19 berichten aan het bekijken - 1 tot 19 (van in totaal 19)
  • Q:
    Bijdrager
    Lexis

    Aangevallen op server; wat te doen?

    Hallo!

    Ik heb een server draaien die ik nu ook (vooral om te testen) gebruik als persoonlijke webserver. Mijn server zit dus gekoppeld aan een domeinnaam. Echter, ik had wel ingesteld, voor de veiligheid, dat IP adressen worden geblokkeerd na zoveel aanmeldingen binnen zoveel minuten.

    Op 3 en op 5 januari heb ik dus twee aanvallen uit China gehad. Hoe gevaarlijk is dit en hoe wapen ik me hier het beste tegen?

    Zijn er mensen met dezelfde situatie als ik (en een erg lange IP blocklist?)

    Bedankt voor de info!

    Lexis.

    Geblokkeerd
    Anoniem

    Updates, updates, updates.
    Patches, patches, patches.
    Veilige code, geen stomme fouten in je code.
    Geen daemons als root draaien.
    Encrypted logins gebruiken.
    Enz…

    Bijdrager
    Swisi

    Hoe erg is de ‘aanval’? Spreken we over een DOSS-aanval?
    Zijn er andere dingen geprobeerd? Welke domeinnaam?

    Bijdrager
    Pieterr

    Welcome to the real world.:lol:

    Je moet maar niet teveel kijken naar die loggings om te zien wie er allemaal bij je komen belletje trekken want daar wordt je niet vrolijk van.

    Het is natuurlijk wel belangrijk om alles zoveel mogelijk dicht te zetten en alleen de meest essentiele zaken open te laten (ssh) icm authenticatie.

    Er zijn een paar andere forumleden die je hier meer over kunnen vertellen. (EDIT: cailin heeft al gereageerd.:smile: )

    Bijdrager
    Swisi

    Zoals Cailin zegt:
    update, geen lekke code,….

    Zoals Pieterr zegt:
    kijk niet naar logins: daarom stel ik die vragen..;)

    Als je wilt kan ik je via via een persoon ‘leveren’ die websitebeveilliging doet.
    Hij controleert je website en repareert hem. Dit lijkt me eerder ‘overbodige’ luxe in jouw geval.

    Geblokkeerd
    Anoniem

    Daar naast:
    Hardenen, geen onnodige daemons draaien en geen onnodige software installeren.

    En niet met individuele IPs werken op je blacklist, maar gewoon meteen IP ranges er in gooien. Boeit het jou als half China je site niet kan bereiken?;)

    Bijdrager
    Lexis

    Oh gut, ik ben nu niet thuis, maar m’n server is wel offline….
    Hoe weet ik de IP ranges van half china?

    Geblokkeerd
    Anoniem

    Haha:) kijk naar je huidige blacklist en je zet waarschijnlijk veel voorkomende X.Y.*.* of X.Y.Z.* adressen. Neem daar dan de hele range van op in plaats van alleen de individuele adressen. Het is een begin.

    Bijdrager
    Lexis

    Nou dat is niet grappig, want ik kan nieteens meer in mijn DiskStation, en dus ook niet in mijn Blacklist…
    Even kijken of ik nog kan SSHen…

    Bijdrager
    Lexis

    Shit, ik kan wel SSHen, maar het password is niet wat het altijd was. Dit is foute boel denk ik.

    Wat is het ergste dat er kan gebeuren? Al mijn data kwijt? Meh das niet leuk. Ik had net dat ding eindelijk goed draaiend.

    Bijdrager
    casperrrrrrr

    Je gebruikt voor je NAS toch een dyndns domein of draai je inmiddels je eigen?

    Bijdrager
    Lexis

    Zowel dyndns als een eigen. het eigen domein verwijst in haar DNS records door naar het dyndns domein.

    Bijdrager
    casperrrrrrr

    Dan denk ik dat je je dan verder geen zorgen hoeft te maken (of ik moet dat ook gaan doen) want ik kan momenteel ook niet via mijn dyndns domein bij mijn Mac mini en heb nog een aantal andere getest.

    Bijdrager
    Lexis

    Maar ik kan niet eens via mijn directe externe IP adres bij mijn server…; dat is toch wat anders. Jammer dat ik nu niet naar huis kan, anders had ik daar kunnen kijken. Dat wordt dus vanmiddag. Of de stroom of het internet moet thuis zijn uitgevallen (ik denk dat ik daar maar even op ga hopen).
    En trouwens, zo makkelijk is mijn wachtwoord niet. En momenteel worden IP adressen automatisch geblokkeerd na 2 inlogpogingen.

    Geblokkeerd
    Anoniem

    Dat houdt buffer overflows niet tegen. Als je password is veranderd, dan moet je 100% zeker je hele bak opnieuw installeren. Je hebt dan geen idee wat ze nog meer hebben geïnstalleerd.

    Je had toch geen remote root login aan staan, toch? TOCH?!

    Bijdrager
    Lexis

    Remote root login? Ehm misschien? Dat is dus wel klote als dat aanstond… Welke stappen kan ik het best ondernemen?

    En het SSHen lukte toch niet, ik was blijkbaar iets anders aan het SSHen. Het was wel raar want in mijn Dyndns account stond dat de huidige host van het account het IP adres is waar ik nu zelf op zit (op de TU); vooral dat vond ik raar…, hoe kan dat gekomen zijn?

    Bijdrager
    Lexis

    Oke, ben nu thuis (als een razende gefietst, maar alles lijkt in ieder geval oke. (grote zucht van opluchting)
    Hoe kan ik dat remote root login uitzetten als het al aan stond?

    Geblokkeerd
    Anoniem

    Je moet /etc/sshd_config bewerken. Zie bijvoorbeeld…

    In jouw geval moet je de parameter PermitRootLogin op “No” zetten.

    Bijdrager
    Lexis

    Ah crap, ik merk toch dat ik te weinig van deze dingen afweet. Binnenkort maar even in verdiepen.

19 berichten aan het bekijken - 1 tot 19 (van in totaal 19)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.