Hulpartikel overzicht

Hulpartikel

Wat kan ik doen bij een abusemelding / misbruik vanaf mijn server?

Abuse vanaf een VPS komt in vele vormen en de oorzaak en oplossing kan dan ook sterk verschillen per OS, gebruikte software / CMS en type abuse. Vanwege deze enorme diversiteit is het onmogelijk alle eventuele oplossingen aan te geven, maar je kunt op basis van onderstaande informatie mogelijk een suggestie vinden om jouw specifieke probleem te verhelpen.

Er zijn meerdere soorten 'abuse' te onderscheiden waarvan hieronder de meest voorkomende genoemd worden:

 


Beveiliging tegen spam

 

Je kunt hier meer informatie vinden over spam vanaf een VPS en wat je daar aan kunt doen. De meest voorkomende oorzaak is een spamscript dat via een kwetsbaarheid (vaak in een populair CMS zoals WordPress, Joomla, Drupal,etc) op de VPS terecht is gekomen.

Hoe kan ik dit voorkomen?

  • Zorg er voor dat je CMS (en plug-ins) altijd geüpdatet is naar de laatste versie, voor oudere versies zijn vrijwel altijd kwetsbaarheden bekend!
  • Zorg er voor dat je geen thema's en plug-ins van onbekende websites downloadt. Vaak zijn de "gratis" downloads van normaliter betaalde add-ons geïnfecteerd met dergelijke malware.
  • Gebruik voor WordPress een plugin zoals WordFence om de veiligheid van jouw website te verhogen, voor Joomla kun je bijvoorbeeld naar Securitycheck kijken.
  • Schakel PHPmailer uit of zorg ervoor dat de websites geen gebruik kunnen maken van poort 25 om mail te verzenden (doe dit alleen wanneer je geen mailformulieren gebruikt op de website).
  • Wanneer je wel van formulieren op jouw website gebruik wilt maken, zorg er dan voor dat hiervan het mailadres waar dit naartoe verzonden wordt niet direct aan te passen is. Als dat wel mogelijk is dan kunnen kwaadwillenden namelijk al direct via dat formulier spammen.
  • Tegen website-gerelateerde abuse is het heel belangrijk om de juiste bestandspermissies in te stellen. Bijna alle frameworks & CMS'en hebben een lijstje met aanbevolen permissies. Hierdoor voorkom je bijvoorbeeld dat een kwetsbaarheid in een webapplicatie gebruikt kan worden om de core-bestanden van een framework aan te passen.
  • Draai regelmatig een scan met bijvoorbeeld ClamAV of Linux Malware Detect (LMD) om dergelijke malafide bestanden zo snel mogelijk te vinden. Een handleiding voor de installatie van ClamAV in CentOS 7 vind je hier.
  • Maak gebruik van onze VPS Mailservice zodat uitgaande spam al door ons geblokkeerd wordt.
  • Om te voorkomen dat kwaadwillenden alsnog spam versturen doordat ze het wachtwoord van je mailadres hebben bemachtigd, gebruik op open draadloze netwerken nooit een verbinding zonder SSL (in dat geval wordt je wachtwoord in plain text verzonden) en kies een sterk wachtwoord.

 


Uitgaande bruteforce-aanvallen

 

Ook dergelijke aanvallen worden vaak uitgevoerd door een geïnfecteerde installatie van WordPress of Joomla (en dan vaak weer op andere WordPress-installaties). Ook kunnen er mogelijk kwetsbaarheden gebruikt zijn door malware of een gecompromitteerde root-user (bijvoorbeeld door een niet sterk root-wachtwoord dat geraden is).

Meestal kun je de oorzaak terugzien door eerst alle draaiende processen op te vragen via ps aux | less. Indien je daar een 'vreemd' dan wel onbekend proces terugziet, kun je via lsof -p $processid inzien welke bestanden dit proces open heeft. In dit commando vervang je '$processid' door de process ID uit de 'ps aux'.

Hoe kan ik dit voorkomen?

  • Zorg er voor dat je CMS (en plug-ins) altijd geüpdatet is naar de laatste versie, voor oudere versies zijn vrijwel altijd kwetsbaarheden bekend!
  • Gebruik bruteforce beveiliging zoals Fail2ban. Een handleiding voor de installatie en configuratie vind je hier.
  • Zorg er voor dat je geen thema's en plug-ins van onbekende websites downloadt. Vaak zijn de "gratis" downloads van normaliter betaalde add-ons geïnfecteerd met dergelijke malware.
  • Gebruik voor WordPress een plugin zoals WordFence om de veiligheid van jouw website te verhogen, voor Joomla kun je bijvoorbeeld naar Securitycheck kijken.
  • Tegen website-gerelateerde abuse is het heel belangrijk om de juiste bestandspermissies in te stellen. Bijna alle frameworks & CMS'en hebben een lijstje met aanbevolen permissies. Hierdoor voorkom je bijvoorbeeld dat een kwetsbaarheid in een webapplicatie gebruikt kan worden om de core-bestanden van een framework aan te passen.
  • Draai regelmatig een scan met bijvoorbeeld ClamAV, rkhunter, chrootkit of Linux Malware Detect (LMD) om malafide bestanden en infecties zo snel mogelijk te vinden.
  • Update regelmatig alle software op je OS (en het OS zelf).
  • Schakel onnodige poorten en services uit in de firewall van je OS, zowel voor inkomend als uitgaand verkeer. Wanneer je bijvoorbeeld jouw VPS alleen gebruikt voor het hosten van websites en geen gebruik maakt van mail en SSH, dan hoeven deze poorten ook niet open te staan. Wanneer een poort gesloten is en de achterliggende service uitgeschakeld, kan deze ook niet misbruikt worden door kwaadwillenden. Onderzoek dus welke poorten en services je exact nodig hebt. Via firewall-tools zoals CSF (ConfigServer Security Firewall) is het beheren van de firewall een stuk eenvoudiger.
  • Gebruik sterke wachtwoorden en schakel root-toegang via SSH uit (bij een hoop installaties staat dit standaard uit om precies deze reden). Ook het aanpassen van de SSH-poort (en het poortnummer van andere kwetsbare services) verhoogd de veiligheid van jouw server.

 


Phishing

 

Ook bij phishingpagina's op jouw server ligt de oorzaak vaak bij een geïnfecteerde installatie van WordPress of Joomla. Hierbij wordt vrijwel altijd gebruik gemaakt van een kwetsbaarheid waardoor kwaadwillenden deze content op jouw server kunnen plaatsen.

Hoe kan ik dit voorkomen?

  • Zorg er voor dat je CMS (en plug-ins) altijd geüpdatet is naar de laatste versie, voor oudere versies zijn vrijwel altijd kwetsbaarheden bekend!
  • Zorg er voor dat je geen thema's en plug-ins van onbekende websites downloadt. Vaak zijn de "gratis" downloads van normaliter betaalde add-ons geïnfecteerd met dergelijke malware.
  • Gebruik voor WordPress een plugin zoals WordFence om de veiligheid van jouw website te verhogen, voor Joomla kun je bijvoorbeeld naar Securitycheck kijken.
  • Tegen website-gerelateerde abuse is het heel belangrijk om de juiste bestandspermissies in te stellen. Bijna alle frameworks & CMS'en hebben een lijstje met aanbevolen permissies. Hierdoor voorkom je bijvoorbeeld dat een kwetsbaarheid in een webapplicatie gebruikt kan worden om de core-bestanden van een framework aan te passen.
  • Draai regelmatig een scan met bijvoorbeeld ClamAV of Linux Malware Detect (LMD) om dergelijke malafide bestanden zo snel mogelijk te vinden. Wanneer de bestanden eenmaal gevonden zijn, kun je deze bijvoorbeeld via FTP of de commandline (al dan niet van SSH) verwijderen.

 


Malware

 

Ook bij malware die vanaf pagina's op jouw server wordt verspreid, ligt de oorzaak vaak bij een geïnfecteerde installatie van WordPress of Joomla. Hierbij wordt vrijwel altijd gebruik gemaakt van een kwetsbaarheid waardoor kwaadwillenden deze content op jouw server kunnen plaatsen.

Hoe kan ik dit voorkomen?

  • Zorg er voor dat je CMS (en plug-ins) altijd geüpdatet is naar de laatste versie, voor oudere versies zijn vrijwel altijd kwetsbaarheden bekend!
  • Zorg er voor dat je geen thema's en plug-ins van onbekende websites downloadt. Vaak zijn de "gratis" downloads van normaliter betaalde add-ons geïnfecteerd met dergelijke malware.
  • Gebruik voor WordPress een plugin zoals WordFence om de veiligheid van jouw website te verhogen, voor Joomla kun je bijvoorbeeld naar Securitycheck kijken.
  • Tegen website-gerelateerde abuse is het heel belangrijk om de juiste bestandspermissies in te stellen. Bijna alle frameworks & CMS'en hebben een lijstje met aanbevolen permissies. Hierdoor voorkom je bijvoorbeeld dat een kwetsbaarheid in een webapplicatie gebruikt kan worden om de core-bestanden van een framework aan te passen.
  • Schakel onnodige poorten en services uit in de firewall van je OS, zowel voor inkomend- als uitgaand verkeer. Wanneer je bijvoorbeeld jouw VPS alleen gebruikt voor het hosten van websites en geen gebruik maakt van mail en SSH, dan hoeven deze poorten ook niet open te staan. Wanneer een poort gesloten is en de achterliggende service uitgeschakeld, kan deze ook niet misbruikt worden door kwaadwillenden. Onderzoek dus welke poorten en services je exact nodig hebt. Via firewall-tools zoals CSF (ConfigServer Security Firewall) is het beheren van de firewall een stuk eenvoudiger.
  • Draai regelmatig een scan met bijvoorbeeld ClamAV of Linux Malware Detect (LMD) om dergelijke malafide bestanden zo snel mogelijk te vinden. Wanneer de bestanden eenmaal gevonden zijn, kun je deze bijvoorbeeld via FTP of de commandline (al dan niet van SSH) verwijderen. Een handleiding voor de installatie van ClamAV in CentOS 7 vind je hier.

 


Poortscans

 

Bij een poortscan worden alle mogelijke poorten van een server gescand om te zoeken naar eventuele open poorten. Op deze 'open' poorten kan er dan vervolgens door kwaadwillenden weer geprobeerd worden binnen te dringen. Poortscans vanaf jouw VPS worden vaak veroorzaakt door malware die op jouw VPS via een kwetsbaarheid terecht is gekomen.

Via een commando zoals netstat -a kun je het netwerkverkeer per proces zien. Met die informatie kun je achterhalen welk proces dit uitvoert en daar vervolgens actie op ondernemen.

Hoe kan ik dit voorkomen?

  • Zorg er voor dat je CMS (en plug-ins) altijd geüpdatet is naar de laatste versie, voor oudere versies zijn vrijwel altijd kwetsbaarheid bekend!
  • Draai regelmatig een scan met bijvoorbeeld ClamAV, rkhunter, chrootkit of Linux Malware Detect (LMD) om malafide bestanden en infecties zo snel mogelijk te vinden. Een handleiding voor de installatie van ClamAV in CentOS 7 vind je hier.
  • Update regelmatig alle software op je OS (en het OS zelf). Wanneer de bestanden eenmaal gevonden zijn, kun je deze bijvoorbeeld via FTP of de commandline (al dan niet van SSH) verwijderen.
  • Schakel onnodige poorten en services uit in de firewall van je OS, zowel voor inkomend- als uitgaand verkeer. Wanneer je bijvoorbeeld jouw VPS alleen gebruikt voor het hosten van websites en geen gebruik maakt van mail en SSH, dan hoeven deze poorten ook niet open te staan. Wanneer een poort gesloten is en de achterliggende service uitgeschakeld, kan deze ook niet misbruikt worden door kwaadwillenden. Onderzoek dus welke poorten en services je exact nodig hebt. Via firewall-tools zoals CSF (ConfigServer Security Firewall) is het beheren van de firewall een stuk eenvoudiger.
  • Gebruik sterke wachtwoorden en schakel root-toegang via SSH uit (bij een hoop installaties staat dit standaard uit om precies deze reden). Ook het aanpassen van de SSH-poort (en het poortnummer van andere kwetsbare services) verhoogd de veiligheid van jouw server.

 


Copyright Infringement

 

Bij 'copyright infringement' of 'trademark infringement' ( / merkrecht inbreuk) is het zo dat wij een melding krijgen dat er onrechtmatig content gedeeld wordt vanaf jouw VPS. Dit kan bijvoorbeeld een torrent zijn die al dan niet via een VPN is verbonden of afbeeldingen van een bepaald merk product dat in jouw webshop getoond wordt. De eenvoudigste oplossing hiervan is het verwijderen van de inbreukmakende content op jouw VPS.

Hoe kan ik dit voorkomen?

  • Zorg er voor dat je geen torrent-programma draait op jouw VPS. Daarnaast is het niet aan te raden eventuele media die je zelf hebt geüpload naar je VPS, publiekelijk beschikbaar te stellen.
  • Wanneer je ook een VPN-server draait op je VPS, zorg er voor dat verbonden gebruikers geen gebruik kunnen maken van torrent-verkeer.
  • Wanneer je producten verkoopt van bepaald merk en je gebruikt hiervan afbeeldingen (zoals logo's), zorg er dan voor dat je hier een licentieovereenkomst over sluit met de rechthebbende.
  • Registreer en host geen domeinen van bekende merken; in vrijwel alle gevallen zal je gedwongen worden deze content vrij snel te moeten verwijderen en het domein over te dragen aan de rechthebbende van dat merk.

 


Uitgaande (D)DoS-aanvallen

 

Er zijn een flink aantal verschillende 'DDoS'-aanvallen die gebruikt worden door kwaadwillenden op het Internet. Bij een DDoS-aanval probeert jouw VPS een andere server met een dermate grote hoeveelheid pakketjes te bestoken, dat deze verder onbereikbaar wordt voor andere bezoekers. Twee van de meest voorkomende aanvallen die wij zien, zijn de UDP flood en SYN flood.

Bij een UDP flood wordt er vanaf jouw VPS een groot aantal UDP-pakketjes verzonden naar random (vaak ongebruikte) poorten op de aangevallen server. Daardoor zal de betreffende server steeds een 'ICMP Destination Unreachable' terugsturen, wat uiteindelijk tot excessief resource-gebruik leidt en de server onbereikbaar maakt.

Bij een SYN flood wordt er na een SYN (een signaal om een verbinding op te zetten) nooit meer een ACK gestuurd (of door een gespoofd IP te gebruiken). Hierdoor blijft de server die aangevallen wordt maar wachten op een antwoord wat resources verbruikt, zeker indien er steeds meer onbeantwoorde SYN's gestuurd worden.

In beide gevallen is de kans zeer groot dat jouw VPS door malware is geïnfecteerd en daardoor in een 'botnet' opgenomen is. Hierdoor kunnen kwaadwillenden op door hun gewenste momenten (deels) de controle over de VPS overnemen en een dergelijke aanval uitvoeren.

Hoe kan ik dit voorkomen?

  • Zorg er voor dat je CMS (en plug-ins) altijd geüpdatet is naar de laatste versie, voor oudere versies zijn vrijwel altijd kwetsbaarheden bekend!
  • Draai regelmatig een scan met bijvoorbeeld ClamAV, rkhunter, chrootkit of Linux Malware Detect (LMD) om malafide bestanden en infecties zo snel mogelijk te vinden. Een handleiding voor de installatie van ClamAV in CentOS 7 vind je hier.
  • Update regelmatig alle software op je OS (en het OS zelf). Wanneer de bestanden eenmaal gevonden zijn, kun je deze bijvoorbeeld via FTP of de commandline (al dan niet van SSH) verwijderen.
  • Schakel onnodige poorten en services uit in de firewall van je OS, zowel voor inkomend- als uitgaand verkeer. Wanneer je bijvoorbeeld jouw VPS alleen gebruikt voor het hosten van websites en geen gebruik maakt van mail en SSH, dan hoeven deze poorten ook niet open te staan. Wanneer een poort gesloten is en de achterliggende service uitgeschakeld, kan deze ook niet misbruikt worden door kwaadwillenden. Onderzoek dus welke poorten en services je exact nodig hebt. Via firewall-tools zoals CSF (ConfigServer Security Firewall) is het beheren van de firewall een stuk eenvoudiger.
  • Gebruik sterke wachtwoorden en schakel root-toegang via SSH uit (bij een hoop installaties staat dit standaard uit om precies deze reden). Ook het aanpassen van de SSH-poort (en het poortnummer van andere kwetsbare services) verhoogd de veiligheid van jouw server.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Deel dit artikel

Reacties

Maak een account aan of log in om een reactie te plaatsen.

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op