Logfiles op een Ubuntu 14.04 server met Plesk/Odin 12 - Linux en overige clients

maandag 23 november 2015 22:00

Acties:

0 Henk 'm!

Topicstarter

Hallo allemaal.

Een van onze servers is onlangs gehacked, een Plesk/Odin 12 server (websites/email) op Ubuntu 12.04 (64 bit).
We verdenken de hacker ervan dat deze data gekopieerd heeft, helaas zijn alle logfiles leeg. Zelf heb ik helaas niet genoeg kennis van Linux/Plesk, is er iemand die me uit kan leggen hoe ik de verwijderde logfiles terug kan krijgen?
De hosting provider (Strato) kan helaas niets voor ons betekenen omdat het een unmanaged virtual server is.

Het is een productieserver dus offline gooien en opnieuw beginnen is geen optie.

Alvast bedankt.

maandag 23 november 2015 22:24

Acties:

0 Henk 'm!

MrChillax

Hallo,

Hoe kan het ten eerste dat jullie server (waarschijnlijk) gehackt is? Hebben jullie de SSH goed beveiligd en dergelijke?
En waarschijnlijk als alle logs files verwijdert zijn, kun je dit niet meer terug roepen. De HDD/SSD heeft hoogst waarschijnlijk alle data al weer overgeschreven als je de server niet hebt gestopt met het schrijven van data direct na de hack. Waar je nog kunt kijken is de bash history:

code:

1	sudo nano /root/.bash_history

**EDIT**
Je kunt ook de laatste SSH logs bekijken als je het IP wilt achterhalen e.d.:

code:

1	cat /var/log/auth.log \| grep ssh

[ Voor 12% gewijzigd door MrChillax op 23-11-2015 22:28 . Reden: extra info ]

maandag 23 november 2015 23:54

Acties:

0 Henk 'm!

MarchelV

Topicstarter

Voor zover we kunnen nagaan (de kennis van de mogelijke hacker, een ex klant van ons) hebben ze een wachtwoord van een ftp account gevonden.

Ik zal de twee opties eens proberen, alvast bedankt hiervoor!

dinsdag 24 november 2015 09:12

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Een beetje slimme hacker wist die gescheidenis ook. Oftewel, je hebt een compromised server, hebt geen idee wat er is gedaan en laat die gewoon in productie draaien? Waar is je backup? Je 2e 'site' die je online kan gooien in geval de server offline gaat?

Ik ben bang dat je die server moet afschrijven. Die bak is alles behalve veilig en als de 'hacker' er in is gekomen door een FTP wachtwoord te achterhalen, vraag ik mij af wat er überhaupt aan beveiliging is gedaan op die machine. Want het eerste punt daarvan is FTP gewoon pertinent weigeren. Wachtwoorden plain text over de lijn gooien is zo vorige eeuw, het nu doen is gewoon vragen om problemen.

In andere woorden: ga maar een nieuwe installatie doen, je gaat niets meer kunnen achterhalen en controleer de bestanden die je gebruikt voor de websites. Die bak is mogelijk nu zelfs een open relay mailserver geworden en wordt gebruikt als spam bak.

Commandline FTW | Tweakt met mate

woensdag 25 november 2015 20:41

Acties:

0 Henk 'm!

MarchelV

Topicstarter

Helaas, deze log files zijn ook leeg.

Is het ook mogelijk om verwijderde bestanden (logs) terug te krijgen in linux? Het filesystem is ReiserFS.

woensdag 25 november 2015 21:08

Acties:

0 Henk 'm!

DAzN

Zelfs al zou je je logs terug kunnen krijgen - wat ik ten zeerste betwijfel - zou ik ze niet vertrouwen. Je zegt dat er een hacker op jouw systeem is geweest. Danwel heeft de hacker keurig zijn/haar sporen gewist, of hij/zij zal je op een dwaalspoor brengen. Of hij/zij was niet zo slim maar jouw systeem is toch gecompromitteerd.

Zoals al een paar keer aangegeven: gooi die VPS weg en zet een nieuwe op. Gebruik diensten en beveiligingstechnieken die iets meer van deze tijd zijn en lik je wonden.