Euh, ik ben nu al een paar jaar niet meer persoonlijk (eind-)verantwoordelijk voor een serverpark, maar in mijnen tijd was het toch zo dat als een server gehacked was, dat die zonder al te veel pardon uit het netwerk gelicht werd en in quarantaine gezet werd.
Of beter: dat alles wat ook maar ver of van dicht in de buurt van die server gestaan had, afgesloten werd tot precies geweten was wat er aan de hand was.
Op meer dan tien jaar hebben we het maar één keer meegemaakt: een script kiddie had op een server een indexpagina vervangen door iets anders. De reactie was onmiddellijk en onverbiddelijk: de “getroffen” server meteen afgekoppeld, vervangen door een andere server, een backup daarop teruggezet, nagekeken of de backup niet aangetast was, dàn pas weer in het netwerk gezet en weer verder gewerkt. Post morten op de andere server tot we precies wisten wat en hoe, en dan het toestel alsnog low level geherformatteerd en geherinstalleerd.
…wat me toch maar een beetje doet, euh, huiveren als ik hierzo lees
Blijkbaar is de hack van de bwards-site goed gelukt. Het lijkt immers geen makkelijke opdracht om de hack-pagina te verwijderen. Momenteel is men in het datacenter op zoek naar het programma dat telkens terug de 2BOYS-boodschap op de servers plaatst.
Op zoek? Um, hoe moet ik het verwoorden? Brave jongens: uw serverpark is gecompromitteerd. In de woorden van Private Hudson: Game over, man! Game over!
Als men niet op vijf seconden vindt hoe er een webpagina aangemaakt wordt op een server, dan zou ik ervan uitgaan dat de hacker ook een keylogger heeft geïnstalleerd, die onzichtbaar voor mij vieze dingen doet—alle wachtwoorden onderscheppen bijvoorbeeld, zichzelf compleet ontraceerbaar houdend, alle wachtwoorden op de webserver zetten waar ze kunnen afgehaald worden door zijn baasje, waarbij die traffiek en die directory en die file uiteraard ook compleet onzichtbaar gehouden worden, ook voor root.
En met elk uur dat verstrijkt, raakt het serverpark verder gecompromitteerd. En voor je ‘t weet, mag je ook weer samen met Hudson zeggen—They’re coming outta the walls. They’re coming outta the goddamn walls, we’re fucked!
Aaargh! Niet goed voor mijn hart, dergelijke dingen.
I say we take off and nuke the entire site from orbit. It’s the only way to be sure.
Ah nee hé, Weyland-Yutani had specimens nodig!
Natuurlijk moet de backup ook vrij zijn van de ‘hole’ die ge/misbruikt wordt om het algemeen te defacen of je krijgt een resultaat zoals hier – namelijk dat 5 minuten na de restore het weer ‘van dat’ is. Soit droppers zoals dat zijn een smerigheid maar gebeuren dikwijls vanop andere bakken dan degene die de error toont… Them datacentre-ladds have some work to do 🙁
“Building better worlds.”
(huhu, GEEKFEST!)
Yep, inderdaad. ‘t Is een vak apart. 😀
Of het zou natuurlijk een hoax kunnen zijn zoals ik op Jeroen zijn site eerder aangaf. Ben ik de enige die de link legt tussen 2boys en 2Girls (die de blog-van-het-jaar award wonnen)? Of is dit te ver gezocht?
Ik moet zeggen dat ik net hetzelfde dacht als “young crazy fool”. Propere publiciteitsstunt toch hé?!
Tja, Michel, je bent niet de enige die dacht dat gecompromitteerde servers direct uit het netwerk verwijderd werden. Maar blijkbaar wordt deze maatregel om erger te voorkomen niet overal toegepast.
wie zegt dat er echt sprake was van een hack …
zou de Federal Computer Crime Unit reeds verwittigd zijn ?