Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

dedicated server met abuse meldingen (ftp brute-force)

Pagina: 1
Acties:

maandag 24 maart 2014 09:14

Acties:

Verwijderd

Topicstarter
Ik heb een eigen kleine dedicated server waarbij ik enige tijd Abuse meldingen krijg van verschillende partijen dat mijn server Brute-force ftp attacks uitvoert. Ik heb met processen, nethogs, netstat enz geprobeerd te kijken of ik er achter kan komen welke scripts er draaien.

Weet iemand hoe je hier het beste achter komt?

maandag 24 maart 2014 09:22

Acties:

Verwijderd

Verwijderd schreef op maandag 24 maart 2014 @ 09:14:
Ik heb een eigen kleine dedicated server waarbij ik enige tijd Abuse meldingen krijg van verschillende partijen dat mijn server Brute-force ftp attacks uitvoert. Ik heb met processen, nethogs, netstat enz geprobeerd te kijken of ik er achter kan komen welke scripts er draaien.

Weet iemand hoe je hier het beste achter komt?
Welke scripts er draaien?
Wanneer iemand een brute-force FTP aanval uitvoert, zal diegene je root login proberen brute-forcen.
Is je root wachtwoord complex genoeg?

Ik ga er vanuit dat de aanval niet gelukt is?
Kijk in de logs of je kan achterhalen vanaf welk IP de "aanval" verstuurd wordt.

Als dit IP steeds hetzelfde is kan je dit gemakkelijk blokkeren in je firewall.
Alsook, welke partijen melden precies de aanval?

maandag 24 maart 2014 09:25

Acties:
  • Xatom
  • Registratie: Augustus 2011
  • Laatst online: 22:58

Xatom

Welk OS gebruik je op je server? Met Linux kan je netstat -anp gebruiken om alle poorten die in gebruik zijn te weergeven met daarbij een PID/naam van het proces.

maandag 24 maart 2014 09:27

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op maandag 24 maart 2014 @ 09:22:
[...]


Welke scripts er draaien?
Wanneer iemand een brute-force FTP aanval uitvoert, zal diegene je root login proberen brute-forcen.
Is je root wachtwoord complex genoeg?

Ik ga er vanuit dat de aanval niet gelukt is?
Kijk in de logs of je kan achterhalen vanaf welk IP de "aanval" verstuurd wordt.

Als dit IP steeds hetzelfde is kan je dit gemakkelijk blokkeren in je firewall.
Alsook, welke partijen melden precies de aanval?
Ja password is erg complex en is pas nog gewijzigd.
Het is een script die gewoon ip reeksen scant.
Zodra die ergens een fail2ban krijgt ontvang ik een abuse melding.
steeds nieuwe ips dus.
Server is zit ook steeds tussen een 1.2 en 3.8 load. kortom hij is continue bezig.

maandag 24 maart 2014 09:28

Acties:
  • heuveltje
  • Registratie: Februari 2000
  • Laatst online: 29-11 19:55

heuveltje

KoelkastFilosoof

Verwijderd schreef op maandag 24 maart 2014 @ 09:22:
[...]


Welke scripts er draaien?
Wanneer iemand een brute-force FTP aanval uitvoert, zal diegene je root login proberen brute-forcen.
Is je root wachtwoord complex genoeg?

Ik ga er vanuit dat de aanval niet gelukt is?
Kijk in de logs of je kan achterhalen vanaf welk IP de "aanval" verstuurd wordt.

Als dit IP steeds hetzelfde is kan je dit gemakkelijk blokkeren in je firewall.
Alsook, welke partijen melden precies de aanval?
jij of ik leest verkeerd. Zoals ik het lees is zijn server andere servers aan het brute forcen (en zelf is hij waarschijnlijk dus al gehacked) Tenzij je ip gespoofed word, dat kan ook nog.

Welk OS is dan wel weer heel handig om te weten. Maar het mantra is eigenlijk hetzelfde : als je gehacked bent, is een complete re-install het veiligst, je weet nooit welke backdoor ze geinstalleerd hebben.

[ Voor 3% gewijzigd door heuveltje op 24-03-2014 09:47 ]

Heuveltjes CPU geschiedenis door de jaren heen : AMD 486dx4 100, Cyrix PR166+, Intel P233MMX, Intel Celeron 366Mhz, AMD K6-450, AMD duron 600, AMD Thunderbird 1200mhz, AMD Athlon 64 x2 5600, AMD Phenom X3 720, Intel i5 4460, AMD Ryzen 5 3600 5800x3d

maandag 24 maart 2014 09:28

Acties:
  • Orion84
  • Registratie: April 2002
  • Laatst online: 19:59

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Dan zou ik zeggen: zo snel mogelijk die bak offline en opnieuw installeren.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

maandag 24 maart 2014 09:29

Acties:

Verwijderd

Topicstarter
heuveltje schreef op maandag 24 maart 2014 @ 09:28:
[...]

Je leest verkeerd
Zijn server is andere aan het brute forcen (en waarschijnlijk dus al gehacked)
Tenzij je ip gespoofed word, dat kan ook nog.

Welk OS is dan wel weer heel handig om te weten. Maar het mantra is eigenlijk als je gehacked bent, is een complete re-install hetzelfde, je weet nooit welke backdoor ze geinstalleerd hebben/
Jep indeed!
Ik heb al 1 script weggehaald die ik vond in de root van een wordpress installatie

is Centos btw.

maandag 24 maart 2014 09:41

Acties:
  • Icekiller2k6
  • Registratie: Februari 2005
  • Laatst online: 19:54

Icekiller2k6

Ah... een wordpress die gehackt is.. zijn het Webhosting pakketten die je verkoopt of?

MT Venus E 5KW (V151) P1 HomeWizard | Hackerspace Brixel te Hasselt (BE) - http://www.brixel.be | 9800X3D, 96GB DDR5 6000MHZ, NVIDIA GEFORCE 4090, ASRock X670E Steel Legend, Seasonic GX1000

maandag 24 maart 2014 09:43

Acties:

Verwijderd

Topicstarter
Nee. dit gaat om een eigen Prive test omgeving..

maandag 24 maart 2014 11:24

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 28-11 20:09

Equator

Crew Council

#whisky #barista

Dan zo snel mogelijk al je gaten patchen (updates van alles) of idealiter je systeem opnieuw inrichten. Dat laatste is het beste omdat je dan zeker weet dat alles weg is.

Maar het up2date houden van een WordPress omgeving is ook belangrijk dus ;)

maandag 24 maart 2014 11:40

Acties:

Verwijderd

Topicstarter
Ja dat sowieso inderdaad. maar vermoed dat gezien het "Test" karakter verkeerde rechten het probleem zijn geweest.

Maar dan nog is er een ssh commando die precies laat zien welke php script er draaien, veel load hebben enz?

[ Voor 32% gewijzigd door Verwijderd op 24-03-2014 11:41 ]

maandag 24 maart 2014 12:53

Acties:
  • Orion84
  • Registratie: April 2002
  • Laatst online: 19:59

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

"ps aux" zou je een aardig beeld moeten geven van wat er draait.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

maandag 24 maart 2014 13:06

Acties:
  • thunder7
  • Registratie: Januari 2003
  • Laatst online: 17:27

thunder7

houten vaas/schaal nodig?

Het probleem is dat backdoors vaak trucs uithalen om zichzelf te verbergen. Alle hier genoemde commando's kunnen prima werken, maar kunnen ook aangepast zijn om de rootkit te verbergen. Die server is gewoon niet meer betrouwbaar, tenzij je er heel veel verstand van hebt. Herinstalleren is de enige optie, lijkt mij.

hout-nerd - www.hetmooistehout.nl of www.houtenschalen.nl

maandag 24 maart 2014 14:20

Acties:

Verwijderd

Topicstarter
ik zie overigens als ik ps aux doe 1000x dit

code:
1
2
3
4
5
6

32509 pts/0    S      0:00 /usr/sbin/sshdf
32523 pts/0    S      0:00 /usr/sbin/sshdf
32586 pts/0    S      0:00 /usr/sbin/sshdf
32632 pts/0    S      0:00 /usr/sbin/sshdf
32660 pts/0    S      0:00 /usr/sbin/sshdf
32764 pts/0    S      0:00 /usr/sbin/sshdf


Maar als ik zoek naar die file bestaat die niet?

maandag 24 maart 2014 14:52

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 18:45

Rolfie

Verwijderd schreef op maandag 24 maart 2014 @ 09:29:
[...]

Jep indeed!
Ik heb al 1 script weggehaald die ik vond in de root van een wordpress installatie

is Centos btw.
Server is dus gehacked. Offline halen en traceren waar het precies de hack mee gedaan is, en opnieuw installeren......
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq