Gehackt

Gepost op zaterdag 31 mei 2008 om 16:36 (tags:

)

Woensdagavond kreeg ik een berichtje: of ik dringend eens naar een server van mij in de DMZ van het iLab kon kijken of die gehackt was. Ja, prijs natuurlijk. En nog wel door een bijzonder grote stommiteit van mij: een tijdelijke simpele account (met bijhorend simpel wachtwoord) aangemaakt en die achteraf niet verwijderd. Nu ja, simpel, login en wachtwoord waren "yukawa", niet meteen een woordje dat iedereen direct probeert. Een brute force attack zou mij ook verwonderen, aangezien er nog dergelijke logins waren die alfabetisch eerder geprobeerd zouden moeten zijn.

Soit, ferm veel gevloek, onze Taiwanese bezoeker direct buitengekegeld en de boel dichtgegooid. Wat forensics (lang leve logs!) door onze uitstekende sysadmin (*zwaait eens naar Pascal*) toonden aan dat er niet echt schade aangericht is, maar dat de ongenode gast een tooltje gedownloaded had waarmee hij een portscan uitvoerde op de andere pc's in het netwerk. Een scriptkiddie dus. Andere pc's kraken, is hem wellicht niet gelukt door de goede veiligheidsmaatregelen aldaar: de firewall houdt zo goed als alles tegen. Uiteraard wordt alles nog gecontroleerd.

Om het zekere voor het onzekere te nemen moest de pc natuurlijk geherinstalleerd worden, voor mocht onze vriend nog ergens een achterpoortje opengezet hebben voor later. En daar is Ubuntu Linux ferm zalig in: op geen tijd de 7 gig aan data overgezet naar een andere machine, netboot, nog geen tien minuutjes om een verse installatie van Ubuntu server via het netwerk uit te voeren, KVM opnieuw installeren en sleutels heraanmaken (vijf minuutjes werk en ongeveer evenveel commando's), mijn data terugzetten en ik ben weer vertrokken. Slechts een kleine onderbreking dus. Ik mag er niet aan denken dat het een Windows machine was waar ik uren aan mocht herinstalleren. Soit, ik kan weer verder, en uiteraard deze keer niet meer met dergelijke onnozele wachtwoordjes of tijdelijke accounts die actief blijven...

Peter Dedecker's blog

4 reacties

Peter's Blog (not verified) zei op zaterdag 31 mei 2008 om 20:55:

Van VMware naar KVMOp verzoek van Serge een berichtje om te melden dat ik voor virtualisatie overgestapt ben van VMware naar KVM/QEMU en mijn ervaringen daarmee.

De redenen voor de overstap waren tweedelig: enerzijds was dat ik het beu was om met elke kernelupgrade de...

Domi (not verified) zei op zondag 1 juni 2008 om 00:06:

Die kiddies snappen enkel de wet van de sterkste. Oog om oog, tand om tand. Bak hem gewoon een koekje van eigen deeg en haal z'n pc overhoop.

Bruno (not verified) zei op maandag 2 juni 2008 om 20:05:

Als volslagen leek in servers en co vraag ik mij af of een gewone gebruiker als mezelf ook te vrezen heeft van dergelijke kiddies? Op mijn pc valt niet echt veel te rapen behalve mijn vakantiekiekjes en wat word-bestandjes.
Ik veronderstel dat mijn McAfee security center wel de rest voor mij beveiligt.

greets
Bruno

Peter Dedecker zei op maandag 2 juni 2008 om 20:08:

@Bruno: beveiliging is voor iedereen belangrijk. Aan jouw pc zal misschien niet de data interessant zijn voor de potentiële inbreker, maar wel de pc zelf: als hij binnengeraakt, kan hij/zij vanop jouw pc spam versturen, of verder inbreken op andere pc's (terwijl de sporen naar jou verwijzen) of andere minder goede zaken uitvoeren.

McAfee is zeker een goed begin, maar belangrijk is dat je zorgt dat je steeds een up-to-date versie hebt daarvan en dat je best op je thuis-pc (windows bak?) geen servertjes draait. Zit je achter een routertje, bvb om je internetverbinding te delen of om draadloos internet te voorzien? Dan zit je nog eens extra veilig.