opeens gaat alles fout... ben ik alles kwijt?

ik weet het niet helemaal zeker, maar kan je niet een soort van "recovery mode" starten vanaf de RH 7.2 installatie cd's ??

Je server is dus gehackt. Als je met bv fdisk vanaf een boot/rootdisk of bootable cd geen partities meer kunt vinden en je weet de exacte grootte ook niet meer kun je weinig beginnen ben ik bang. Als het toch lukt zou ik belangrijke data backuppen en redhat opnieuw installeren (en regelmatig updates uitvoeren).

Verwijderd schreef op 03 oktober 2002 @ 15:03:
hoi
en opeens zag ik een gebruiker met de naam d0k die opeens userid 0 had.
ik wiste hem gelijk.
even later kreeg ik 128 error schermpjes en liep het systeem vast.

eh... Wat stond er op die 128 error schermpjes ? Da's wel handig om te weten denk ik

ik stop de cd erin en probeer de upgrade functie en daarna linux rescue.
er staat als melding dat er geen linux partities gevonden zijn.
kan iemand me in de goeie richting sturen over hoe ik dit kan verhelpen,

Je kunt even vanaf de bootdisk hetvolgende commando uitvoeren (2e terminal scherm pakken ofzo) fdisk -l /dev/hda . Fdisk geeft dan een lijstje met aanwezige partities.

er stond heel veel op de server en het is vreselijk als ik alles kwijt zou zijn.

Mjah, backups moet je altijd maken in zo'n geval, liefst elke dag, maar i.i.g. elke week. Ik doe het zelf ook niet, maar er staat ook helemaal niks belangrijks op m'n server, en ik heb hem vanaf scratch weer binnen een paar uur inelkaar zitten.

Verwijderd schreef op 03 oktober 2002 @ 15:23:
hoe kan ik me hiertegen beschermen? hij zit in een intern netwerk en alleen poorten 25,80,110 zijn open.... hoe kan iemand daar nou door binnen komen?

Is het de server die toegang geeft tot het interne netwerk? Zo ja, dan kan bv apache met mod_ssl voor vervelende situaties leiden. Als het een interne server is dan zou ik ook een naar de server gaan kijken die toegang geeft tot het interne netwerk.

Best mogelijk. Als je verantwoordelijk voor die server bent zou ik me zeker aanmelden op de CERT Advisory mailing list. Daar worden alle belangrijke vulnerabilities op aangekondigd. Zie voor meer informatie http://www.cert.org/.

Ger00t dus inderdaad! Dan moet je eigenlijk sowieso alles herinstalleren. En volgende keer beter bijhouden! Elke server, of het nou Windows, Linux of *BSD is, zul je regelmatig moeten patchen. Voor Redhat en Mandrake bestaan daarvoor automatische programma's (a la Windows Update maar zonder het rebooten zeg maar )

Maar dat is voor nadat je de gegevens er af hebt gehaald; om dat te doen kun je een liveCD of rescue-CD van een willekeurige distro pakken, die booten, de partities van de server mounten en de complete inhoud over het netwerk copieeren.

Btw. er staat veel info op die server en er zijn geen backups? Dat valt in de categorie 'ramp waarop je kunt wachten tot (niet: of) het gebeurt' he! Nadat je de server opnieuw hebt geinstalleerd ook dat regelen dus

Life sucks, sometimes...sterkte ermee!

Allereerst: Het is het verstandigst om je server niet meer van het huidige systeem op te laten starten, alleen nog maar van floppies, CDrom, een andere HD of iets anders waarvan je weet dat het veilig is.
Je data is waarschijnlijk niet weg (al zou dat wel degelijk kunnen), dat is zelden waar crackers in geinteresseerd zijn afaik.

Als je data er nog is, dan deze backuppen, en dan je systeem helemaal from scratch opnieuw installeren (je kunt ook je huidige install schoonmaken, maar dat is waarschijnlijk meer werk en je hebt minder garantie dat het goed gebeurt).

Verwijderd schreef op 03 oktober 2002 @ 16:12:
alle computers, dus ook de server, zitten achter een router. deze sluit in principe alle poorten af, behalve de poorten 110 25 en 80 die hij doorstuurt naar de server...

kan iemand met behulp van smtp www of pop3 naar binnen gekomen zijn??

Ja, dat zou kunnen. Apache is al genoemd (gezever met SSL/SSH), smtp zou ook kunnen (sendmail schijnt relatief onveilig te zijn).
Als je je systeem niet herinstalleert kun je er misschien achter komen hoe ze binnengekomen zijn.

Ook is poort 53 (DNS) op UDP iets waar je op moet letten. Daar draait je nameserver op (als je die hebt), maar UDP is nogal eens een vergeten kindje als het op firewallen aankomt.

Om zoiets te voorkomen moet je
1. Alleen datgene dat je ook echt nodig hebt naar buiten openzetten
2. De juiste daemons voor die services kiezen
3. Die daemons configgen (niet onnodig als root draaien bijvoorbeeld)
4. Security updates bijhouden. Hiervoor bieden de meeste distro's faciliteiten voor, en een mailinglist voor de aankondigingen van updates.