Hoe kan ik mijn server of website herstellen na een hack?

Website of server herstellen na een hack

Hoe je jouw website of server best kan herstellen na een hack zal voor een deel afhangen van de resultaten van je digital forensics. Wanneer die aantonen dat er root access geweest is – lees: de hacker had adminrechten en had de mogelijkheid om al je systemen te manipuleren – is er eigenlijk maar één correcte oplossing: een volledige herinstallatie. Waarom? Omdat je nooit helemaal zeker kan zijn dat je elke actie die de hacker heeft uitgevoerd kan identificeren. En dat je dus ook nooit zeker bent dat je server weer 100% veilig zal zijn.

Lees ook: Een hack voorkomen is beter dan genezen, hoe vermijd je dat je gehackt wordt?

 

Root access = volledige herinstallatie

Zodra een hacker root access krijgt, kan hij een server of website op elke gewenste manier manipuleren. Dit betekent ook dat hij meerdere backdoors kan installeren die hem weer makkelijk toegang geven tot de server. En het is niet omdat je één backdoor hebt gevonden en verwijderd, dat er geen andere meer bestaan.

Je kan met root access bijvoorbeeld een cron-taak creëren die elke dag een backdoor naar een bepaalde map downloadt. Wanneer je je server herstelt, vind je misschien wel de backdoor in die map, maar kan je die specifieke cron job makkelijk missen.

Bovendien verbergen veel rootkits de aanwezigheid van backdoors. Als een rootkit je besturingssysteem opdracht geeft om een bestand te verbergen, is het onwaarschijnlijk dat je het bestand vindt. Uiteraard zijn er specifieke programma’s om rootkits op te sporen, maar ook die zijn niet feilloos. Dat kan dus zorgen voor een vals gevoel van veiligheid.

Backdoors kunnen zich daarnaast ook alleen in het geheugen bevinden. De meeste gebruikers beschikken niet over de middelen die nodig zijn om continu gigabytes geheugen te controleren op verdachte activiteiten. De enige correcte oplossing voor het herstellen van een server waarop een hacker root access heeft gehad is dus het herinstalleren van de server op basis van een back-up van voor de hack. Wat op zich òòk al een probleem vormt, want de server kan al gehackt zijn lang voordat het ontdekt werd.

Voor de volledige herinstallatie volg je best dit lijstje:

  • Wis alles van de server
  • Herinstalleer alles vanaf nul
  • Importeer een back-up van voor de hack
  • Beveilig alle entry points (en zeker degene die de hacker gebruikte)
  • Update alle software naar de meest recente versie
  • Controleer alle toegangscontroles (firewalling, passwords, SSH keys)
  • Verander alle wachtwoorden op alle toestellen

 

Geen root access = beveiligen en herstellen

Wanneer een hacker geen root access heeft verworven, kan je gaan kijken of een volledige herinstallatie wel nodig is. Want hoe je het ook draait of keert, zo’n herinstallatie kost veel tijd en energie en zorgt ook voor de nodige downtime.

  • In dit geval kan je je mogelijk beperken tot het updaten van de beveiliging en het herstellen van de schade door de hack. Dit lijstje zou dan voldoende moeten zijn:
  • Beveilig alle entry points (en zeker degene die de hacker gebruikte)
  • Herstel de schade van de hack (eventueel via een back-up van voor de hack)
  • Update alle software naar de meest recente versie
  • Controleer alle toegangscontroles (firewalling, passwords, SSH keys)
  • Verander alle wachtwoorden op alle toestellen

 

Best practice versus praktijk

De realiteit leert ons dat veel bedrijven kiezen voor de tweede optie, zelfs in gevallen waar er wél root access was. Wij begrijpen dat dit gebeurt vanuit een noodzaak om zo weinig mogelijk tijd en centen te verliezen en zo de impact van de hack zo minimaal mogelijk te maken.

Toch adviseren we altijd om hier grondig over na te denken en eventuele consequenties mee in rekening te nemen. Want wat doe je wanneer blijkt dat de herstelde server toch niet veilig was en wéér gehackt wordt? Hoe vertel je dat aan klanten wiens data opnieuw op straat ligt? Welke reputatieschade komt daarbij kijken? Een volledige herinstallatie kost meer tijd en energie, maar biedt ook zekerheid dat het probleem effectief helemaal van de baan is.

Download het After the Hack e-book

 

,

Gerelateerde artikelen

Wat is spoofing

Als cybercriminelen zich vermommen: wat is spoofing en hoe voorkom je het?

  • 22 december 2022
  • Leestijd: 5 min

Wat is spoofing? Cybercriminelen die zich voordoen als een bank, de belastingdienst of nog erger als jouw bedrijf! Je komt dus maar beter snel te weten hoe je dit voorkomt.
Brute-force attack: zo verzet je je ertegen

Brute-force attack: zo verzet je je ertegen

  • 11 juli 2022
  • Leestijd: 4 min

Hackers maken niet alleen gebruik van bekende zwakke plekken en bugs in software, besturingssystemen of content management systemen om toegang te krijgen tot jouw data of jouw website binnen te...

Hoe beschermt Combell jou tegen DDoS-aanvallen?

  • 4 juni 2021
  • Leestijd: 2 min

DDoS-aanvallen worden talrijker en krachtiger. Gelukkig zijn er mogelijkheden om jezelf beter te wapenen. Zoals klant zijn bij Combell 😉.