VPS sunucum hacklendi! (POSSIBLE BREAK-IN ATTEMPT!) - R10.net
  • 24-11-2018, 19:05:57
    #1
    Merhaba.

    Öğlen saatlerinde sunucu firması HACKLENDİĞİMİ söyledi.
    Tam olarak ne olduğunu sorduğumda:
    Alıntı
    Direkt olarak sunucunuza girmişler, dışarıya bruteforce saldırısı çıkarmışlar. Maalesef ki sunucu güvenliği konusunda destek sağlayamıyoruz efendim. Kurduğunuz yazılım, bilgisayarınızda virüs vb. bir çok sebebi olabilir. Bu konuda kendiniz yaptığınız işlemleri düşünmelisiniz.
    şeklinde cevap aldım.

    Sunucu firması: "Abuse bildirimiyle gelen, brute force alan karşıdaki sunucunun sshd login logudur. Ayrıca sunucusuna openvz ana node üzerinden giriş yaptığımızda /tmp içinde ve ftpuser owneri ile birçok perl tool çalışmaktaydı."
    Nov 24 07:16:20 h1887132 sshd[26867]: reverse mapping checking getaddrinfo for u7k3t9vx.[IP GIZLENDI].com [IP GIZLENDI] failed - POSSIBLE BREAK-IN ATTEMPT!
    Nov 24 07:16:20 h1887132 sshd[26867]: Invalid user jacques from [IP GIZLENDI]
    Nov 24 07:16:20 h1887132 sshd[26867]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=[IP GIZLENDI]
    Nov 24 07:16:23 h1887132 sshd[26867]: Failed password for invalid user jacques from [IP GIZLENDI] port 54596 ssh2
    Nov 24 07:36:50 h1887132 sshd[29677]: reverse mapping checking getaddrinfo for u7k3t9vx.[IP GIZLENDI] [IP GIZLENDI] failed - POSSIBLE BREAK-IN ATTEMPT!
    Nov 24 07:36:50 h1887132 sshd[29677]: Invalid user michael from [IP GIZLENDI]
    Nov 24 07:36:50 h1887132 sshd[29677]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=[IP GIZLENDI]
    Kullandığım bilgisayarın işletim sistemi Ubuntu. Herhangi bir farklı program kullanmadım. Bu olayın nasıl olduğuna dair fikrim yok. Sizlerin düşüncelerini merak ediyorum...
  • 24-11-2018, 19:22:37
    #2
    Koyduğunuz log ile hacklenmenizin bir alakası yok, eğer bu loglara bakarak hacklendiğinizi düşünüyorsanız rahat olun hacklenmediniz.



    Nasıl olduğuna dair bu şekilde bir fikir yürütemeyiz, VPS ne amaçla kullanılıyor, içerisinde websiteleri mi barındırılıyor hiçbir detay yok, olsa da zaten direkt şundan şundan diyemeyiz sunucuyu ve tüm logları incelemeden.
  • 24-11-2018, 19:43:28
    #4
    NetX adlı üyeden alıntı: mesajı görüntüle
    Koyduğunuz log ile hacklenmenizin bir alakası yok, eğer bu loglara bakarak hacklendiğinizi düşünüyorsanız rahat olun hacklenmediniz.
    Nasıl olduğuna dair bu şekilde bir fikir yürütemeyiz, VPS ne amaçla kullanılıyor, içerisinde websiteleri mi barındırılıyor hiçbir detay yok, olsa da zaten direkt şundan şundan diyemeyiz sunucuyu ve tüm logları incelemeden.
    Teşekkür ederim.

    GiRGiN adlı üyeden alıntı: mesajı görüntüle
    sitenizin ismini hacked siteismi.com şeklinde aratıp bakın
    Sitelerimde herhangi bir sıkıntı yok. Yedeğini alıyorum. Firma temiz kurulum yapmamı önerdi. Teşekkür ederim.
  • 24-11-2018, 21:00:53
    #5
    MOmerAlpi adlı üyeden alıntı: mesajı görüntüle
    Teşekkür ederim.


    Sitelerimde herhangi bir sıkıntı yok. Yedeğini alıyorum. Firma temiz kurulum yapmamı önerdi. Teşekkür ederim.
    Hocam siz direkt firmayi degistirin bence, eger sadece o loglara bakip durup dururken hacklendiniz dediyseler.

    Uzuluyorum, basit İngilizce bilmezler, sunucu yonetimini bilmezler cikip bu islerden para kazanirlar, yazik gercekten de.

    Durup dururken musteriyi paranoyaklastirir boyle firmalar.
  • 25-11-2018, 01:48:50
    #6
    NetX adlı üyeden alıntı: mesajı görüntüle
    Hocam siz direkt firmayi degistirin bence, eger sadece o loglara bakip durup dururken hacklendiniz dediyseler.

    Uzuluyorum, basit İngilizce bilmezler, sunucu yonetimini bilmezler cikip bu islerden para kazanirlar, yazik gercekten de.

    Durup dururken musteriyi paranoyaklastirir boyle firmalar.
    Bu kadar önyargıya neye istinaden kapıldınız bilemedim?

    Firma biziz.İngilizce'de biliyoruz.Müşterimiz detayıyla yazmamış ama ben yazayım. Oradaki iletilen log müşterinin sunucusuna ait log değil! Abuse bildirimiyle gelen, brute force alan karşıdaki sunucunun sshd login logudur.Ayrıca sunucusuna openvz ana node üzerinden giriş yaptığımızda /tmp içinde ve ftpuser owneri ile birçok perl tool çalışmaktaydı.Biz sadece sunucu hizmeti sağlıyoruz.Müşteri sunucusu içerisinde yapılan işlemler,kurulan os ve panelden mükellef.Os ve panel tarafımızca kurulması istenirse başlıca ayarları yapıp teslim ediyoruz.




    İşte şimdi yargısız infaza,önyargıya gerçekten yazık..
  • 25-11-2018, 01:56:15
    #7
    GiRGiN adlı üyeden alıntı: mesajı görüntüle
    sitenizin ismini hacked siteismi.com şeklinde aratıp bakın
    Hack kelimesinden anladığınız sanırım sadece "hacked by siteadresi.com" üzücü.
  • 25-11-2018, 01:56:45
    #8
    Ufuk Gedik adlı üyeden alıntı: mesajı görüntüle
    Bu kadar önyargıya neye istinaden kapıldınız bilemedim?

    Firma biziz.İngilizce'de biliyoruz.Müşterimiz detayıyla yazmamış ama ben yazayım. Oradaki iletilen log müşterinin sunucusuna ait log değil! Abuse bildirimiyle gelen, brute force alan karşıdaki sunucunun sshd login logudur.Ayrıca sunucusuna openvz ana node üzerinden giriş yaptığımızda /tmp içinde ve ftpuser owneri ile birçok perl tool çalışmaktaydı.Biz sadece sunucu hizmeti sağlıyoruz.Müşteri sunucusu içerisinde yapılan işlemler,kurulan os ve panelden mükellef.Os ve panel tarafımızca kurulması istenirse başlıca ayarları yapıp teslim ediyoruz.




    İşte şimdi yargısız infaza,önyargıya gerçekten yazık..
    Aslında benim suçum, tam anlatmamışım. Kusura bakmayın arkadaşlar.
    İlgi ve alakanız için tekrar teşekkürler.
  • 25-11-2018, 02:06:58
    #9
    Ufuk Gedik adlı üyeden alıntı: mesajı görüntüle
    Bu kadar önyargıya neye istinaden kapıldınız bilemedim?

    Firma biziz.İngilizce'de biliyoruz.Müşterimiz detayıyla yazmamış ama ben yazayım. Oradaki iletilen log müşterinin sunucusuna ait log değil! Abuse bildirimiyle gelen, brute force alan karşıdaki sunucunun sshd login logudur.Ayrıca sunucusuna openvz ana node üzerinden giriş yaptığımızda /tmp içinde ve ftpuser owneri ile birçok perl tool çalışmaktaydı.Biz sadece sunucu hizmeti sağlıyoruz.Müşteri sunucusu içerisinde yapılan işlemler,kurulan os ve panelden mükellef.Os ve panel tarafımızca kurulması istenirse başlıca ayarları yapıp teslim ediyoruz.




    İşte şimdi yargısız infaza,önyargıya gerçekten yazık..

    Yok hocam estağfurullah, şöyle bir ibare eklemiştim zaten,: " eger sadece o loglara bakip durup dururken hacklendiniz dediyseler".


    Ama buna da sebep olan müşterinizin çok ama çok eksik bilgilendirme yapması, kim olsa o logları sunucuya gelen log olarak anlar. Zaten 2 mesajımda da yorumum o loglar üzerindendi.


    Sürç-i lisan ve kusur ettiysek affola.
R10.net sizlere daha iyi hizmet sunmak için çerezleri kullanıyor.R10.net'i kullanarak çerezleri kullanmamızı kabul etmiş olacaksınız.
Detaylı bilgi almak için Gizlilik ve Çerez Politikası metnimizi inceleyebilirsiniz.