16/8/2011

Inbraak op de server

Filed under: — cybrarian @ 9:15 pm

Stel dat er wordt ingebroken op je externe (webhosting/virtuele) server. Je “besmet” subdomein wordt afgesloten door de hosting provider. Je hebt nog wel zelf toegang.

Allereerst zet je een ander wachtwoord voor het hoofdaccount; een procedure die afhankelijk is van je provider.

Je zet een terminal venster open en logt in – natuurlijk vanaf je Linux machine – met je hoofdaccount om een kijkje te nemen:

ssh hoofdaccount@mydomain.tld

Daarnaast open je konqueror en start een fish sessie om gemakkelijker rond te kijken; in de URL-lijn geef je in:

fish://hoofdaccount@mydomain.tld

Ik veronderstel even dat je vanuit dat hoofdaccount gemakkelijk kan rondkijken in je subdomeinen (afhankelijk van de provider).

Kijk in de directory met de logs, locatie afhankelijk van je provider.
Die kan een acceslog en een errorlog bevatten, die aanwijzing kunnen geven over het misbruik.

Kijk in de probleemdirectories: sorteer in konqueror bv op datum kolom. Zie je daar een patroon van update-datums die je niet kan thuisbrengen? Kom je uit op bepaalde bestanden die een ander datum hebben dan de andere bestanden van een CMS? Heet het bestand bv mailer.php?

Terminal:

find / -name mail.php

Wil je dat niet alleen op het scherm zien maar ook kunnen terugvinden:

find ./ -name mail.php > subdir/besmettedomeinen.txt

Dit zet het resultaat in een tekstbestand in “een subdirectory”; doe dat best in de private directory.

Powered by WordPress