TransiP vps probleem

Draait de server nu nog?

Doe eens ifconfig en plak de output hier

Heb je voor de clean install nog even een simpele ifconfig /all gedaan ? Dan had je in ieder geval kunnen zien hoeveel bytes er door de netwerk adapter zijn gegaan sinds de laatste boot.

Dus met andere woorden de server zou opnieuw gehackt moeten zijn ?
Wat zeer onwaarschijnlijk is aangezien het een up to date installatie was waar helemaal niks meer op draaide dan alleen centos 6.

Want... Een schone installatie is geen garantie voor 't niet hackbaar zijn ofzo hoor? Heb je niet gewoon weer 'tzelfde wachtwoord gebruikt? Of dezelfde services (SSH, whatevs) open gezet met eenzelfde ("te open") configuratie ofzo? Ik vind eerlijk gezegd maar weinig terug in je verhaal vwb je daadwerkelijk hebt gedaan aan onderzoek naar de oude 'hack' (was 't daadwerkelijk een hack? Zo ja welke? Hoe waren ze binnen gekomen etc.) noch naar de bestaande 'hack'. Als TransIP (of wie dan ook) een bak data verstookt ziet worden is de kans groot dat dat gewoon zo is; dat je die data niet zélf verstookt is een ander verhaal. En ja, fouten worden gemaakt, dus er is een kans dat TransIP de fout maakt, maar als je al eens gehacked bent zou ik bij een tweede melding eerst eens de hand in eigen borst steken i.p.v. met de hakken in 't zand en "onmogelijk" roepen. Het is niet onmogelijk want 't is je eerder overkomen.

[ Voor 32% gewijzigd door RobIII op 09-09-2014 10:28 ]

Ik ken TransIP zelf als een professionele partij welke niet zal gaan liegen om zo meer inkomsten uit dataverkeer te krijgen.

Zonder dat je weet hoe je de eerste keer gehackt bent is het ook onmogelijk om te voorkomen dat het nogmaals gebeurt. Een herinstall veranderd daar niets aan behalve dat het het probleem tijdelijk oplost.

Ik zou dus eerst het lek proberen te vinden alvorens weer een herinstall te doen zodat je weet wat je moet dichten.

[ Voor 56% gewijzigd door andy88 op 09-09-2014 10:41 ]

Je server was dus gehackt. Hoe zijn ze de eerste keer binnen gekomen? Heb je daar uberhaupt naar gekeken? En heb je hierna er voor gezorgd dat ze niet op diezelfde manier opnieuw binnen konden komen?

Je draait er een website op. Heb je die daarna er ook weer zo op terug gezet? Heb je gekeken of er geen lek in je website zit? Als de website zelfgeschreven is, dan is de kans aanwezig dat er wel ergens een lek in de website zit. Zeker als er ergens een formulier op de site staat.

Gebruik je een bepaald pakket (zoals een forum) als website? Gebruik je daar de meest recente versie van? Zoek eens naar pakketnaam + versienummer + hack in Google... Als het niet de laatste versie is dan zou je wel eens kunnen schrikken van de resultaten.

Om terug te komen op je vraag: Nee ik heb hier nog nooit last van gehad bij TransIp. In mijn ogen is het een zeer professioneel bedrijf en het ligt ook niet in mijn lijn van verwachting dat ze uberhaupt zoiets zouden doen.
De kans dat je 2x gehackt bent acht ik overigens zeer groot. Zeker als je neits hebt gedaan om er voor te zorgen dat ze niet op de zelfde manier opnieuw binnen zouden kunnen komen. Voor het zelfde geld hebben ze het wachtwoord van de control panel weten te achterhalen en zijn ze zo beide keren binnen gekomen op je server.

dropdeath schreef op dinsdag 09 september 2014 @ 11:05:
De eeste keer dat we gehackt zijn was het geval van niet geupdate, ik weet het, zeer slecht maar dit is gekomen door misscomunicatie.
De persoon die er toen naar gekeken heeft heeft alleen centos er op nieuw opgezet en niet de website die in wordpress gemaakt is met de laaste udates dus de website zelf werdt wel elke keer geupdate.
Bij de nieuwe installatie is een nieuw wachtwoord gebruikt en ook gedaan door iemand die al zeer lang websites bouwt en server installatie doet.
Dus vertrouw er wel op dat die weet wat hij doet.
Natuurlijk is dit een aannamen.

Blijkbaar weet hij niet wat hij doet want een server laten hacken met een up2date OS... dan ben je wel echt knullig bezig. Het is in ieder geval niet slim dat je hem nu weer gelijk offline hebt gehaald, nu is het niet meer mogelijk om het goed te onderzoeken!

Wordpress (en dan met name bepaalde plugins) zijn soms zo lek als een mandje. Updaten dus die hap!

dropdeath schreef op dinsdag 09 september 2014 @ 11:10:
Wordpress was up to data wel hebben we tijdens de installatie van centos een ticket aan moeten maken aangezien de installatie vast liep en dat hij heel traag was.
Centos 7 lukte niet met hun image dus zijn toen terug gegaan naar centos 6 die er nu op staat.

CentOS 6 met de laatste patches en goede beveiligingen is prima veilig, ik zou die factuur 1 op 1 doorsturen naar de knakker die die server heeft geïnstalleerd

dropdeath schreef op dinsdag 09 september 2014 @ 11:15:
Nou dat zal niet nodig zijn aangezien ze me wel het aanbod hebben gedaan om van x4 naar x8 over te stappen en dat dan de rekening kwijt gescholden zou worden.
Maar wat ik net hoorde was dat ze in de logs niks meer konden zien omdat er een nieuwe installatie was gedaan.
Maar het verkeer is pas na de nieuwe installatie explosief gestegen dus dat zou dan toch nog in de logs moeten staan ?

Dan moet je dus alsnog kosten maken, dat zou ik dus doorsturen naar die "beheerder".
Als ik voor een 2e keer zou kunnen inbreken op een server met een verse installatie zou ik het ook goed gebruiken ja (begrijp me niet verkeerd, dat zou k nooit doen, maar bij wijze van).
Die heeft er wss gewoon een torrent programma opgezet of zo om lekker te seeden. En dataverkeer staat natuurlijk niet in logs, dat moet je halen uit netstat & ifconfig en zo.

Is er niet een of andere kneus die met een automatisch script/programmaatje een .zip van 200mb elke seconde 50 keer opvraagt? Heb ik ooit meegemaakt sindsdien host ik grote files niet meer op mijn eigen server.. Maar wie weet trapt apache/cpanel daar tegenwoordig niet meer in als zijnde daadwerkelijk dataverkeer (praat nu over 8 jaar terug)

edit: maar hoezo "gehacked" als iemand een sql injection doet ofzo jaagt ie er niet ineen keer 1000gb doorheen. Dus kortom WAT is er precies gehacked volgens jou?

[ Voor 19% gewijzigd door Saven op 09-09-2014 11:21 ]

Saven schreef op dinsdag 09 september 2014 @ 11:19:
edit: maar hoezo "gehacked" als iemand een sql injection doet ofzo jaagt ie er niet ineen keer 1000gb doorheen. Dus kortom WAT is er precies gehacked volgens jou?

Gokje : ts had geen Fail2ban op z'n server, hackert heeft bruteforce op SSH root wachtwoord gedaan en kwam zo binnen en kon toen alles

DennusB schreef op dinsdag 09 september 2014 @ 11:22:
[...]


Gokje : ts had geen Fail2ban op z'n server, hackert heeft bruteforce op SSH root wachtwoord gedaan en kwam zo binnen en kon toen alles

Ja maar wat moet die 1337 h4x0r dan doen om 1000gb traffic er doorheen te jagen?

Saven schreef op dinsdag 09 september 2014 @ 11:25:
[...]

Ja maar wat moet die 1337 h4x0r dan doen om 1000gb traffic er doorheen te jagen?

Seed box van maken? CP verspreiden? Kan genoeg verzinnen hoor...

DennusB schreef op dinsdag 09 september 2014 @ 11:25:
[...]


Seed box van maken? CP verspreiden? Kan genoeg verzinnen hoor...

Binnen en dag... Seedbox weet ik niet precies wat dat inhoud, maar lijkt me sterk dat hij daadwerkelijk 1 miljoen mensen binnen een dag naar die server leidt..

Saven schreef op dinsdag 09 september 2014 @ 11:29:
[...]

Binnen en dag... Seedbox weet ik niet precies wat dat inhoud, maar lijkt me sterk dat hij daadwerkelijk 1 miljoen mensen binnen een dag naar die server leidt..

Bij een seedbox host je gewoon torrents, dan heb je dus geen miljoenen mensen nodig maar dan downloaden mensen torrents van je server... dat gaat snoeihard.
Geef me maar 1 dag toegang tot je VPS, wedden dat ik er 2TB doorheen krijg ?

Saven schreef op dinsdag 09 september 2014 @ 11:29:
[...]

Binnen en dag... Seedbox weet ik niet precies wat dat inhoud, maar lijkt me sterk dat hij daadwerkelijk 1 miljoen mensen binnen een dag naar die server leidt..

Seedbox is voor het downloaden van torrents. Via http://www.numion.com/calculators/time.html kan je zien dat je met een standaard glasvezelverbinding in 22 uur 1 terrabyte kan downloaden. Dus in 16 uur 1 terrabyte aan data is niet onmogelijk.

Ah oke helder thnx. Wel zou ik als ik TS was toch even kijken of niemand idd 100x per sec een bestand aanroept

dropdeath schreef op dinsdag 09 september 2014 @ 11:54:
Ja als het goed is gaan we nu even een nullrout instellen om bij de logs te kunnen om te kijken wat nu echt aan de hand geweest is.
En van daar zien we wel weer verder in ieder geval alvast bedankt voor de hulp.

Een whut?
Start die VPS, log in op de console : ifdown eth0, en zoek wat je moet zoeken.
Daarbij : Grote kans dat je dit niet in logging gaat vinden!