Server gehijacked. - Privacy en beveiliging

vrijdag 3 juni 2005 11:03

Acties:

ALLES valt te repareren

Topicstarter

Hi, voor de zoveelste keer is onze IIS webserver annex Exchange mailserver gehijacked (3e keer in 4 jaar tijd). Het is echt fijn om vrijdags naar huis te gaan met de server up-to-date, er in het weekend een lek en critical patch blijkt te zijn en je dan maandags terug komt en de server al gehijacked blijkt te zijn (nee, wij hebben geen dedicated systeembeheerder).

Tot noch toe kon ik de boel altijd wel handmatig schoon krijgen, waarna de server het wel weer prima deed. Maar dit keer dus niet. Rootkits worden blijkbaar steeds geavanceerder.

Ik dacht dus dat alles schoon was, maar om de één of andere reden is de POP3 server regelmatig onbereikbaar. Na een reboot werkt het meestal wel weer. Maar ik ben dus bang dat ik niet alles heb kunnen vinden.

Hoe kan ik dit nu het beste aanpakken? Ik ben dus geen systeembeheerder, ik doe het er maar een beetje bij. Wij hebben geen systeembeheerder wegens economische redenen dus hou je commentaar daarover maar voor je, dat is een stuk constructiever.

Macbook Pro

vrijdag 3 juni 2005 11:05

Acties:

Vunzz

Welke Windows versie draait er?
Welke IIS versie draait er?
Welke Exchange versie draait er?
Wat is er gebeurd?
Wat voor firewall draai je?
Welke virusscanner draai je?
etc.

How can you conquer a hill top, if you are to busy at the bottom stepping over stones.

vrijdag 3 juni 2005 11:07

Acties:

Icey

Na een hack formatteren en de image terugzetten, updaten en weer in het netwerk hangen.

Zelf schoonmaken heeft geen nut, onmogelijk, en je kan de bak niet meer vertrouwen. En als je geen systeembeheerder heb dan zou jou bedrijf op ze minst een service contact moeten hebben ergens toch?

vrijdag 3 juni 2005 11:09

Acties:

BCC

Wij hebben geen systeembeheerder wegens economische redenen dus hou je commentaar daarover maar voor je, dat is een stuk constructiever.

Wat kost een aantal dagen uit productie zijn bij jullie dan? Er zijn tegenwoordig zat bedrijven die je kan inhuren voor support, dan heb je geen deticated nodig. Verder is opnieuw installeren EN alle wachtwoorden in je netwerk veranderen de enige zinvolle oplossing...

[ Voor 15% gewijzigd door BCC op 03-06-2005 11:09 ]

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

vrijdag 3 juni 2005 11:09

Acties:

McBurger

En dat is waarschijnlijk ook de reden waarom ie iedere keer weer opnieuw gehacked wordt.
Met de hand weghalen van en een achterdeur open laten staan.

Maar reken nu maar eens uit wat het iedere keer kost om het weer in orde te krijgen.
Voor dat geld heb je allang een service contract.

vrijdag 3 juni 2005 11:09

Acties:

ShadowBumble

Professioneel Prutser

Heb je je documentroot/script dirs beveiligt ? Zo dat je eventuele Unicodes voorblijft ? Weet niet of het ook mogelijk is ISS aparte rechten toe te kennen zodat ISS niet bij system files mag komen onder die user ? ( Werk zelf met Unix ) stuk makelijker te beveiligen

"Allow me to shatter your delusions of grandeur."

vrijdag 3 juni 2005 11:10

Acties:

Vunzz

Icey schreef op vrijdag 03 juni 2005 @ 11:07:
Na een hack formatteren en de image terugzetten, updaten en weer in het netwerk hangen.

Zelf schoonmaken heeft geen nut, onmogelijk, en je kan de bak niet meer vertrouwen. En als je geen systeembeheerder heb dan zou jou bedrijf op ze minst een service contact moeten hebben ergens toch?

Dat is sowieso waar, maar ik vraag me nog steeds af wat er nou gebeurd is en hoe het kan dat dit TS al meerdere keren is overkomen.

How can you conquer a hill top, if you are to busy at the bottom stepping over stones.

vrijdag 3 juni 2005 11:10

Acties:

Verwijderd

Ik heb goede virruscanner en softwarematige firewall op onze server en die wordt dagelijks ook lastig gevallen maar nog niet gehacked. We gebruiken sygate om tegen aanvallen te beschermen waarvoor nog geen patch geinstalleerd is.

Naast het probleem van het schoonmaken van de server,. wat maar op één manier kan en dat is schoon beginnen en met backups werken, moet je de server beter beschermen.

vrijdag 3 juni 2005 11:11

Acties:

Verwijderd

Vunzz schreef op vrijdag 03 juni 2005 @ 11:10:
[...]

Dat is sowieso waar, maar ik vraag me nog steeds af wat er nou gebeurd is en hoe het kan dat dit TS al meerdere keren is overkomen.

Weinig informatie, dus veel speculatie...

Server is nooit helemaal clean geweest na 1e hack?

vrijdag 3 juni 2005 11:14

Acties:

ReLight

echo("What Now ? !")

Als je simpleweg geen beheer hebt om economische redenen dan moet je ook geen server op de zaak hebben draaien hiervoor, niet voor IIS naat buiten en niet voor Mail SMTP.

Neem een goed webhost abbonement zakelijk, en dus dan ook voldoende POP3 boxen en krijp qua bedrijf achter een dikke firewall op je adsl lijn. Lekker popen met een klein servertje naar je provider, of gewoon met enkel outlook, en ook geen poorten meer open op je lijn waardoor je gehacked kan worden. De rest is dan de zorg van je provider, en daar kan je hem dan ook op aanspreken.

Wees realistisch.
Die bak is niet te vertrouwen en zal je alleen nog maar elende bezorgen omdat je klaarblijkelijk niet de resources hebt om dit aan te pakken. enkel format kan je nog helpen elke keer.

[ Voor 30% gewijzigd door ReLight op 03-06-2005 11:17 . Reden: lompe typo's ]

Mijn zoon & dochter zijn de toekomst, de rest is tijdsvermaak. Home assistant & & Nibe S2125-12/SMO-S40, RMU-s40 & Tado - Volvo C40 ER, SE

vrijdag 3 juni 2005 11:26

Acties:

empheron

Verander voor de zekerheid de wachtwoorden van alle userid's die rechten hebben op de server. Het kan namelijk ook zo zijn dat er een andere server/pc in je domain gehackt is, waarvandaan een hacker, in bezit van een admin account de mailserver weer kan overnemen.

Zorg er overigens voor dat je de server zo inricht (desnoods in de router als je een beetje een goeie heb) dat er alleen porten naar de buitenwereld openkunnen die expliciet nodig zijn (dns,dhcp,ldap,pop3,smtp etc). Dan maar geen remote beheer. Wat voor een firewall gebruik je trouwens? Is misschien een idee om op je firewall alle poorten die niet noodzakelijk zijn dicht te zetten (heb het hier over van binnen naar buiten natuurlijk). Op deze manier kun je voorkomen dat trojans zelf actief connecties openen naar de buitenwereld.

vrijdag 3 juni 2005 12:19

Acties:

RetepV

ALLES valt te repareren

Topicstarter

BCC schreef op vrijdag 03 juni 2005 @ 11:09:
Wat kost een aantal dagen uit productie zijn bij jullie dan? Er zijn tegenwoordig zat bedrijven die je kan inhuren voor support, dan heb je geen deticated nodig.

Een aantal dagen uit productie kost niets, omdat wij niet uit productie zijn geweest. Ook kost systeembeheer niks omdat ik dat in mijn eigen tijd erbij doe.

Jongens, als je niet bij een groot bedrijf werkt, dan wordt je door de overheid aan alle kanten genaaid. Bij kleine bedrijven zijn dit soort situaties heel gewoon. Het is tegenwoordig vele malen makkelijker om wat je hebt te behouden dan iets compleet nieuw van de grond af op te bouwen. Met dank aan onze conservatieve regering van de afgelopen 5 jaar.

Je mag wat mij betreft best trots zijn dat je bij een groot bedrijf werkt waar alles prima geregeld is, maar je weet dat de economie door jouw bedrijf alleen maar vooruitkabbelt. Het zijn de kleine innovatieve bedrijven waar de toekomst van ons land bepaalt wordt.

Dus graag geen waardeoordelen meer over ons bedrijf. Het is zo al klote genoeg, ik hoef niet ook nog eens genaaid te worden door vakgenoten, ik wordt al genoeg genaaid door de overheid.

Macbook Pro

vrijdag 3 juni 2005 12:22

Acties:

ArjanC

Amen

vrijdag 3 juni 2005 12:30

Acties:

leuk_he

1. Controleer de kabel!

RetepV schreef op vrijdag 03 juni 2005 @ 12:19:
[...]
Het is zo al klote genoeg,

Kom dan eens met meer technische info? anderes gaat de discussie alleen over welnet systeembeheer.

rootkit: http://www.sysinternals.c...eware/rootkitreveal.shtml ?
achterdeur: een of andere best practice guide?
ergens een (van een pc) een server maken, patchen, instellen, en hiervan een image maken zodat je dezesnel over de server heen kunt zetten na een hack?

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

vrijdag 3 juni 2005 12:30

Acties:

Murcielago

maar denk ff na dan, wat kost nou webhosting + mail nou tegenwoordig, het zal je veel moeite besparen omdat er professionals werken met verstand van zaken
erbij doen is leuk, maar hoe vaak is dit nou al voorgekomen dat jij er weer flink wat uurtjes aan kwijt bent?

tenslotte probeer je nog de regering een deel van de schuld toe te schuiven, leg dat dan nog maar ff uit
dit is geen flame ofzo, maar denk even na over de situatie, en kijk of je dit toch niet liever wilt uitbesteden

PSN: djmurcielago

vrijdag 3 juni 2005 12:33

Acties:

RetepV

ALLES valt te repareren

Topicstarter

Ok, ik dacht maar niet gelijk met allerlei specifieke informatie te komen, anders krijg je DAAR weer commentaar op (ja, ik ben zelf professioneel programmeur, ik weet zelf hoe ik mijn mede programmeurs behandel, dat zal in systeembeheerland niet anders zijn). Als dat gewenst is kun je het krijgen

.

> Welke Windows versie draait er?

Windows 2000 Server 5.00.2195

Laat ik duidelijk zijn: alle laatste updates van Microsoft staan er gewoon op, inclusief Service Packs en alles.

> Welke IIS versie draait er?

IIS, de versie die bij Windows 2000 Server meegeleverd wordt. Is dat 7.0?

> Welke Exchange versie draait er?

Exchange 2000

> Wat is er gebeurd?

Het systeem is op een gegeven moment gecrashed. Geen idee waarom, in de logs kon ik niks anders terug vinden dan dat het systeem onverwachts een restart had gedaan. Ik was er toevallig een half uur later op en ik zag allemaal shit in C:\ RECYCLER terechtkomen. Ik ben als een gek alle onbekende processen gaan stoppen en heb een search gedaan op filedatum om te kijken wat er allemaal bij op gezet was. Bleek onder andere dat de file MAPI.DLL uit Exchange\Bin vervangen was. Ik heb Hijackthis gedraaid en zag een aantal processen die op disk verborgen bestanden waren. Heb deze allemaal handmatig verwijderd. Er waren een paar services toegevoegd, deze heb ik allemaal verwijderd. Passwords aangepast. Userlijst bekeken, daar was niks in veranderd.

> Wat voor firewall draai je?

Sygate Personal Firewall

> Welke virusscanner draai je?

Symantec AntiVirus Corporate Edition en Clamwin antivirus. Twee antivirussen om de boel goed dicht te houden. Helaas detecteren deze geen rootkits.

Eerlijkheidshalve moet ik zeggen dat op de dag van de hack Symantec AntiVirus er nog niet op stond.

> etc.

F-Secure Blacklight gedraaid om te scannen op rootkits. Die had er nog een paar gevonden die ik niet had gevonden en ik heb ze handmatig verwijderd.

Ik heb nog veel meer gedaan, maar misschien kunnen jullie hiermee al wat specifiekere vragen stellen zodat we wat constructiever aan de slag kunnen.

> Server is nooit helemaal clean geweest na 1e hack?

Sorry, ik was niet helemaal duidelijk. Ik bedoelde dat er 3 keer in de afgelopen 4 jaar een server van ons gehacked was. Maar de fysieke computer is een jaartje geleden vervangen door een nieuwere en daar is alles toen helemaal schoon op geinstalleerd. Dus dit is in feite de eerste keer dat deze fysieke computer gehacked is. De hack is ook een stuk geavanceerder dan die andere 2 op de oude computer.

Op beide computers stond overigens wel precies dezelfde software (op de updates na). Op de nieuwe heb ik alles gewoon opnieuw vers geinstalleerd.

> Kom dan eens met meer technische info?

Ik was al bezig

Macbook Pro

vrijdag 3 juni 2005 12:33

Acties:

Maurits van Baerle

Ik moet zeggen dat ik het wel vreemd vind. Wij draaien al jaren een Exchange2000 (met OWA/IIS) op een Windows2000 machine. Beetje de patches bijhouden zodra ze uitkomen en verder eens in de twee weken even goed de logs doorspitten. Met dit simpele onderhoud zijn we in vijf jaar nog nooit gehacked, geroot of whatever.

Het lijkt erop dat de sporen van de vorige hackpoging nooit goed zijn opgeruimd. Dan is een hacker of bot soms zo weer terug.

Of heb je in je firewall naar buiten meer dan poort 25/110/143/995/993/80/443 open staan? Alleen Pop3/Imap (bij voorkeur over SSL) en webverkeer (ook bijvoorkeur over SSL als het OWA betreft) open laten staan, dat beperkt het risico aanzienlijk. RPC of SMB poorten zijn natuurlijk een doodzonde om aan internetkant open te hebben staan.

Edit: Je schrijft dat je een software firewall draait? Misschien is het in jouw geval handig om daar een hardware doosje van te maken. Software firewalls zijn best aardig maar helemaal vertrouwen doe ik ze nooit. Als een hacker of bot namelijk al op je systeem zit en controle heeft moet het voor hem ook een koud kunstje zijn om zo'n firewall te disablen of (erger nog) stiekem een kleine beetje verder open te zetten.
Het eerste de beste packetfilter in een Sweex-routertje van een paar tientjes wat je voor je verbinding zet maakt het voor zo'n bot al een stuk lastiger om aan te passen. Bovendien draait zo'n firewall altijd door, ook tijdens een reboot, crashen van een service of wat dan ook.

[ Voor 31% gewijzigd door Maurits van Baerle op 03-06-2005 12:41 ]

Het grote: DAB+ digitale radio topic / IPv6 topic / OpenWRT topic

vrijdag 3 juni 2005 12:41

Acties:

RetepV

ALLES valt te repareren

Topicstarter

djmurcielago schreef op vrijdag 03 juni 2005 @ 12:30:
tenslotte probeer je nog de regering een deel van de schuld toe te schuiven, leg dat dan nog maar ff uit

Het grootste probleem is dat alle bedrijven tegenwoordig zelf de ziektekosten mogen dragen. Bij een groot gevestigd bedrijf is dat geen probleem, die hebben genoeg geld achter de hand. Bij een klein beginnend bedrijf is dat wel een probleem. Je hebt dan de keuze om een potje te sparen, een verzekering af te sluiten of de salarissen uit je eigen zak door te betalen als er iemand ziek is.

Sparen is leuk, maar als je beginnend bedrijf bent, dan heb je nog geen winst. Verzekering afsluiten is leuk, maar je betaalt daar veel geld voor dat je voor veel betere dingen kunt gebruiken (investeringen). Uit je eigen zak betalen is het goedkoopst, de meeste mensen zijn maar een paar dagen per jaar ziek. Totdat iemand langdurig ziek wordt...

Je wordt als klein bedrijf dus gedwongen om grote risico's te lopen omdat de huidige overheid vindt dat ieder voor zichzelf moet zorgen. Dus doe je als werknemer water bij de wijn, kom je toch opdagen als je ziek bent, doe je niet moeilijk over langer doorwerken. Totdat bijvoorbeeld een medewerker zijn been breekt en 3 maanden thuis moet zitten. Dan zit die medewerker maar 9 weken thuis, omdat 'ie wel weet dat het bedrijf niet het geld heeft om 3 maanden salaris te betalen zonder er inkomsten tegenover te hebben. Maar 9 weken is ook veel geld. Da's toch al gauw 10.000 euro die de baas dus uit zijn eigen zak moet betalen.

En dat is het laatste wat ik er over schrijf, want hier gaat de discussie helemaal niet over. Iemand die bij een klein bedrijf werkt begrijpt mij wel. Iemand die bij een groot bedrijf werkt begrijpt er toch niks van, die weet niet hoeveel risico's zijn eigen baas heeft gelopen toen het bedrijf net startend was...

Macbook Pro

vrijdag 3 juni 2005 12:46

Acties:

RetepV

ALLES valt te repareren

Topicstarter

MauritsvanBaerle schreef op vrijdag 03 juni 2005 @ 12:33:
Ik moet zeggen dat ik het wel vreemd vind. Wij draaien al jaren een Exchange2000 (met OWA/IIS) op een Windows2000 machine. Beetje de patches bijhouden zodra ze uitkomen en verder eens in de twee weken even goed de logs doorspitten. Met dit simpele onderhoud zijn we in vijf jaar nog nooit gehacked, geroot of whatever.

Ja, ik heb precies jouw mening. Ik begrijp er ook niks van. Ik kan alleen maar concluderen dat iemand het op onze server voorzien heeft ofzo. Ik zou niet weten waarom. Het is niet eens een zwaar systeem, gewoon een desktop systeempje in een 19" kast. Een AMD Sempron 2600 met 512Mb en 40GB harddisk.

De server werd 2 keer per week gecontroleerd op patches en die werden gelijk doorgevoerd.

Het lijkt erop dat de sporen van de vorige hackpoging nooit goed zijn opgeruimd. Dan is een hacker of bot soms zo weer terug.

Nee, dit is dus de eerste hack op deze nieuwe machine.

Edit: Je schrijft dat je een software firewall draait? Misschien is het in jouw geval handig om daar een hardware doosje van te maken. Software firewalls zijn best aardig maar helemaal vertrouwen doe ik ze nooit. Als een hacker of bot namelijk al op je systeem zit en controle heeft moet het voor hem ook een koud kunstje zijn om zo'n firewall te disablen of (erger nog) stiekem een kleine beetje verder open te zetten.

Precies, dat is dus ook nu het idee. De server wordt binnenkort opgehaald en dan gaat er een hardware firewall bij in. Weet iemand een goede en goedkope? Ik zat zelf te denken aan een desktop firewalletje, een Sweex ofzo, maar die schijnen maar 20Mbits/sec ofzo aan te kunnen? Een 19" firewall is wat groot, ik wilde hem in de kast van de server zelf inbouwen, namelijk. Ruimte zat.

[ Voor 4% gewijzigd door RetepV op 03-06-2005 12:48 ]

Macbook Pro

vrijdag 3 juni 2005 12:52

Acties:

RetepV

ALLES valt te repareren

Topicstarter

Bedankt voor alle replies tot noch toe, overigens! Vergeet ik helemaal in de hitte van die andere discussie waar ik niet meer op ga reageren

.

Ik heb trouwens een kopie gemaakt van alle dingen die ik verwijderd heb. Ik kan dus nog controleren welke pakketjes er allemaal op gezet waren. Maar volgens mij heeft dat weinig zin, want het gaat niet om wat er AF gehaald is, maar wat er mogelijk nog OP zit

. Hoe kan ik op een snelle en/of makkelijke manier zien dat er nog meer malware op zit?

Edit:

Ik vraag me eigenlijk af of het wel onze server is die het probleem is. Wij zitten in een rek met andere servers. Volgens mij zit er een Cisco switch met 32 aansluitingen op, en die zat volgens mij helemaal volgeprikt. Wat als een aantal van die andere servers als anonieme FTP omgehacked zijn (net als de onze was)? Dan blijft er voor onze server nog maar bar weinig bandbreedte op die switch over...

[ Voor 47% gewijzigd door RetepV op 03-06-2005 12:58 ]

Macbook Pro

vrijdag 3 juni 2005 13:00

Acties:

Gwaihir

Edit - Birdie leest in de nieuwe post tijdens mijn typen dat het al om een server in een datacenter gaat.

Goed mogelijk. Kan de colocatie niet voor je meten / uitlezen hoeveel data er door die switch gaat?

[ Voor 74% gewijzigd door Gwaihir op 03-06-2005 13:03 ]

vrijdag 3 juni 2005 13:03

Acties:

Verwijderd

Heb je meer informatie over wat er zaterdag precies is gebeurd? Mijn server (2003) is zaterdagmiddag ook spontaan gereboot, maar aangezien ik niets vreemds kon vinden en het toch zaterdag middag was hield ik het op een power-outage. Op technet kan ik echter niets vinden.

vrijdag 3 juni 2005 13:09

Acties:

we_are_borg

You will Comply

Misschien dat deze site je verder kan helpen. De site beschrijft precies wat er gedaan dient te worden als je server is gehackt. Het weg halen van alle bevuilde bestanden en programma's is niet genoeg, er kan namelijk altijd wat achter blijven.

You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.

vrijdag 3 juni 2005 14:04

Acties:

RetepV

ALLES valt te repareren

Topicstarter

Om over dat documentje van CERT in te gaan...

Alle puntjes uit hoofdstuk F. had ik al gedaan. Maar met Microsoft software is het dweilen met de kraan open. Ik ben er van overtuigd dat de hacker via een onbekend (of bekend maar nog niet gepatched) lek is binnengekomen.

Ik heb in een aantal scriptjes overigens een IP adres teruggevonden waarvandaan het de bedoeling was een rootkit te downloaden. Dit IP is van een gebruiker van @home. Ik heb een abuse naar abuse@home.nl gestuurd, maar die nemen niets serieus. Gezien de ongeloofelijk domme replies die ik krijg ('stuur de mail headers op', sjonge, waar zitten de mailheaders in een rootkit?

) is het gewoon een zoethoudertje.

Ik ben nog even een portscan van het systeem aan het doen, kijken of dat nog resultaten oplevert. Ik heb wel een image van het systeem, maar dat was van toen het vers geinstalleerd was. Dus dat terugzetten doe ik liever niet. Vandaar mijn vraag of er geen tools zijn waarmee ik een en ander kan controleren.

[ Voor 17% gewijzigd door RetepV op 03-06-2005 14:13 ]

Macbook Pro

vrijdag 3 juni 2005 14:16

Acties:

RetepV

ALLES valt te repareren

Topicstarter

Birdie schreef op vrijdag 03 juni 2005 @ 13:00:
Goed mogelijk. Kan de colocatie niet voor je meten / uitlezen hoeveel data er door die switch gaat?

Als ik er van overtuigd ben dat ONS systeem het probleem niet is, dan zal ik ze dat wel gaan vragen. Ik heb ze op de hoogte gebracht dat ons systeem gehacked was, wat zij daar verder mee doen zou ik niet weten.

Deze hack is overigens al 1.5 week geleden gebeurd. Maar onze mailserver blijft traag als dikke str*nt

. IIS doet het daarentegen prima. Misschien is het alleen maar dat Exchange instabiel geworden is, omdat de rootkit er bij Exchange in gewurmd was (o.a. MAPI.DLL was vervangen). Maar ik wil het zekere voor het onzekere nemen.

Macbook Pro

vrijdag 3 juni 2005 15:14

Acties:

we_are_borg

You will Comply

RetepV schreef op vrijdag 03 juni 2005 @ 14:04:
Om over dat documentje van CERT in te gaan...

Alle puntjes uit hoofdstuk F. had ik al gedaan. Maar met Microsoft software is het dweilen met de kraan open. Ik ben er van overtuigd dat de hacker via een onbekend (of bekend maar nog niet gepatched) lek is binnengekomen.

Ik heb in een aantal scriptjes overigens een IP adres teruggevonden waarvandaan het de bedoeling was een rootkit te downloaden. Dit IP is van een gebruiker van @home. Ik heb een abuse naar abuse@home.nl gestuurd, maar die nemen niets serieus. Gezien de ongeloofelijk domme replies die ik krijg ('stuur de mail headers op', sjonge, waar zitten de mailheaders in een rootkit? ) is het gewoon een zoethoudertje.

Ik ben nog even een portscan van het systeem aan het doen, kijken of dat nog resultaten oplevert. Ik heb wel een image van het systeem, maar dat was van toen het vers geinstalleerd was. Dus dat terugzetten doe ik liever niet. Vandaar mijn vraag of er geen tools zijn waarmee ik een en ander kan controleren.

Er zijn genoeg tools waar mee je vanalles kan na lopen maar als er één iemand zo slim is geweest om iets te veranderen dan zal zo tool het niet kunnen vinden. Een poort scan is leuk maar als het via je standaart poorten werkt dan valt het niet eens op.
De CERT geeft aan dat je wel dient te onderzoekken wat er fout is gegaan, daarna alle logboeken veiligstellen. Daarna dien je toch de server te herinstalleren, gebruik gewoon hier voor de orginele cd/dvd en niet een image. Begin voor dit alles een overzicht te maken wat er gaat draaien op de server dus, IIS, Exchange, firewall enz enz. Ga dan zoeken wat voor beveiliging/security fixes je nodig heb. Dus behandel eerst IIS, zorg er voor dat je alles download aan patches en sucurity fixes, daarna het zelfde met de rest. Wil je het echt veilig doen sluit de server dan niet bij installatie rechtstreeks aan op internet, je zit immers met een ongepacht systeem op internet. Je heb er wel even werk aan maar je weet zeker dat het systeem niet geinfecteert is geraakt tijdens installatie.

Ik heb in het begin ook last gehad met exchange en ben toen ook overnieuw begonnen, en wel zoals ik boven beschreef. Ik heb hierna nooit meer last gehad met de server.

You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.

vrijdag 3 juni 2005 16:00

Acties:

wildhagen

Blablabla

Over dat binnenkomen: dat kan ook via gekraakte passworden... ik neem aan dat je geen LM gebruikt, maar alleen NTLM(2)? En als je toch LM gebruikt dat je passwords groter zijn dan 14 karakters? Anders kunnen ze het password via de LM Hash achterhalen, als ze op een of andere manier bij de SAM kunnen.

Welke authenticatie binnen IIS gebruik je? Geen Basic neem ik aan? Want dan gaan je wachtwoorden blanko (unencrypted) over de lijn...

NetBIOS naar buiten je organisatie staat neem ik aan dicht?

IIS staat neem ik aan niet op je systeempartitie? Dat voorkomt iig weer directory traversal met alle mogelijk ellende vandien (aanroepen van CMD.EXE etc)

Bij IIS heb je de standaard zooi niet geinstalleerd neem ik aan, behalve wat je nodig hebt? Heb je de IIS LockDown Tool ook gedraaid?

Verder moet je dit maar eens lezen, en checken tegen je huidige situatie: http://www.ol-service.com/sikurezza/doc/netcat_eng.pdf. Best kans dat je daar ook nog wat suggesties uit kan halen.

Handige checklist trouwens: http://www.washington.edu...ains/IISsecchecklist.html

[ Voor 14% gewijzigd door wildhagen op 03-06-2005 16:03 ]

Virussen? Scan ze hier!

vrijdag 3 juni 2005 16:37

Acties:

RetepV

ALLES valt te repareren

Topicstarter

wildhagen schreef op vrijdag 03 juni 2005 @ 16:00:
Over dat binnenkomen: dat kan ook via gekraakte passworden... ik neem aan dat je geen LM gebruikt, maar alleen NTLM(2)? En als je toch LM gebruikt dat je passwords groter zijn dan 14 karakters? Anders kunnen ze het password via de LM Hash achterhalen, als ze op een of andere manier bij de SAM kunnen.

Connectie met het systeem is alleen via SMTP en POP. Voor SMTP is het verplicht via NTLM authenticatie om relaying tegen te gaan (onder andere). Voor POP is het aan de gebruiker. Geen enkel account heeft de rechten om interactief aan te loggen. Behalve het Administrator account dan. En de Administrator komt er alleen op via pcAnywhere.

Ik geloof niet dat ze via een user-account binnen gekomen zijn. Ik denk eerder via een nog ongepatcht lek in IIS.

Ik heb zojuist een volledige port-scan gedaan, en het bleek dat er twee poorten open stonden die me RPC van doen waren. Die zijn waarschijnlijk open gezet door Exchange of IIS. Als ik er met telnet aanlog, dan krijg ik de melding 'ncacn_http/1.0' terug. Ik heb het opgezet, het is iets om RPC via IIS te kunnen routen ofzo. Perfekt punt voor een beveiligingslek, dus het zou wel eens heel goed daar mis gegaan kunnen zijn. De poorten zijn nu gedicht in de firewall, maar helaas een beetje laat.

Welke authenticatie binnen IIS gebruik je? Geen Basic neem ik aan? Want dan gaan je wachtwoorden blanko (unencrypted) over de lijn...

Alleen Challenge/Response authenticatie, dus daar verwacht ik geen problemen.

NetBIOS naar buiten je organisatie staat neem ik aan dicht?

Yep.

IIS staat neem ik aan niet op je systeempartitie? Dat voorkomt iig weer directory traversal met alle mogelijk ellende vandien (aanroepen van CMD.EXE etc)

Kijk, dit is dus wel het geval. Of beter gezegd, er is maar 1 partitie en daar staat alles op. Dit knoop ik dus even in mijn oren...

Bij IIS heb je de standaard zooi niet geinstalleerd neem ik aan, behalve wat je nodig hebt? Heb je de IIS LockDown Tool ook gedraaid?

Ja. Maar wel alleen vlak na de installatie en later niet meer. Ik weet niet of dat na het downloaden en installeren van patches weer nodig was geweest?

Hardstikke bedankt voor deze substantieele informatie. Erg lastig hoor. Ik ben geen officieele systeembeheerder maar ik dacht dat ik deze server toch wel aardig dicht getimmerd had. Maar zoals altijd: één gaatje is genoeg voor de muis om binnen te komen, daarna is het een kwestie van vermenigvuldigen

Macbook Pro

vrijdag 3 juni 2005 16:40

Acties:

RetepV

ALLES valt te repareren

Topicstarter

we_are_borg schreef op vrijdag 03 juni 2005 @ 15:14:
Wil je het echt veilig doen sluit de server dan niet bij installatie rechtstreeks aan op internet, je zit immers met een ongepacht systeem op internet. Je heb er wel even werk aan maar je weet zeker dat het systeem niet geinfecteert is geraakt tijdens installatie.

Daartoe was ik sowieso al gedwongen. Het systeem is tevens een domain server voor ons domein. Ik kon het niet installeren terwijl de oude server nog in het rek bij de pop zat, want dan heb je een domain-server name clash.

Dus de hele boel is in het begin netjes op zijn eigen netwerkje in elkaar gezet, zonder internet toegang.

Inmiddels heb ik besloten om hem maar op te gaan halen en te herinstalleren. De image is veilig, dat weet ik 100% zeker. Dus is het een kwestie van de image terugzetten en dan alle patches erop zetten.

[ Voor 13% gewijzigd door RetepV op 03-06-2005 17:00 ]

Macbook Pro

vrijdag 3 juni 2005 20:48

Acties:

ReLight

echo("What Now ? !")

Sorry moet toch even: Klein bedrijf+eigen tijd erin steken (=onbetaald)+extra investeren in hw firewall & Dit alles en je veiligheid van je bedrijf niet WILLEN ondervangen door gewoon gebruik te maken van een hosting pakket & ISP e-mail ?
Aangezien je al Internet hebt, heb je het waarschijnlijk zelfs al in je pakket zitten en betaal je er al voor...
Lijkt mij dat je gewoon zit te wachten tot de volgende hacker wel jouw CVS eens goed onderhanden neemt en wel schade maakt.

Zelf jaren lang voor een 8 mans bedrijf gewerkt, zelfs met eigen email server software als product, toch gewoon gebruik gemaakt van pop bij de ISP hoor. Risico's zijn groot bij ondernemen, maar dat is geen excuus om niet je verstand te gebruiken. Dan wordt er juist verwacht dat je je hersenen gebruikt.
Dat is, tenzij je het gewoon lekker vind natuurlijk.

Mijn zoon & dochter zijn de toekomst, de rest is tijdsvermaak. Home assistant & & Nibe S2125-12/SMO-S40, RMU-s40 & Tado - Volvo C40 ER, SE

vrijdag 3 juni 2005 21:14

Acties:

smvs

ReLight schreef op vrijdag 03 juni 2005 @ 20:48:
Sorry moet toch even: Klein bedrijf+eigen tijd erin steken (=onbetaald)+extra investeren in hw firewall & Dit alles en je veiligheid van je bedrijf niet WILLEN ondervangen door gewoon gebruik te maken van een hosting pakket & ISP e-mail ?
Aangezien je al Internet hebt, heb je het waarschijnlijk zelfs al in je pakket zitten en betaal je er al voor...
Lijkt mij dat je gewoon zit te wachten tot de volgende hacker wel jouw CVS eens goed onderhanden neemt en wel schade maakt.

Zelf jaren lang voor een 8 mans bedrijf gewerkt, zelfs met eigen email server software als product, toch gewoon gebruik gemaakt van pop bij de ISP hoor. Risico's zijn groot bij ondernemen, maar dat is geen excuus om niet je verstand te gebruiken. Dan wordt er juist verwacht dat je je hersenen gebruikt.
Dat is, tenzij je het gewoon lekker vind natuurlijk.

Wat weet jij nou werkelijk van de situatie van de TS. Denk je dat ze debiel zijn bij het bedrijf waar hij werkt?

Ik neem het in deze toch echt op voor de TS. Kan er nou niet domweg inhoudelijk op het probleem gereageerd worden? Of moet iedereen die een cursus patiencen gehad heeft heel Hollands en kneuterig er op wijzen dat de TS de dingen niet volgens het boekje doet? Ik zal je uit de droom helpen: Er is geen boekje.

Laatst was hier een topic over Google in de begindagen, met een foto van hun met Lego in elkaar geprutste server. Dat vond iedereen geweldig, want Google is immers uitermate succesvol. Echter, als je dit had laten zien zonder op de hoogte te zijn geweest van hun succes had niemand het hier serieus genomen. Want het zit niet netjes in een rack, en het is niet volgens het boekje.

Hiermee wil ik niet zeggen dat de TS houtje touwtje methoden gebruikt, maar ik wil er wel mee duidelijk maken dat alles op de officiele manier doen in de meeste bedrijven niet kan, omdat hier domweg geen geld voor is. Bovendien is het niet nodig. Als er geld in overvloed is, is het ook helemaal geen kunst om alles draaiende te houden. De kunst is nou juist om met beperkte middelen de dingen toch voldoende te laten functioneren.

vrijdag 3 juni 2005 23:05

Acties:

ReLight

echo("What Now ? !")

smvs schreef op vrijdag 03 juni 2005 @ 21:14:
[...]

Wat weet jij nou werkelijk van de situatie van de TS. Denk je dat ze debiel zijn bij het bedrijf waar hij werkt?
.

Nee, maar op de inhoudelijk valide argumenten om de situatie te verbeteren, en of niet meer voor te laten komen wordt niet ingegaan door TS, ik ben benieuwd waarom dit geen optie kan zijn, er wordt overduidelijk gekozen om idd door te modderen. Er wordt hier graag geholpen ook door mij, en juist omdat er uitgegaan wordt dat TS of bedrijf niet debiel of seniel is

, wordt er aangenomen dat TS de situatie graag verbeterd zou willen hebben.

Ik kan me prima inleven in de situatie zelfs, been there, done that.

Ook groot bedrijven zitten bovenop geld btw.
Ook heb ik een inhoudelijke reactie op de huidige situatie gegeven: formateren die bak.
Dus er is een benadering manier geboden om het huidige probleem aan te pakken (format, en door andere FW erbij), en een opvolging geadviseerd (overweeg een isp service, dit is niet moeilijk.).

Doe ermee wat je wilt, het is de TS z'n tijd.

Die kan beter programmeren zegt hij zelf, lijkt me een productivere tijdsbesteding als hij zijn baas wil steunen.

Mijn zoon & dochter zijn de toekomst, de rest is tijdsvermaak. Home assistant & & Nibe S2125-12/SMO-S40, RMU-s40 & Tado - Volvo C40 ER, SE

zaterdag 4 juni 2005 01:13

Acties:

we_are_borg

You will Comply

smvs schreef op vrijdag 03 juni 2005 @ 21:14:
[...]

Wat weet jij nou werkelijk van de situatie van de TS. Denk je dat ze debiel zijn bij het bedrijf waar hij werkt?

[knip]

Als je de TS start gaat lezen dan zal je zien dat het al de derde keer is dat de server gehackt is. Dus een beetje zijn ze het wel.

Ik denk zo te horen dat de TS redelijk op weg is alleen op een of andere manier komen ze toch op hun server. De eerste mogelijkheid is dat er een achter deur open blijft staan, alleen hoe ga je die sluiten. De tweede mogelijkheid is dat het intern per ongeluk of express iets fout gaat. Maar ga nu maar uit zoeken wat het is.
@TS Je zei dat je de image vertrouwt is dat de zelfde image die ook de vorige twee keer gebruikt is. Zoja dan niet meer gebruiken, ik zou trouwens de hele image niet meer vertrouwen al was ik de enigste die toegang had.
Begin gewoon van nul af, heb ik toen ook gedaan en dat werkt het beste. Ook dien je er paar dagen er voor uit te trekken voor de installatie. ik heb toen een site gevonden waar stond wat je stappen moest zijn om zo veilig mogelijk een server op te zetten. Dit heeft mijn echt heel goed geholpen, helaas weet ik de website niet meer. Ook heb ik veel gehad aan winfaq.com (of zoiets, ben al me bookmarks kwijt geraakt), trek er genoeg tijd vooruit om het te installeren liever te veel als te weinig. Duik ook even internet op en ga kijken hoe sommige exploits werken, vraag daarbij ook een computer aan zodat je daar ook een server kan installeren die gelijk is kwa software zodat je kan testen zonder eerst op de hoofd server te hoeven komen. Ten tweede maak een duidelijk logboek, wordt er iets veranderd dan gelijk opschrijven. Ten derde gebruik een md5 programma en zorg er voor dat de belangrijkste bestanden een md5 behandeling krijgen de gegevens op memory stick of cd zetten en weg leggen waarbij alleen de admins kunnen komen. Wildhagen geeft zeer goede tips gebruik deze niets in plain tekst verzenden, alles gecodeerd verzenden, het opzetten duurt een paar tellen langer maar later veel profijt ervan. Het is beter om nu meer werk te hebben als later weer opnieuw te beginnen en een hack op een server betekent bij mij nog altijd kijken wat er gebeurt is en opnieuw beginnen.

You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.

zaterdag 4 juni 2005 13:11

Acties:

Rolfie

Nog een goed tips voor je beveiliging van je IIS server.

Koop een SSL certificaat (150Euro voor 3 jaar). Laat alleen SSL webtoegang tot je webserver. Dit maat het al behoorlijk lastiger voor hackers om binnen te komen. Gebruik dit certificaat ook op je pop3/smtp email op te halen vanaf je server. Dit scheelt je een hoop shit op je server.

zaterdag 4 juni 2005 14:44

Acties:

Ook

Yes I can!

Rolfie schreef op zaterdag 04 juni 2005 @ 13:11:
Nog een goed tips voor je beveiliging van je IIS server.

Koop een SSL certificaat (150Euro voor 3 jaar).
[...]

Is een gekocht certificaat nou beter dan een zelf gemaakte? Enige voordeel is toch dat ie dan vaak van een Trusted uitgever komt? Scheelt toch weer wat cash voor een klein bedrijfje!

Wees consequent, maar niet altijd

zaterdag 4 juni 2005 21:09

Acties:

Rolfie

Ook schreef op zaterdag 04 juni 2005 @ 14:44:
[...]

Is een gekocht certificaat nou beter dan een zelf gemaakte? Enige voordeel is toch dat ie dan vaak van een Trusted uitgever komt? Scheelt toch weer wat cash voor een klein bedrijfje!

Voor OWA maakt het niet uit. Maar volgens mij wel als je pop3 en smtp email wilt gaan gebruiken (weet dit niet 100% zeker).

maandag 6 juni 2005 14:14

Acties:

RetepV

ALLES valt te repareren

Topicstarter

ReLight schreef op vrijdag 03 juni 2005 @ 20:48:
Sorry moet toch even: Klein bedrijf+eigen tijd erin steken (=onbetaald)+extra investeren in hw firewall & Dit alles en je veiligheid van je bedrijf niet WILLEN ondervangen door gewoon gebruik te maken van een hosting pakket & ISP e-mail ?

[knip]

Jij kent de volledige situatie dan ook niet, en deze thread is geen plaats om die te gaan bespreken. Tel even hoeveel aannames je hebt gedaan bij het komen tot jouw conclusie. Hoe meer aannames, hoe groter de kans dat je de plank mis slaat. Daarom moet je altijd je aannames tellen VOORDAT je reageert met een waardeoordeel.

Maar laat ik toch even wijzen op het belang van 'historie', dwz. dat bepaalde dingen 'groeien'. Vaak loop je op een gegeven tegen een drempel aan, waarbij de oude manier van werken nog net aan voldoet, maar het investeren in een nieuwe manier te veel kost en te weinig oplevert. Uiteindelijk gaat het *nooit* om absolute kosten, maar altijd om relatieve kosten. Dwz. het verschil tussen wat iets kost en wat het oplevert (of gaat opleveren, want investeren doe je in de toekomst). Op de werkvloer houden mensen zich misschien bezig met absolute kosten (en zo hoort het ook), maar als je gaat kijken naar de beslissers dan houden die zich allemaal bezig met relatieve kosten.

Het is op zich wel erg dat er scriptkiddies zijn die servers hacken en geen idee hebben hoeveel schade ze aanrichten. Laat ze alsjeblieft servers van grote bedrijven hacken. Die hebben de resources om de boel weer te repareren. Als je kleine webservertjes aanvalt, dan heb je er alleen maar de kleine bedrijfjes mee die toch al weinig slagkracht hebben. Daarmee doe je de economie vele malen meer schade aan dan wanneer je bijvoorbeeld de servers van Philips of Siemens ofzo zou hacken.

[certificaat]

Een certificaat is een certificaat. Een eigen gemaakt certificaat heeft alleen geen vertrouwde certificate authority. Een zelfgemaakt certificaat levert evenveel encryptieveiligheid op (naja, misschien ietsje minder) als een gekocht certificaat. Alleen is er dus niemand die zegt dat de UITGEVER van het certificaat een betrouwbaar bedrijf is.

In feite heb je overigens gelijk dat het gebruik van een certificaat veiliger is, maar het is niet zo gebruiksvriendelijk. Als je een keer je mail wil ophalen terwijl je dat certificaat niet bij je hebt (zeg, je zit bij een klant op een systeem van hen), dan kun je dat niet.

[router]

Het plan is nu om een router met firewall in het systeem in te bouwen. Ruimte genoeg, het is een 3u kast. Ik heb al een routertje op het oog, namelijk de Netgear ProSafe FR114P. Die lijkt in de kast te passen (en anders maak ik hem wel met tie-wraps vast aan de achterkant van de kast

), en heeft aardige features: http://www.netgear.com/products/details/FR114P.php.

Omdat het een extern kastje is en alles in flash zit kan er geen rootkit op gezet worden. En met static port forwards kunnen hackers rootkits en andere zut op de machine zetten, maar die mogen niet naar buiten en zijn dan dus onbereikbaar. De router heeft ook DoS attack protection, onze server is een paar weken geleden ook al ge-DoS't vanuit China (echt, waarom ze ONS nou steeds moeten hebben?).

En ik kan nergens iets over uPnP vinden, dus dat zal er dan ook wel niet op zitten.

Maar het belangrijkste is dat hij aan de WAN kant ook een 10/100Mb aansluiting heeft. De meeste goedkope routers hebben maar een 10Mb aansluiting, en dat is gewoon te weinig. Nou verwacht ik niet dat deze router dan ook de 10MByte/s kan doorvoeren, maar ik neem toch aan de het wel iets meer is dan de 1MByte/s van zo'n goedkoop SWEEX routertje.

[ Voor 70% gewijzigd door RetepV op 06-06-2005 14:36 ]

Macbook Pro

maandag 6 juni 2005 22:41

Acties:

mvandek2

Ik moet hier echt even op reageren al besef ik helemaal dat dit niet de plaats is maar goed, ik begin er niet over......

"Je mag wat mij betreft best trots zijn dat je bij een groot bedrijf werkt waar alles prima geregeld is, maar je weet dat de economie door jouw bedrijf alleen maar vooruitkabbelt. Het zijn de kleine innovatieve bedrijven waar de toekomst van ons land bepaalt wordt."

> Jij en "jouw bedrijf" klinken anders niet zo innovatief en als het al slecht gaat door een zieke werknemer ook niet echt levensvatbaar...

"Het grootste probleem is dat alle bedrijven tegenwoordig zelf de ziektekosten mogen dragen. Bij een groot gevestigd bedrijf is dat geen probleem, die hebben genoeg geld achter de hand. Bij een klein beginnend bedrijf is dat wel een probleem. Je hebt dan de keuze om een potje te sparen, een verzekering af te sluiten of de salarissen uit je eigen zak door te betalen als er iemand ziek is."

> Wat is dit voor Calimero syndroom? Grote bedrijven hebben geld en kleintjes niet?

"Sparen is leuk, maar als je beginnend bedrijf bent, dan heb je nog geen winst. Verzekering afsluiten is leuk, maar je betaalt daar veel geld voor dat je voor veel betere dingen kunt gebruiken (investeringen)."

> Verzekeringen zijn noodzakelijke kosten die je vooraf incalculeert ander ben je ronduit onverantwoord bezig. Alweer; als het daardoor direct krap wordt moet je eens goed nadenken of je goed bezig bent.

"Je wordt als klein bedrijf dus gedwongen om grote risico's te lopen omdat de huidige overheid vindt dat ieder voor zichzelf moet zorgen."

> Tsja, nogmaals, dat weet je voor je er aan begint. Klinkt ook allemaal zo strijdig, wel zelfstandige zijn maar toch willen leunen op de overheid.
Het klinkt allemaal zo slap....

maandag 6 juni 2005 23:02

Acties:

Edwin van Cleef

Werk veilig of werk niet

Zie mijn reactie niet als flame.
Mijn ervaring is in ieder geval wanneer er een windows server online staat dat hij behoorlijk veel aangevallen word.
Dit is voor mij alleen al in mijn privenetwerk de reden geweest om van windows server over te stappen op linux.
Het lijkt wel of er personen een sport van maken te kijken welke homepages draaien op een IIS server om hem vervolgens over zijn nek te laten gaan.
Heb het meerdere malen ondervonden dat er bestanden op mijn server stonden die er niet ophoorden terwijl hij volledig gepatched was.
Hoe dit heeft kunnen gebeuren is mij nu nog een raadsel maar ik had vrijwel iedere dag wel te maken met aanvallen van buitenaf.
Nu nog in expirimentele kring hier heb ik een appacheserver online staan wat overigens ook prima werkt op een fedora distro maar het gebruiksgemak van windows server vind ik toch wel fijner werken.
In combinatie met exchange server 2000 (mijn versie is een SBS versie) was ik over de werking op zich dik tevreden.
Als ik zo alles in 1 oogopslag lees heeft de TS ook een dergelijke versie draaien en ik kan heel goed begrijpen dat in een bedrijfssituatie wanneer dit down gaat grote ergenis kan opwekken (ik ga alleen al na wat voor ergenis mij het heeft opgeleverd prive).
Probeer in ieder geval eens je server overnieuw te installeren zonder de internet aansluiting en zorg dat je de laatste servicepacks en dergelijke al op cd hebt staan.
Van onder af aan de installatie en de configuratie opbouwen en als dat gebeurd is weer operationeel zetten middels je internetaansluiting.

Maar alles wat de TS noemt klinkt mij heel bekend in de oren en hoeft per definitie niet de schuld te zijn van verkeerd systeembeheer.
MS heeft met de server 2000 reeks al een prima systeem neergezet maar er blijven van die raddraaiers die gaten zoeken om binnen te komen.
Een hardwarematige firewall met alleen de benodigde poorten open die van belang zijn doet al wonderen.
Geheel aanvalvrij kan niemand garanderen maar er is wel degelijk wat aan te doen om de risico's zo beperkt mogelijk te houden.

computer voor alle werkzaamheden

maandag 6 juni 2005 23:13

Acties:

Nitroglycerine

Autisme: belemmering en kracht

RetepV, als je eens contact met me opneemt op mijn email, dan babbelen we effe over een firewall indien je er interesse in hebt. Ik kan je namelijk helpen bij het opzetten van bijvoorbeeld een linux ip tables firewall. Daar draait hier thuis al ruim 3 jaar een IIS en een apache server achter, en nog nooit problemen mee gehad.

email: weg

[ Voor 6% gewijzigd door Remy op 07-06-2005 14:24 ]

Hier kon uw advertentie staan

maandag 6 juni 2005 23:19

Acties:

Verwijderd

Gebruik het programma TCPView.exe om alle connecties te controleren.
Evt Autoruns om te kijken wat er allemaal in het opstarten staat.

En update je IIS server.

maandag 6 juni 2005 23:27

Acties:

DaRealRenzel

Overtuigd Dipsomaan

RetepV schreef op vrijdag 03 juni 2005 @ 12:41:
[...]

Het grootste ..........................

................weet niet hoeveel risico's zijn eigen baas heeft gelopen toen het bedrijf net startend was...

Dat noemt men nou ondernemen.

Nothing is a problem once you've debugged the code

maandag 6 juni 2005 23:38

Acties:

DaRealRenzel

Overtuigd Dipsomaan

Ondanks ijn vorige post nog even dit. Ik vind het een beetje erg vreemd dat je al je bedrijfsinformatie (mail, Web, Domain enz enz) op een Colo hebt draaien. Ik kan er nog inkomen dat je een snelle Web presence wilt hebben en daardoor een Webserver wilt colo-en, maar waarom in gods naam zet je je eigen Domain ook in die Colo ?

Waarom Colo je niet gewoon alleen je Webserver en plaats je de overige services op je eigen DSL lijn op je eigen kantoor ? Dan hoef je naar buiten alleen maar een paar simpele poortjes open zte zetten op je Firewall, en je krijgt je mail binnen. OWA achter SSL en zelfs port 80 kan dicht. Hoef je dus in feite alleen poort 25 en poort 443 open te zetten voor connecties van buitenaf.

Of snap ik het nou niet ?

Nothing is a problem once you've debugged the code

maandag 6 juni 2005 23:53

Acties:

ReLight

echo("What Now ? !")

@retepV:
Begin nu niet over waarschijnlijkheid en voorzieningheid, da's veel te leuk maar niet voor hier.
Het waren jouw statements.

...Hier stond een heel verhaal...verwijdert. Ik heb er geen zin in dit voort te zetten..

Hey, rot voor je dat je server elke keer de klos is, veel sucses ermee.
Denk nog een keer terug aan dit topic de volgende keer. Howdoe.

[ Voor 82% gewijzigd door ReLight op 07-06-2005 00:24 . Reden: onverbeterbaar. ]

Mijn zoon & dochter zijn de toekomst, de rest is tijdsvermaak. Home assistant & & Nibe S2125-12/SMO-S40, RMU-s40 & Tado - Volvo C40 ER, SE

dinsdag 7 juni 2005 12:13

Acties:

RetepV

ALLES valt te repareren

Topicstarter

ReLight schreef op maandag 06 juni 2005 @ 23:53:
Hey, rot voor je dat je server elke keer de klos is, veel sucses ermee.
Denk nog een keer terug aan dit topic de volgende keer. Howdoe.

Sorry dat ik je beledigd heb. Maar je denkt toch niet dat ik hier in een openbaar forum ons complete systeem ga zitten beschrijven, terwijl het net gehacked is door een scriptkiddie? En het topic ging niet over *hoe het systeembeheer zou moeten*, maar over *hoe ik de rootkits en andere rotzooi van de server af krijg*. Ik dacht toch echt dat dat met de topicstart wel duidelijk was. Open anders een eigen topic over systeembeheer en geef daar dan tips in.

Ik weet hoe systeembeheer in grote (en minder grote) bedrijven gebeurt.Bij ons gebeurt het anders, en ik weet ook dat wij niet het enige bedrijf zijn waar het zo gaat. Als je dus gefrustreerd wordt door de bedrijfjes die niet de middelen hebben om het GOED te doen, gebruik dan je kennis om een eigen bedrijfje op te richten die tools gaat creeeren waarmee ook kleine bedrijfjes met krappe budgetten (in geld en arbeidsuren) hun servers veilig kunnen houden. Al dat discussieren en nawijzen is a-constructief en dus regelrecht gezeur zonder dat het ook maar iets meer oplevert dan dat jij je lekker voelt omdat je iemand de les hebt kunnen lezen.

Wat mij betreft gaat dit topic dicht, er komt toch niks constructiefs meer uit. Ik zit niet te wachten op gezeur en daarna nog eens kinderachtig gepruil als ik niet onvoorwaardelijk een mening van een zogenaamde 'professional' overneem. Ik open wel een nieuw topic met mijn nieuwe vragen. In de topic start zal ik dan vragen of de moderators off-topic replies gelijk willen verwijderen, want het gaat echt nergens over.

Ik bekijk het heel simpel: als Microsoft een Server OS maakt, dat het 'meest geteste OS ooit' noemt, en dan blijkt dat al dat testen helemaal *niks* heeft opgeleverd, dan heeft Microsoft geld lopen verbranden en kunnen hun klanten op de blaren zitten. Als zij mij overhalen om een server neer te zetten met hun software, en ik moet vervolgens 24 uur per dag mijn server in de gaten houden, dan hebben ze prutswerk opgeleverd. Helaas zitten wij intussen wel vast aan dat OS.

Gooi dit topic A.U.B. maar dicht. Bedankt aan iedereen die constructieve dingen heeft geschreven, door jullie is er vooruitgang in de wereld. Aan de anderen zou ik willen zeggen: hou toch op met over de problemen praten en waardeoordelen te geven. Doe iets om ze op te lossen.

Macbook Pro

dinsdag 7 juni 2005 12:38

Acties:

Edwin van Cleef

Werk veilig of werk niet

Persoonlijk vind ik je vorige post een zwak antwoord.
Je vraagt aan de ene kant om raad maar aan de andere kant word menig persoon die goede weet heeft over de stand van zaken opzij geschoven.
Wanneer je een dergelijke posting hier op het forum plaatst lijkt het mij logisch dat menig geinteresseert persoon dit zal lezen en waar nodig op zal reageren.
Natuurlijk is menig persoon hier benieuwd wat nu de werkelijke oorzaak was hoe men binnen is gekomen zonder dat men diep ingaat over je totale netwerk.
Wat betreft de oplossing daar zijn behoorlijk wat mensen benieuwd naar want zie het forum ook als probleemoplosser wanneer men zelf voor iets dergelijks komt te staan.
Er staat hier niet voor niets in de faq dat je eerst eens de zoekoptie moet gebruiken voor je een nieuw topic omtrend een probleem opent.

Ik zie deze posting als bedankt en zak maar in de ...........
Als ik dat verkeerd zie mag je het zeker zeggen dan neem ik terstond mijn woorden terug.
Als je niet wilt dat het openbaar word neem dan even de telefoon en bel een automatiseerder op die je met raad en daad terzijde kan staan.

computer voor alle werkzaamheden

dinsdag 7 juni 2005 12:40

Acties:

pasta

Ondertitel

Dicht op verzoek.

Signature

Pagina: 1

Dit topic is gesloten.