hvis du ikke har råd til at sætte ordenligt sikkerhed op burde du slet ikke sætte en "live" services op på nettet. Det er en risiko for dig selv og andre indirekte. At finde en gammel maskine og 3 netkort burde ikkke koste dig noget kun strømmen. Er det strømmen der er problemet kan du købe en hardware firewall eller bruge et stykke "embbed hardware" som feks. soekris til at køre m0n0wall på.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.