Website gehacked

redman · 03 jun 2016, 18:46

Dus,

Vermits ik een opleiding had gedaan als webontwikkelaar had ik dus een eigen website gemaakt met bootstrap, jquery en symfony framework.

Ik had al lang een xbmcbuntu server met een torrentclient draaien met een betaalde dyndns account.
Dus ik dacht, ik zet mijn website hierbij. Ik heb alleen poort 80 en een poort voor mijn torrentinterface op andere poort dan de standaard poort.

Ik heb volledig de guideline gevolgd van symfony hoe een webserver op te zetten.

De hacker is wel heel origineel en heeft mijn image logo lichtjes veranderd.

Kan iemand me helpen met wat ik nu juist moet doen.

Als ik het netstat commando uitvoer zie ik één ding verdacht?

Code: Selecteer alles

tcp        0    265 192.168.1.5:53427       46.126.16.71:30485      ESTABLISHED 112        13972       765/python

xming · 03 jun 2016, 19:29

Server offline halen en herinstalleren! Als je nog wilt uitpluizen wat er gebeurd was, maak eerst een image, maar boot er niet van.
Het opzetten van een webserver != een webserver beveiligen.

Doktor Avalanche · 03 jun 2016, 20:18

Is een beetje de reden waarom ik een beetje huiverachtig ben van zaken als Codeigniter . Dat wordt op zoveel websites gebruikt dat er wel mensen zullen zijn die gaten zullen zoeken. Ze zullen wel snel gedicht worden, maar dan moet je steeds zeer snel updaten.
Als ze gewoon via ssh of ftp binnenkomen kan je eens proberen wat IP adressen te blokkeren, maar probeer eerste eens zoveel mogelijk paswoorden op de server aan te passen. Kijk ook of er geen nieuwe users aangemaakt zijn.

xming · 03 jun 2016, 21:44

Doktor Avalanche schreef:Is een beetje de reden waarom ik een beetje huiverachtig ben van zaken als bootstrap, jquery, angular .... Dat wordt op zoveel websites gebruikt dat er wel mensen zullen zijn die gaten zullen zoeken. Ze zullen wel snel gedicht worden, maar dan moet je steeds zeer snel updaten.

huh? Al die zaken zijn client site, gaten in die software, betekent niet dat men de servers zo kan binnendringen.

Als ze gewoon via ssh of ftp binnenkomen kan je eens proberen wat IP adressen te blokkeren, maar probeer eerste eens zoveel mogelijk paswoorden op de server aan te passen. Kijk ook of er geen nieuwe users aangemaakt zijn.

Geen enkele zin, je kan nooit zeker zijn dat er geen backdoors meer zijn, onzichtbare root kits enz. Veiligste is een herinstallatie, zelfs dat biedt geen 100% garantie (BIOS rootkits, USB rootkits, ...).

redman · 03 jun 2016, 22:11

Ik heb de netwerk kabel uitgetrokken, kan ik wat verder zien.

Ik zie dus dat op XBMCbuntu geen ufw geinstalleerd is, pfff.

raf1 · 03 jun 2016, 22:44

Wellicht is je servertje zo lek als een zeef. Begin al eens met volgende blogpost: https://blog.mattbrock.co.uk/hardening- ... ver-14-04/

butskristof · 04 jun 2016, 09:06

Een die ik ook altijd volg:
https://www.digitalocean.com/community/ ... untu-14-04
Onderaan zijn er nog een aantal interessante links qua beveiliging voor MySQL, PHPMyAdmin en andere zaken die al eens security flaws durven tonen.

Ik zou inderdaad ook volledig opnieuw beginnen met een cleane installatie en van nul beginnen met eerst te zorgen dat alles deftig beveiligd is etc.

MClaeys · 04 jun 2016, 09:10

Ik ben wel benieuwd naar de subtiele wijziging, vaak gaan ze voor een defacing

redman · 04 jun 2016, 12:47

Nog een vraagje....

Als ik naar de bestanden kijk van mijn website zie ik dat ik de enige user ben en dat die laatst zijn veranderd toen ik de website naar daar heb verplaatst.

Is het mogelijk voor een hacker dit te veranderen zonder dat ik dit kan zien met ls -l (datum en user van de bestanden)?

Ik heb ook rkhunter laten lopen en die vindt niets.

xming · 04 jun 2016, 13:58

MClaeys schreef:Ik ben wel benieuwd naar de subtiele wijziging, vaak gaan ze voor een defacing

Misschien een kennis die dat heeft gedaan

Loeri · 04 jun 2016, 15:03

redman schreef: Is het mogelijk voor een hacker dit te veranderen zonder dat ik dit kan zien met ls -l (datum en user van de bestanden)?

Jup is mogelijk(ik ga niet linken naar een site, maar google toont al heel wat).
Als dat het geval is kan je een programma gebruiken dat je een mail stuurt, log schrijft of whatever wanneer een file wordt aangepast.

xming · 04 jun 2016, 15:51

redman schreef:Nog een vraagje....

Als ik naar de bestanden kijk van mijn website zie ik dat ik de enige user ben en dat die laatst zijn veranderd toen ik de website naar daar heb verplaatst.

Is het mogelijk voor een hacker dit te veranderen zonder dat ik dit kan zien met ls -l (datum en user van de bestanden)?

Alles is mogelijk zelfs zonder ingewikkelde "hacks". Als het goede gedaan was met een deftige rootkit is er zelfs geen enkel manier om enige spoor te vinden als je nog met het live systeem werkt.