Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

maandag 18 augustus 2014 17:17

Acties:
  • furian88
  • Registratie: Februari 2007
  • Laatst online: 29-11 18:10

furian88

Topicstarter
Edit: aangepast, de server is ondertussen no more, en ik heb de tekst aangepast.

Hoi Allen,

een vraagje met betrekking tot het goed beveiligen van mijn server.

Ik draaide vandaag malwarebytes eens op mijn server per toeval, omdat mijn broer wat issues had met zijn pc.

Nu kwam ik een aantal dingen tegen waar ik zeker niet vrolijk van werd!

1 een bitcoin miner, blijkbaar al tijden niet gebruikt want ik heb nooit gemerkt dat hij slecht presteerde of iets, en ik zit veel met remote desktop erop dan had ik dit toch moeten merken. (zal me ook een rot zorg zijn nog enigszins! (kon ik ook zonder issues de map verwijderen))

2, blijkbaar hebben ze toegang gehad tot de server, ik heb namelijk zoals malwarebytes dat aangeeft een logbestand 2013-11-08-6.dc waarin regels staan. (over een periode van amper 1 maand)


Nu heb ik netjes McAfee virusscan Enterprise + antispyware Enterprise 8.8 erop staan maar deze heeft blijkbaar niets er mee gedaan! :( :( :(

Ik heb een stuk hiertussen uit gehaald, ik heb de onderdelen die benoemd werden opgezocht en dit bleek een standaard script te zijn geweest wat je kan vinden op google.

Wat mij nu het belangrijkste is, wat kan ik nu als beste als beveiliging instellen!! want dat McAfee is blijkbaar crap!

In de periode dat ik de server geinstalleerd heb waren er geen goede antivirussen en spyware crap beschikbaar! (was dus wel geinstalleerd maar was crap)

graag hoor ik wat tips en tricks (niet heel veel mee gekregen tot nu toe.. behalve flame en verwijt..)

[ Voor 255% gewijzigd door furian88 op 22-08-2014 22:39 ]

https://pvoutput.org/list.jsp?userid=86006

dinsdag 19 augustus 2014 08:36

Acties:
  • _H_G_
  • Registratie: September 2002
  • Laatst online: 27-11 07:51

_H_G_

Je bedoelt denk ik dat je eerst het virus had en daarna pas McAfee geïnstalleerd hebt? Je kan dan McAfee "crap" vinden, maar je huidige installatie is "crap". Het is niet meer te redden en de enigste optie is opnieuw installeren en de volgende keer niet meer met admin rechten pron kijken ;)

dinsdag 19 augustus 2014 08:46

Acties:
  • MrMonkE
  • Registratie: December 2009
  • Laatst online: 04-11 15:26

MrMonkE

★ EXTRA ★

Ik denk dat hij het er gewoon wel op had staan een dat mcAfee gewoon een ouwe tandeloze waakhond is.

Tips?
Gebruik niet zelfde login en wachtwoord op je server als dat je op je desktop gebruikt. Installeer nooit vage shit op je server. Vertrouw virusscanners nooit blindelings. Sluit alle poorten af op je server die je niet gebruikt. Gebruik geen lege of standaard wachtwoorden. Connect niet naar fileshares als admin maar maak accounts met lees en schrijf rechten in de fileshares en gebruikt die.

Als die server niet 24/7 hoeft te zijn draai af en toe een rescue AV boot CD om een scan te doen.
Kaspersky en AVG hebben er een voor $gratis

En meer van dat soort open deuren.

★ What does that mean? ★

dinsdag 19 augustus 2014 14:27

Acties:
  • Arie
  • Registratie: Oktober 2001
  • Laatst online: 26-11 22:55

Arie

One Man Army

Niet kwaad bedoeld, maar als je niet weet hoe je een server in moet richten, dan moet je er ook geen opzetten. Doe je dit wel, zorg er dan op zijn minst voor dat deze niet direct met het internet verbonden is, want zoals je nu gemerkt hebt, als je er te weinig of geen verstand van hebt, dan is het wachten op problemen. Een server opzetten, of het nu Windows of Linux is bijvoorbeeld, is niet zomaar Next, Next, Finish klikken. :/

Je kunt een computer ergens vergelijken met een huis. Je kunt een goed alarm op jouw huis hebben zitten, maar als je een raam open laat staan, dan heeft het alarm weinig nut. In jouw geval heeft niet alleen het raam open gestaan, maar ook de voordeur, met een bordje er naast "Welkom". :9 Een antivirus oplossing kan je niet beschermen tegen het niet goed configureren van een besturingssysteem, applicaties, netwerk, et cetera. Je kunt (moet) er vanuit gaan dat al jouw persoonlijke gegevens buit gemaakt zijn, dus het is zaak zo snel mogelijk actie te ondernemen voordat er nog meer schade wordt toegebracht.

Wat je nu het beste kunt doen is om te beginnen je internet afsluiten. Laat geen enkele computer nog het internet op. Zet bijvoorbeeld jouw modem uit. Scan hierna alle computers op virussen en andere poespas. Maak vervolgens backups van al jouw persoonlijke data. Alle computers die tekenen vertonen dat ze gecompromitteerd zouden kunnen zijn opnieuw installeren, dus ook jouw server. Gezien jouw kennis van Windows Server 2012 is het oplappen van de computers en de server geen optie naar mijn mening. Zodra alle computers schoon zijn kun je de modem weer inschakelen. Zorg er voor dat alle computers volledig up-to-date zijn en blijven. Verander hierna al jouw wachtwoorden, zoals op fora, Facebook, computers, Marktplaats, PayPal, et cetera. Allemaal, geen uitzonderingen. Gebruik nergens dubbele wachtwoorden.

Het is even wat werk, maar naar mijn mening zijn bovenstaande stappen een minimum van wat nodig is om hier bovenop te komen.

Not trying to pretend the enemy that I am.

dinsdag 19 augustus 2014 21:07

Acties:
  • furian88
  • Registratie: Februari 2007
  • Laatst online: 29-11 18:10

furian88

Topicstarter
naja alle scans die ik kan doen op mijn eigen pc tonen aan dat hier niets op staat/stond.

Alles wat ik gevonden heb op mijn server die overigens nu volledig opnieuw geinstalleerd is was dan ook een jaar oud. allemaal van rond 9-2013.

Op de server werd nergens ingelogd omdat dat allemaal op de eigen pc gebeurde, waar eset smart security opstond (malwarebytes nu dus ook en beide geven geen issues)

Ik verwacht geen verdere issues omdat de server niet meer als als server geinstalleerd wordt maar gewoon als workstation met dit keer een shit lading aan anticrap erop.

Tevens werd de server alleen gebruikt om te downloaden, maar goed er stond wel een backup van al onze kinder foto's en dergelijke op.

https://pvoutput.org/list.jsp?userid=86006

woensdag 20 augustus 2014 16:43

Acties:
  • Arie
  • Registratie: Oktober 2001
  • Laatst online: 26-11 22:55

Arie

One Man Army

Als er bijvoorbeeld een sniffer gedraaid heeft op de server, dan maakt het niet uit hoe goed een werkstation beveiligd is. Het netwerkverkeer wordt dan gewoon vastgelegd en je kunt (moet) er dan vanuit gaan dat al jouw persoonlijke gegevens buit gemaakt zijn. Daarnaast, je kunt nu diverse beveiligingsprogramma's installeren, maar als het besturingssysteem, de services, de applicaties en dergelijke niet goed geconfigureerd zijn bijvoorbeeld, dan staat nog steeds de voordeur wijd open. Je wilt niet weten hoeveel mensen Windows Server hebben draaien met een niet/verkeerd geconfigureerde DNS bijvoorbeeld, waardoor hun server meedraait in grote DDoS aanvallen door middel van recursieve queries.

Not trying to pretend the enemy that I am.

woensdag 20 augustus 2014 21:10

Acties:
  • furian88
  • Registratie: Februari 2007
  • Laatst online: 29-11 18:10

furian88

Topicstarter
Het enige wat door alle scans gevonden is zijn eigenlijk 2 dingen.

1 een bitcoinminer waar ze amper iets aan hebben gehad, deze stond uit op moment van vinden en in het logbestand dat in dezelfde map stond bleek dat deze amper 24 uur gedraaid heeft!

2 een keylogger, oftewel ze hebben kunnen zien op welke website ik zat en welke dingen ik op het toetsenbord heb ingetikt.. veel succes daarmee, het enige waar ik ooit op ingelogd heb op die pc was mijn werksite om mijn uren aan te passen.. dit wachtwoord is uiteraard veranderd.

Dit alles samen stond overigens met z'n allen met de datum van ruim een jaar geleden. en daarbij waren log bestanden van soms wel 5 dagen uit elkaar waarvan maar 2 logbestanden die groter dan 1 kb waren. Waarschijnlijk net 2 dagen waarop ik wel even achter de server heb gezeten..

Ik hoop dat ze er veel aan hebben gehad.. heel spannend om te zien hoe ik google dingen zocht met betrekking tot de recovery van een harde schijf :)

https://pvoutput.org/list.jsp?userid=86006

donderdag 21 augustus 2014 12:57

Acties:
  • Arie
  • Registratie: Oktober 2001
  • Laatst online: 26-11 22:55

Arie

One Man Army

"furian88", ik denk dat je het niet allemaal begrijpt. Als ik kwaad in de zin zou hebben, dan zou ik mijn sporen uitwissen. De logbestanden die jij ziet zeggen dus niets. Wat jij nu ziet kan alles zijn wat er gebeurd is, maar het kan net zo goed een tipje van de sluier zijn. Dit laatste is waar je in dergelijke gevallen echter altijd van moet uitgaan. Maar goed, ik ga mijzelf niet nog eens herhalen.

Not trying to pretend the enemy that I am.

vrijdag 22 augustus 2014 06:56

Acties:
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

Ik sluit me aan bij Arie. Er kan meer troep geïnstalleerd zijn. Een trojan gaat echt zichzelf niet adverteren. Je server kan onderdeel zijn van een botnet. Tevens probeert de meeste malware zichzelf verder te verspreiden in het lokale netwerk.

Ik zou de hele handel formatteren en opnieuw beginnen.

vrijdag 22 augustus 2014 22:32

Acties:
  • furian88
  • Registratie: Februari 2007
  • Laatst online: 29-11 18:10

furian88

Topicstarter
Precies wat ik gedaan heb CMD-Snake :)

Tevens wordt de pc ook niet meer als server gebruikt...

https://pvoutput.org/list.jsp?userid=86006

zaterdag 23 augustus 2014 09:06

Acties:
  • Breezers
  • Registratie: Juli 2011
  • Laatst online: 16-03-2021

Breezers

complete nieuwe installatie, hardwarematige firewall/router met intrusion prevention, alleen poorten en services enabelen (ping, ICMP, geen website draaien, automatisch IP die bruteforce proberen droppen en blacklisten etc), , die je daadwerkelijk nodig hebt/gebruikt, administrator account aanpassen in een sterk wachtwoord, RDP alleen via VPN of compleet uitschakelen en SSH, bijvoorbeeld F-secure voor servers aanschaffen, regelmatig je updates draaien, geen onnodige programma's installeren (helemaal geen freeware meuk), Geen rar, .exe etc op fileserver zetten/toelaten, installeer DC voor rechten etc, etc

Helaas zijn dit soort dingen de minimale zaken die je op orde hoort te hebben als je server live hebt en dan nog zijn 1001 andere variabelen die er voor kunnen zorgen dat je een virus of hack op je server gaat krijgen....

Helaas krijg ik van eerste post niet echt het gevoel dat je weet waar aan begonnen bent ?

“We don't make mistakes just happy little accidents” - Bob Ross

zaterdag 23 augustus 2014 17:38

Acties:
  • Killah_Priest
  • Registratie: Augustus 2001
  • Laatst online: 28-11 13:26

Killah_Priest

Breezers schreef op zaterdag 23 augustus 2014 @ 09:06:
complete nieuwe installatie, hardwarematige firewall/router met intrusion prevention, alleen poorten en services enabelen (ping, ICMP, geen website draaien, automatisch IP die bruteforce proberen droppen en blacklisten etc), , die je daadwerkelijk nodig hebt/gebruikt, administrator account aanpassen in een sterk wachtwoord, RDP alleen via VPN of compleet uitschakelen en SSH, bijvoorbeeld F-secure voor servers aanschaffen, regelmatig je updates draaien, geen onnodige programma's installeren (helemaal geen freeware meuk), Geen rar, .exe etc op fileserver zetten/toelaten, installeer DC voor rechten etc, etc

Helaas zijn dit soort dingen de minimale zaken die je op orde hoort te hebben als je server live hebt en dan nog zijn 1001 andere variabelen die er voor kunnen zorgen dat je een virus of hack op je server gaat krijgen....

Helaas krijg ik van eerste post niet echt het gevoel dat je weet waar aan begonnen bent ?
Nogal overdreven voor een thuis-hobbyserver

zaterdag 23 augustus 2014 18:23

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 29-11 15:27

DiedX

Killah_Priest schreef op zaterdag 23 augustus 2014 @ 17:38:
[...]


Nogal overdreven voor een thuis-hobbyserver
Dit zouden anders mijn eerste stappen zijn. Maar goed, zo'n insteek zorgt er nog steeds voor dat het internet zo onveilig is als de pest.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq