1

Onderwerp: Debian webserver wordt telkens gehackt

Goedemorgen,

Sinds een paar maanden wordt er telkens ingebroken op onze webserver. Er worden dan gigantisch veel kleine bestandjes geplaatst door de mappen van onze websites. Daarbij zitten ook Mailbots. Hierdoor begint onze server spam mails te versturen en raakt de mail queue telkens vol en kunnen we geen bestanden meer aanmaken, omdat we alle inodes hebben gebruikt. Het is erg vervelend.

We hebben al meerdere dingen geprobeert, waaronder:

- De CHMOD van alle mappen in de webroot 775 maken en van alle bestanden 664.
- Een virusscan draaien
- RKHunter laten scannen
- Apache Mod Security installeren, maar we hebben deze weer uitgeschakeld omdat daardoor bepaalde websites niet meer werkten en we de documentatie onduidelijk vonden
- De mail queue legen en de virussen en andere geinjecteerde bestanden verwijderen
- SFTP installeren in plaats van FTP
- Root access blokkeren via SSH
- De server upgraden
- De server restarten
- En nog andere dingen

Heeft iemand hier ervaring mee, of weet iemand hoe wij onze webserver goed kunnen beveiligen?

We zouden het erg op prijs stellen smile.

Met vriendelijke groet,

Z0q

Re: Debian webserver wordt telkens gehackt

Is dit een commerciel of een non commerciel project?

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

3

Re: Debian webserver wordt telkens gehackt

Kleinschalig commercieel (5 websites) en non-commercieel.

Re: Debian webserver wordt telkens gehackt

Het probleem is namelijk dat forensisch onderzoek en het schoon maken van websites nogal een klus kan zijn. Daarna moet er iets opgebouwd worden. Nu, dit is heel erg koffiedik kijken. Over het algemeen kost dit wel wat geld.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

5

Re: Debian webserver wordt telkens gehackt

Wat bedoelt u met forensisch onderzoek?

Er is eventueel wat geld beschikbaar om dit probleem op te lossen als het ook goed wordt opgelost. Het schoonmaken kunnen wij zelf, want dat heb ik al vaker gedaan, maar het is belangrijk dat de webserver goed beveiligd wordt hiertegen en dat het ook goed onderhouden blijft worden.

Daarvoor zou ik wel bereid zijn om te betalen voor het uitleggen van hoe de server goed beveiligd kan worden en hoe het kan worden onderhouden.

Re: Debian webserver wordt telkens gehackt

Stel je voor dat er een root kit op een van de websites staat. Je installeerd een nieuwe server en je plaatst de oude data terug.  Dan is hij weer lek smile.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

7 Laatst bewerkt door 5Tgff##2699Jbv!!rrOn (06 Mar 2015 17:00:52)

Re: Debian webserver wordt telkens gehackt

Ik kan je een goed bedrijf (nee, ik werk daar niet (meer)) adviseren als je wilt. Mail me dan even.

Re: Debian webserver wordt telkens gehackt

De eerste vraag is.. welke software draai je ?   Is dit joomla , wordpress of een eigen pakketje ?
Ik zie veel joomla sites gehackt worden.. .En dan is het helemaal leuk als je mod_ruid2 hebt draaien  wink

amd athlon 64 bits S 939
asus nforce chipset
Gentoo Linux (full 64 bit)
En het werkt toppie..

Re: Debian webserver wordt telkens gehackt

mpm-itk FTW

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

10

Re: Debian webserver wordt telkens gehackt

In de oorspronkelijke vraagstelling zie ik een hele lijst van gevaren die typerend zijn voor gebrek aan kennis.
Kan gebeuren niet iedereen heeft dat, maar we zien dat soort issues ongeveer elke twee weken wel een keer.
Een securety feature instaleren met het idee dat het vinkje [X] Veilige server het wel oplost is ehm... uhmm  niet de oplossing.

Begin eens met een gedegen onderzoek.
Nog liever kick alles van die server af en check je logfiles.
Je weet kenlijk niet eens waar de rommel vandaan komt
Wel ik wel (weet niets van je server af, maar ken ondertussen wel mn pappenheimers) en wel meer lieden hier weten dat.
Gewoon zoals mr Peugot (zucht koop toch eens een behoorlijke auto Leon) aan geeft.   zoek een pro.

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

11

Re: Debian webserver wordt telkens gehackt

3 mensen (ja, inclusief mijzelf) die dat zeggen. 3 mensen voor wie dit dagelijkse kost is. Ik zou het nu wel weten smile.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

12 Laatst bewerkt door QzZRBNMdJdsCmwx (07 Mar 2015 10:49:30)

Re: Debian webserver wordt telkens gehackt

z0q schreef:

We hebben al meerdere dingen geprobeert, waaronder:

Ten eerste: stop smile.

Als een server gehacked is, kun je het niet meer vertrouwen. Als een aanvaller in staat is geweest als gebruiker dingen uit te voeren, dan kun je er ook vanuit gaan dat ze iets gedraait hebben om recente exploits te zoeken die root geven. En als dat is gebeurd kan er van alles zijn: backdoors in de vorm van extra binaries, kernel modules, bootloaders, etc. Die ga je over het algemeen niet vinden, vooral als je niet veel security expertise hebt.

Dus, totdat je informatie hebt die het tegendeel bewijst, moet je ervanuit gaan dat de server verloren is. Dit betekent:

- Kopie van de huidige serverschijf maken.
- Data extraheren (bijv. database dumps).
- Kijken of je de oorzaak van de lek kunt vinden 90% kans dat het een lek is in PHP web software).
- Dan met een helemaal schone server beginnen.

Statische sites, mailserver of wat dan ook kun je meteen opzetten. Voor web software moet je kiezen of je eerst wilt achterhalen wat het lek was (om te voorkomen dat je dezelfde lek weer introduceert) of meteen nieuwe verse versies van je software wilt installeren. Dan dat controleren en terugzetten.

Nog een voetnoot: heel erg veel mensen downloaden de nieuwste versie van bijv. Wordpress, installeren het op een server. En kijken af en toe (hopelijk) of er een nieuwe versie is. Dit gaat met degelijke software niet werken omdat het met de haverklap lek is. Dus tenzij je de tijd hebt om security-lijsten van degelijke projecten te volgen en onmiddelijk met de hand updates uit te voeren, installeer altijd paketten uit je distributie. Op die manier krijg je namelijk security updates via je distributie.

13 Laatst bewerkt door 5Tgff##2699Jbv!!rrOn (07 Mar 2015 12:08:22)

Re: Debian webserver wordt telkens gehackt

Inderdaad... als je het toch zelf wilt doen. Begin met een schone degelijke (hierin schuilt de basis van een veilige server) installatie. Gebruik enkele zeer doetreffende veiligheidsmaatregelen; heb nog wat docjes op https://mrleejohn.wordpress.com/2015/01 … -software/ staan, enigs oude maar vast nog bruikbare. Documenteer deze stappen goed zodat je deze later eventueel nogmaals kunt uitvoeren. Zet je data over. En zorg voor backups, backups, backups.

Succes!

P.s. @pascal.... ik zoek altijd een auto met een goede motor. In mijn diesel-barrel ligt dezelfde 140pk motor als de volvo s60. Dan zal het wel goed zijn toch wink

14

Re: Debian webserver wordt telkens gehackt

@devrandom, ik vind je tip in je voetnoot hoewel voor de hand liggend een zeer goede tip.
Dit uiteraard er van uitgaande dat er ook af en toe updates worden gedraaid wat nogal eens met 'goede' reden het geval is (onzin natuurlijk maar dat is een ander verhaal).
Een issue waar je echter nogal eens tegen aan loopt is dat je op zo'n site (of dat nu wordpress, drupal of een ander gedrocht is) vaak dingen wil toevoegen die gecreeerd zijn door de overbuurjongen en die niet speciaal op veiligheids issues zijn gecontroleerd en ook geen updates in deze ontvangen.

Ik ben er overigens (waarschijnlijk net als iedereen hier) van overtuigd dat een dergelijk lek de oorzaak van het probleem is.

Pascal's Blobfree Homepage
Een dag geen NedLinux is een dag niet geleefd

15

Re: Debian webserver wordt telkens gehackt

Dus tenzij je de tijd hebt om security-lijsten van degelijke projecten te volgen en onmiddelijk met de hand updates uit te voeren, installeer altijd paketten uit je distributie. Op die manier krijg je namelijk security updates via je distributie.

Dat is niet altijd waar. Dan heb je het over de core van bijv. Wordpress die dan gepatched wordt. Sowieso als je CMS'en host is het belangrijk dat je de beveiliginslijsten door leest. Een beter aanpak is een geautomatiseerde update/upgrade toepast. Zo iets kan met Infinite Wordpress. Elke websites wordt om het uur gecontroleerd over er updates zijn en als die er zijn, dan krijg je een e-mailtje.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

16 Laatst bewerkt door QzZRBNMdJdsCmwx (08 Mar 2015 11:08:58)

Re: Debian webserver wordt telkens gehackt

Wordpress was misschien niet het goede voorbeeld, want die hebben idd inmiddels procedures voor automatische updates. Maar <insert random PHP app die dat niet doet>. Genoeg van dat soort ellende.

Ik onderhoud een server waar een stel MoinMoin instanties op draaien (Python wiki software). En daar zijn we op distributiepakketten overgegaan, omdat de updates automatisch komen. Extra pluspunt is dat ik alleen de Debian security lijst in de gaten hou wink.

17 Laatst bewerkt door 5Tgff##2699Jbv!!rrOn (08 Mar 2015 11:23:29)

Re: Debian webserver wordt telkens gehackt

Dat soort pakketten (niet alleen php, maar wel vaak ja) zijn er idd echt heel erg veel. En ieder pakket van die categorie moet je zelf dus met het handje automatiseren of heel goed in de gaten houden voor security updates. Of vervangen door een pakket dat wel via de updates van de distri bijgewerkt wordt. Of stoppen met dat pakket. Keuzes te over smile

18

Re: Debian webserver wordt telkens gehackt

Klinkt bekend, lijkt alsof je te maken hebt met een applicatie die kwetsbaar is.
Maar een gehackte server ff een beetje fixen en weer aanzetten is natuurlijk not done.

Als je geen kennis van zaken heb, huur dan iemand/bedrijf in voor een aantal dagen die je komt helpen.
Leer je zelf ook weer wat van.

19

Re: Debian webserver wordt telkens gehackt

Wat ik niet begrijp is waarom de grote hostingbedrijven niet down gaan als je daar een onveilige website op upload. Daar hebben zij blijkbaar een goede beveiliging voor waardoor hun klanten gewoon PHP files kunnen uploaden zonder problemen.

Heeft iemand een idee waarom dat wel werkt? Moet je het dan heel erg dichttimmeren?

20 Laatst bewerkt door 5Tgff##2699Jbv!!rrOn (09 Mar 2015 20:32:33)

Re: Debian webserver wordt telkens gehackt

Daar draaien websites vaak in een chroot of een variant daarop. Die losse websites worden ook vaak gehackt. Dat is dan niet zo erg voor het basissysteem. Maar meestal worden die losse websites gedetecteerd, geisoleerd en platgelegd door het hostingbedrijf. Dat basissysteem zit vaak degelijk in elkaar.... degelijk zoals reeds eerder uitgelegd.

Re: Debian webserver wordt telkens gehackt

z0q schreef:

Wat ik niet begrijp is waarom de grote hostingbedrijven niet down gaan als je daar een onveilige website op upload. Daar hebben zij blijkbaar een goede beveiliging voor waardoor hun klanten gewoon PHP files kunnen uploaden zonder problemen.

Shared hosting bedrijven hebben vaak problemen hoor. Danwel gebruikers die teveel resources gebruiken en op die manier een host lam leggen of servers die gehacked worden en schoon geinstalleerd moeten worden. Je kunt wel wat isolatie doen, maar uiteindelijk is het toch behelpen (en onveilig).

Tegenwoordig zie je meer VPSes (bijvoorbeeld Xen of KVM). Dat is een stuk veiliger, want daar heeft iedereen z'n eigen virtual machine. En dan heeft een hack minder consequenties. (Overigens zijn er nog steeds consequenties, als een VM gebruikt wordt om spam te sturen kan het zijn dat de 'score' van het hele netblock omlaag gaat.)

22 Laatst bewerkt door Masy (12 Mar 2015 14:54:18)

Re: Debian webserver wordt telkens gehackt

Hoi z0q,

Als ik dit zo lees heb je een gigantisch probleem. Je provider kun je uitsluiten.
Je hebt ergens een "mol"  binnen je team die enorm "lekt"...
Gelet op de privileges zit die niet zomaar op de werkvloer maar ergens in je naaste omgeving...
Ben je het soms zelf?

Jongens, Wie is de :"mol" op NedLinux!!!

Help z0q met mij mee.


Gr. Masy

23

Re: Debian webserver wordt telkens gehackt

Nice try, crossposting: http://www.linuxquestions.org/questions … 175535936/

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."