Server gehacked

Beste,

Er is een redhat server bij ons gehacked. We hebben dit gemerkt doordat deze server het netwerk plat legde. Ik heb wireshark geinstalleerd en zo gemerkt dat er scans gebeurde naar ip's van het amerikaanse leger en universiteiten. De server is nu afgekoppeld en we hebben ontdekt dat nmap geinstalleerd is op deze server. Voor de rest vinden we niets. Ook draait er niets van cronjobs die nmap kan starten.
Hebben jullie enig idee of er software is of iets anders om dit uit te zoeken ?
Mijn collega's en ik hebben niet de indept kennis die nodig is voor linux. We zijn "lerende" :-).

Groeten

MAX3400 schreef op dinsdag 31 januari 2012 @ 13:09:
Bel een specialist?

We hebben een firma die ons ondersteunt en er gaat iemand komen. Het is gewoon leuk voor ons om zo kennis op te doen.

We hebben nog een applicatie ontdekt dat niemand van ons geinstalleerd heeft nl splunk server .

Inderdaad,
we zijn helemaal niet zeker dat er geen andere toestellen geïnfecteerd zijn. Ik hou jullie op de hoogte hoe het verder loopt.

Thralas schreef op dinsdag 31 januari 2012 @ 17:40:
[...]


Dit is natuurlijk altijd een goed idee.

Verder, begin eens met het lezen van je logs om te achterhalen waar 't mis is gegaan. Waren alle packages up to date? Wat draaide de server aan services?

Aan de hand van je logs kun je met een beetje geluk reconstrueren wat er is gebeurd. Verder kan scannen met chkrootkit of rkhunter ook geen kwaad.

Verder: tenzij je zeker weet dat de attacker geen root in handen heeft (gehad) is 't wijselijk om te reinstallen.

Subtiel gokje; het betreft een webserver met een of ander lek CMS?

Probleem is dat de logs leeg zijn, enkel van 30 jan - 31 jan staan er nog gegevens :-). Het is geen webserver. Staat gewoon in onze serverlan. De poorten die openstonden waren ftp, pop en 1541 ( geen idee waarom ). poort 1541 is al een tijd geleden toegezet.
Ik ben nog redelijk nieuw in de firma en het is daar een boeltje. Er bestond niet eens een dmz en ik vermoed dat de server misschien al een jaar geleden gehacked is geweest.
Die scans ga ik morgen is laten lopen, bedankt voor de tip.
Al de servers met redhat werden geinstalleerd door externe developers en die houden geen rekening met patches, security etc.. .Zolang hun applicatie maar werkt.

lordgandalf schreef op woensdag 01 februari 2012 @ 13:09:
Dat klopt ook je kunt splunk gratis dowloaden maar om splunk te installeren moet je een database installeren en een webserver en php enz enz enz....... een heleboel om een webbased log te hebben ??? lijkt me niet dat een indringer dat doet die wil snel profijt hebben van een server dus die installed snel een rootkit en wat tools om de server te kunnen misbruiken.
Aangezien er nmap is aangetroffen zou je bijna zeggen dat iemand die doos misbruikt als een speeldoos ofzo.
Dit alles klinkt namelijk niet als een gehackte server een aanvaller gaat niet met de hand nmap draaien om een aantal servers te scannen daar heb je betere en snellere tools voor

Je bericht heeft me aan het nadenken gezet. We hebben het gemerkt omdat de server ons netwerk dicht trok. Er zijn idd betere tools dan nmap om dit te doen. Dus het is allemaal amateuristisch opgezet.
We werken samen met verschillende consultantsfirma's en ik heb ergens gegevens gevonden van een firma die op die server kwam ook al hebben ze hier niets te zoeken. Ik begin te vermoeden dat we het eerder "intern" gaan moeten zoeken. Tijd om is detective te spelen. De logs op de server kunnen ze wissen maar niet op de firewall.

We hebben gevonden hoe het is gebeurd. Poort 8080 stond open naar die server toe en via een ongepatchte jboss hebben ze de server kunnen hacken. Het moet door een soort bot gebeurd zijn want nadat de server was gehacked is die beginnen scannen op ip's en heeft hij geen enkele connectie proberen te maken met de servers in ons netwerk. Bedankt voor jullie hulp.