Ankündigung

Einklappen
Keine Ankündigung bisher.

Server bereinigen oder neu aufsetzen, nach Ransomware Angriff...Wer kennt sich aus?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Server bereinigen oder neu aufsetzen, nach Ransomware Angriff...Wer kennt sich aus?

    Wie schon dem Titel zu entnehmen ist wurde mein Server bzw. DB ziel eines Ransomwareangriffs. (Ich soll Lösegeld zahlen damit die gelöschte Datenbank wieder freigegeben wird)
    Man muss dazu sagen, dass ich kein IT-Profi bin und das Ganze grade erst versuche mir selbst beizubringen. Der Server dient eigentlich als Testumgebung, wo ich grade versuche ein paar selbst geschriebene Scripte zum Laufen zu kriegen. Das bedeutet: Das Ganze war erst seit wenigen Stunden bzw. Tage online, enthält keine wichtigen Daten und ist für mich mehr oder weniger unverständlich. Ich muss irgend einen Fehler gemacht haben, dass in nur kurzer Zeit es Hacker geschafft haben die DB auf diese Weise (wahrscheinlich ohne Passwörter) zu knacken und kompromittieren. Naja mein Problem ist, dass jetzt relativ unklar ist wie ich weiter verfahren soll. Die Zugänge besser absichern und das System (ggf. mit Expertenhilfe) nochmal auf verdächtige Dateien durchsuchen und versuchen diese manuell zu bereinigen und irgendwie weitermachen? (Das Aufsetzen, die Installation, Konfiguration, Herumsuchen war relativ aufwendig und hat mich Tage, Wochen und Nächte an Schlaf gekostet...) Alles löschen und Platt machen und danach 10000 Dienste und Webpakete neu installieren? Oder besser gleich den Webdienst kündigen und Hoster wecheln? Problem ist wahrscheinlich auch, dass ich nicht genau checke mit welcher Methode die Angreifer überhaupt gearbeitet haben und was sie mit der Aktion bezwecken. (wie gesagt Testserver, keine wichtigen Dateien, nur ich kenne bislang Domain / IP-Adresse)

    Aber vielleicht gibt es Leute, die sich mit der Materie auskennen oder irgend einen prof. Rat haben?

  • #2
    du willst einen testserver , wieso nicht einen zuhause statt im netz.
    du willst ein dioest (webserver/db/ whatever) wieso nicht ein mananed packet eines seriösen hosters nutzen.

    ein kompromitiertes system zu reinigen ist fast aussichtslos, je nachdem wie und wo sich die angreifer festgesetzt haben.

    Kommentar


    • #3
      Hab jetzt erstmal nur die kontaminierten Ordner entfernt und neu installiert. Denke ich werde bald den Anbieter wechseln, da ich bemerkt habe, dass neben der Ransomattacke auf die DB seit mehreren Wochen auch eine 24/7 Brute Force Attacke (mit tausenden verschiedenen IP-Adressen) für den Root-Nutzer läuft, wobei jedoch *nur* ca. 50.000-100.000 PW / Stunde durchprobiert werden. Interessant wäre natürlich mal zu wissen wer sich dahinter befindet und wieso...?

      Kommentar


      • #4
        wieso ist deine db über internetz netz ansprechbar ?

        und wie gesagt, ob entfernene des ordners was bringt - da hilft nur hoffen.

        sowas bspw :
        https://www.wiz.io/blog/linux-rootki...nker-hijacking

        entfernst du damit nicht ...

        Kommentar

        Lädt...
        X