1. Ger Member

    DirectAdmin gehacked

    Topic geplaatst op: 07-08-2012 om 17:29

    Hoi,

    Ik vroeg met het volgende af:

    Enkele dagen geleden is me het volgende overkomen:

    Ik heb een Reselleraccount. In de avond op een zaterdag, zo tegen 18:30 uur. Eerst werden websites van klanten erg traag, daarna ging een website van een klant offline, ofwel werd op "abuse" gezet binnen DirectAdmin.

    Een minuut later verscheen er ineens binnen de listing van mijn users (klanten) in plaats van een domein (laten we zeggen domeinklant.com) een andere naam, te weten underdosattack.com

    Kortom alles met extensie binnen de users DirectAdmin was verandert in underdosattack.com
    Indien ik de link invoerde van domeinklant.com kwam ik op een scherm binnen de browser van "niet gevonden".

    Ik heb meteen een back-up van desbetreffende user teruggezet.
    Dit was goed gegaan. Website van klant domeinklant.com was weer Online.

    Echter ...

    Even later knalt ook mijn ResellerAccount van mijn DirectAdmin eruit en was ik (zo bleek later) door Versio (op zich redelijk begrijpelijk) als Reseller op "abuse" gezet.
    Ik kon dus de hele nacht nergens meer bij.
    Alle websites van klanten eruit, en ik kon nergens meer bij.

    Door Versio is de "abuse" status eraf gehaald en alles draait nu weer perfect.
    Domeinen zijn allemaal (zo lijk) onbeschadigd.

    - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

    Mijn vraag aan Versio of anderen:
    Ik veronderstel dat een hakker is binnen geweest. Hoe kom ik te weten of er nergens schadelijke software op de server is geplaatst binnen mij of de klanten?
    Iemand een idee hoe ik dit kan achterhalen?

    Thanks

  2. Robert-Jan Member
    Reactie geplaatst op: 07-08-2012 om 19:10

    Iemand een idee hoe ik dit kan achterhalen?

    Als je inlogt in Direct Admin kan je klikken op Login History.

    Hier kan je zien hoelaat er is ingelogd, op welk IP, en getal van verkeerde wachtwoorden ingevuld.

    Hoop dat dit je vraag beantwoord heeft.

    Voor de zekerheid, verander al je wactwoorden betreft jouw server.

    Vond u dit antwoord nuttig?

  3. Ger Member
    Reactie geplaatst op: 07-08-2012 om 19:33

    @Robert-Jan --> Dank.

    Uit die login details word ik niet wijzer, daar vind ik helemaal niets.
    Op de datum van (er vlak na) is alle Inlog data gereset (door Versio) zo vermoed ik.

    Blijf ik nog met de vraag zitten, hoe ik kan ontdekken of er schadelijke software op mijn account ergens kan zitten ... ?

    Vond u dit antwoord nuttig?

  4. Alexander Hartog Member
    Reactie geplaatst op: 24-08-2012 om 13:07

    @Ger; je zou www.sucuri.net kunnen gebruiken om schadelijke code te detecteren op je site(s). Tegenwoordig komt het vaak voor dat er een hidden Iframe word verborgen in de code.

    Ook is het raadzaam om de modify data van bestanden te controleren. Index, .htaccess, header/footer, register en login pagina's zijn vaak doelen om verborgen code in te verbergen.

    Veelal worden wachtwoorden buit gemaakt door malware/virussen die in bekende applicaties de wachtwoorden uitlezen.
    Filezilla en Notepad++ zijn hierbij vaak een target door hackers. De optie om de wachtwoorden niet in de applicatie zelf op te slaan is hierbij adviseerbaar. Er zijn gratis tools (uit mijn hoofd bv KeyPass) die je wachtwoorden encrypted in een klein programmaatje opslaan die je prima op een USB sleutelhangertje kan meenemen. (uiteraard beveiligd met een Master Password om toegang te krijgen tot de wachtwoorden lijst).

    Zorg ervoor dat je PC's met FTP toegang schoon zijn van virussen/malware (Gebruik Kaspersky en Malwarebyte voor scans) alvorens nieuwe wachtwoorden in te stellen.

    Met Direct Admin is het ook aan te raden om de bestanden die je default "parking" pagina vormen bij het aanmaken van een nieuwe klant te controleren. Hier kan al verborgen code in opgeslagen zijn. Je vind de default pagina's als je als reseller user inlogt onder domains > default (uit mn hoofd).

    Paar laatste pointers voor de veiligheid.
    - Hoe gemakkelijk het ook is om applicaties wachtwoorden op te laten slaan (zelfs IE/Firefox e.d.): Doe dit niet! Hackers gaan uit van de luiheid van beheerders "omdat het mij toch nooit overkomt".
    - Probeer niet teveel werkplekken te creeern vanwaaruit je onderhoud pleegt. Het nalopen en eventueel schonen van meerdere werkplekken waar je (inlog) gegevens rondslingeren kost je meer tijd dan het gemak van "even snel" een aanpassing maken.
    - De standaarden zoals Antivirus, firewall etc op je werkplek/netwerk lijkt me voor de hand liggen en behoeft geen verdere beargumentering lijkt mij.

    Misschien iets meer informatie dan waar je om gevraagd hebt maar hopelijk heb je hier in de toekomst baat bij om herhaling te voorkomen.

    Groet, Xander

    Vond u dit antwoord nuttig?

  5. Ger Member
    Reactie geplaatst op: 28-08-2012 om 11:03

    @ Alexander Hartog
    Hartelijke dank, ik ga me erin verdiepen.

    Vond u dit antwoord nuttig?

  6. evasiveNL Member
    Reactie geplaatst op: 10-10-2012 om 19:48

    Hallo Ger en anderen,

    Ik heb het zelfde probleem meegemaakt afgelopen maand, bij mijn reseller hosting pakket. Sites hebben pieken en dalen wat laadtijden betreft, heel vervelend allemaal.

    Daarnaast viel het me op dat ik binnen phpMyAdmin een onbekende database heb staan (genaamd test) die regelmatig gevuld wordt met tabellen (ook als ik ze weer weg gehaald heb).

    Ik heb mijn sites allemaal gescant en ik heb mijn wachtwoorden e.d. aangepast maar de problemen blijven aan. Mijn sites gaan niet daadwerkelijk offline maar hebben hebben sowieso pas een responsetijd van 2 sec. of meer (lijkt me behoorlijk veel) daarnaast heb ik een packetloss (als ik ga pingen via just ping) van bijna 100%.

    Ik weet eigenlijk ook niet wat er verder aan de hand is... en kan er helaas geen grip op krijgen!

    Vond u dit antwoord nuttig?

  7. Fabien Daniel Versio medewerker
    Reactie geplaatst op: 11-10-2012 om 03:54

    @evasiveNL Welke software gebruik je op de hosting?

    De test database is een gemeenschappelijke database die door alle klanten kan gebruikt worden op de server. Het is dus niet aangeraden deze te gebruiken. Steeds een eigen database aanmaken in DirectAdmin via MySQL management.

    Vond u dit antwoord nuttig?

  8. evasiveNL Member
    Reactie geplaatst op: 11-10-2012 om 13:24

    @Fabian, ik gebruik alleen WordPress en Magento. De installatie doe ik altijd via Installatron in DirectAdmin, er wordt dus een aparte database gemaakt per installatie die ik doe.

    De database genaamd 'test' is erg merkwaardig, ik kan deze ook niet verwijderen (noch via directAdmin noch via phpMyAdmin). En elke keer dat ik de database leeg haal (heeft verder geen gevolgen voor mijn klanten) dan is deze de dag erna weer gevuld met nieuwe records en data.

    De éne keer is het een joomla database (gebruik ik nooit) de andere keer weer iets totaal anders. Wanneer ik de database doorzoek zie ik veelal oostblok-taal (russisch, bulgaars, etc.) dus dat kan al niet veel goeds betekenen.

    Maargoed; zoals je al zei iedereen kan erbij, dus als ik het verwijder kan het zo zijn dat ik de installatie van een ander om zeep help. Ik ben hoe dan ook benieuwd naar het nut van deze database en of deze niet onnodig de sql server belast?

    Bedankt in ieder geval voor de toelichting! Voor zover ik weet niets om me zorgen over te maken?

    Vond u dit antwoord nuttig?

  9. Ger Member
    Reactie geplaatst op: 15-10-2012 om 10:23

    @evasiveNL

    Dank voor de Tip

    Vond u dit antwoord nuttig?