Toon posts:

[HOWTO] Gehackt of niet?

Pagina: 1
Acties:
  • 1.247 views sinds 30-01-2008

  • sh4d0wman
  • Registratie: april 2002
  • Laatst online: 16:03

sh4d0wman

Long live the King!

Topicstarter

HOWTO:Gehackt of niet?


Inhoudsopgave


« ·^

Inleiding

Regelmatig verschijnen er diverse topics van gebruikers die denken dat de pc of server is gehackt. Bij een defacement is zoiets duidelijk zichtbaar. In andere gevallen hoeft het niet altijd om een hack te gaan. Het is daarom altijd raadzaam om diverse zaken na te lopen.


« ·^

Gehackt? Checklist

Deze checklist kun je als hulpmiddel gebruiken om te kijken of je daadwerkelijk bent gehackt.



1 Welke symptomen heeft je getroffen systeem?

    - Wat gaat er precies fout?
    - Sinds wanneer speelt het?
    - Waarom denk je dat je bent gehackt?

Schrijf dit duidelijk en uitgebreid op.



2 Betreft het 1 of meerdere systemen?

    - Gaat het om 1 systeem of zijn er meerdere met dezelfde symptomen?
    - Wat zijn eventuele overeenkomsten in services/software/verbindingen?


3 Is het systeem vrij van spyware en virussen?
Dit kun je testen met de virusscanner die op het systeem actief is. Andere opties zijn:

    - online virusscanner (b.v. Housecall)
    - harddisk in clean systeem met up-to-date virusscanner hangen
    - trojan scanner, zoekt specifiek naar trojans. (geen voorbeeld aanwezig)
    - rootkit scanner, zoekt specifiek naar rootkits. (b.v. RootkitRevealer of F-Secure Blacklight)
    - spyware scanner, zoekt specifiek naar spyware. (b.v. Hitman Pro icm Hijack This)

Zie ook: Beveiliging en Virussen FAQ



4 Staan er verdachte/vreemde meldingen in de logfiles?

Controleer alle relevante logfiles. Zowel van het besturingssysteem, software en firewall. Voorbeelden zijn:


    - Systeemlog: Eventviewer (Windows) of /var/log (Linux)
    - SSH: n/a (Windows) of /usr/local/auth (Linux)
    - Apache: n/a (Windows) of /var/log/apache (kan ook /var/log/httpd zijn) (Linux)
    - IIS: C:\winnt\system32\logfiles
    - Windows Update: C:\winnt\windowsupdate.log

5 Draaien er verdachte processen?

Gebruik hiervoor bijvoorbeeld Sysinternals PMon in combinatie met Process Explorer, beiden zijn Freeware. Als je twijfelt over sommige processen kun je er op zoeken met google. Dit verteld je vaak al wel waar het van afkomstig is.


6 Welke poorten staan er open?

Gebruik bijvoorbeeld TCPView van Sysinternals lokaal op de machine en/of voer een volledige poortscan uit op je systeem en bewaar de output. Een poortscan kan bijvoorbeeld met nmap. Controleer of de open poorten legitiem zijn.


Voorbeeld: Poort 80 is actief als je een webserver draait. Heb je die niet draaien dan is het slim om deze poort te noteren :)



Tip: soms kom je meer info te weten over de service op een bepaalde poort als je er met telnet verbinding naartoe maakt.



7 Zijn er recent gebruikers aangemaakt?

Kijk bij gebruikersbeheer (in Windows) of er nieuwe gebruikers zijn. Controleer dit eventueel ook voor aanvullende software zoals bijvoorbeeld FTP.



8 Zijn er recent verdachte bestanden aangemaakt of bestanden gewijzigd?

Dit is lastig vast te stellen zonder software die bestanden kan monitoren. Je kunt in de Windows verkenner de bestanden schikken op datum van wijziging.



Uiteraard kan het voorkomen dat je niet elke vraag kunt beantwoorden. Je kunt daarom altijd een topic openen om meer input te krijgen. Vermeld daar dan wel de gegevens in uit de standaard FAQ en de relevante vragen uit dit deel + een netwerkoverzicht.


« ·^

Recovery/Beveiliging

Na controle van diverse zaken is vast komen te staan dat je gehackt bent. Uiteraard wil je alles zo snel mogelijk weer in de lucht hebben. Let hierbij wel op dat je gestructureerd en grondig te werk gaat. Een fout is zo gemaakt en geeft de hacker mogelijk weer toegang tot de machine.


Gebruik de volgende stappen als hulpmiddel:



1 Installeer het getroffen systeem opnieuw

Het is van groot belang dat de computer opnieuw geïnstalleerd wordt. Een gehackt systeem is niet meer te vertrouwen. Het kost inderdaad een hoop tijd maar kan je wel een 2e hack besparen ....


Windows

Volg voor het installeren van een Windows PC de volgende howto: HOWTO: Beveilig je (Windows) pc


Linux / Overig

Nog niet aanwezig. Vrijwilligers voor een HOWTO kunnen dit kenbaar maken aan de BV mod.



2 Installeer ook alle software opnieuw, indien mogelijk de nieuwste versie.

Let ook goed op de configuratie van de software en kijk kritisch of je de software daadwerkelijk nodig hebt op het systeem.
Loop de instellingen van de software grondig na. Kijk b.v. onder welke user iets draait en of dat veranderd moet worden. Stel dat een bepaalde pakket standaard als admin of root draait dan kan dit misschien wel worden aangepast.



2.1 In geval van een web- of ftp server: controleer of de gebruikers de juiste rechten hebben, allen een wachtwoord ingesteld hebben en controleer scripts + de directories waarin ze draaien!!



3 Zet data terug van een backupmedium.

Zorg er voor dat je zeker weet dat er geen virusinfectie in zit (of een trojan)!! Zet het desnoods eerst op een testmachine terug en monitor deze.



4 Denk na over je getroffen beveiligingsmaatregelen
Is het opnieuw installeren van de server voldoende? Er zijn mogelijkheden om een nog betere beveiliging te krijgen. Je kunt bijvoorbeeld denken aan:


    - firewall: is er een hardware- of softwarematige firewall aanwezig? Zonder firewall is het absoluut niet veilig meer om internet op te gaan. Verder gaat de voorkeur meestal uit naar een hardware firewall omdat software firewalls makkelijk(er) te manipuleren zijn. Een router met ingebouwde firewall is voor thuis situaties en kleine bedrijven meestal al voldoende.

    - encryptie: versleuteling is op vele gebieden toe te passen. Bijvoorbeeld: e-mail (b.v. met PGP), bestanden (b.v. met PGP Disk), verbindingen (b.v. met SSH/SSL), wachtwoorden.

    - intrusion detection/prevention: deze software kan servers, computers of het gehele netwerk in de gaten houden. Zodra verdacht verkeer wordt waargenomen slaat het alarm. Opzetten kan vrij complex zijn! Er is dan ook een gevaar dat het veel false positives oplevert wat de beveiliging niet ten goede komt. Ten tweede kan het geen aanval stoppen, alleen detecteren.
    Het voordeel is wel dat je over goede informatie beschikt en bij een incident snel kan handelen.

    - file monitoring: belangrijke (systeembestanden) kunnen gemonitord worden op wijzigingen. Hierdoor merk je het vrij snel als cruciale bestanden worden gewijzigd. Een product wat dit kan is b.v. Tripwire. Deze voorziet de bestanden van een hash, komt dit niet overeen met zijn database dan wordt er alarm geslagen.[/p]
« ·^

Toekomst

Om zo veilig mogelijk te blijven is het van belang om systemen en software up-to-date te houden en actief logfiles door te nemen. Verder is beveiligingsinformatie ook een vereiste. Dit kan doormiddel van nieuwsgroepen, e-mail abonnementen en websites. Hierbij een kleine selectie:



Nieuws Websites:


Programma's:


« ·^

Verklarende woordenlijst

    Defacement: het ongeautoriseerd aanpassen van een website met andere content. Voorbeelden op: Zone-H

    Intrusion detection: hardware/software die een netwerk of host kunnen monitoren op verdacht verkeer en logging inzichtelijker kan maken. Meer informatie: IDS Informatie

    Hash: "uniek" gegenereerde code. Wordt vaak gebruikt voor bestands integriteit. Zodra een bestand wijzigt zal ook de hashcode wijzigen. Meer informatie: Hash Informatie

    False positive: een term welke vaak gebruikt wordt bij het opzetten van een IDS/IPS. Legitiem verkeer veroorzaakt een valse intrusion melding. Als dit vaak gebeurt zal men de logfiles niet of minder nauwkeurig nalopen. Zorg er dus voor dat deze meldingen niet tot nauwelijks voorkomen.

[Voor 22% gewijzigd door pasta op 17-06-2005 15:27]

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


Dit topic is gesloten.



Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee