hoe kan je een server herstellen

Het antwoord op die vraag zal voor een deel afhangen van de resultaten van je digital forensics. Wanneer die aantonen dat er root access geweest is – lees: de hacker had adminrechten en had de mogelijkheid om al je systemen te manipuleren – is er eigenlijk maar één correcte oplossing: een volledige herinstallatie. Waarom? Omdat je nooit helemaal zeker kan zijn dat je elke actie die de hacker heeft uitgevoerd kan identificeren. En dat je dus ook nooit zeker bent dat je server weer 100% veilig zal zijn.

Root access = volledige herinstallatie

Zodra een hacker root access krijgt, kan hij een server of website op elke gewenste manier manipuleren. Dit betekent ook dat hij meerdere backdoors kan installeren die hem weer makkelijk toegang geven tot de server. En het is niet omdat je één backdoor hebt gevonden en verwijderd, dat er geen andere meer bestaan.

Je kan met root access bijvoorbeeld een cron-taak creëren die elke dag een backdoor naar een bepaalde map downloadt. Wanneer je je server herstelt, vind je misschien wel de backdoor in die map, maar kan je die specifieke cron job makkelijk missen.

Bovendien verbergen veel rootkits de aanwezigheid van backdoors. Als een rootkit je besturingssysteem opdracht geeft om een bestand te verbergen, is het onwaarschijnlijk dat je het bestand vindt. Uiteraard zijn er specifieke programma’s om rootkits op te sporen, maar ook die zijn niet feilloos. Dat kan dus zorgen voor een vals gevoel van veiligheid.

Backdoors kunnen zich daarnaast ook alleen in het geheugen bevinden. De meeste gebruikers beschikken niet over de middelen die nodig zijn om continu gigabytes geheugen te controleren op verdachte activiteiten. De enige correcte oplossing voor het herstellen van een server waarop een hacker root access heeft gehad is dus het herinstalleren van de server op basis van een back-up van voor de hack. Wat op zich òòk al een probleem vormt, want de server kan al gehackt zijn lang voordat het ontdekt werd.

Voor de volledige herinstallatie volg je best dit lijstje:

  • Wis alles van de server
  • Herinstalleer alles vanaf nul
  • Importeer een back-up van voor de hack
  • Beveilig alle entry points (en zeker degene die de hacker gebruikte)
  • Update alle software naar de meest recente versie
  • Controleer alle toegangscontroles (firewalling, passwords, SSH keys)
  • Verander alle wachtwoorden op alle toestellen

Geen root access = beveiligen en herstellen

Wanneer een hacker geen root access heeft verworven, kan je gaan kijken of een volledige herinstallatie wel nodig is. Want hoe je het ook draait of keert, zo’n herinstallatie kost veel tijd en energie en zorgt ook voor de nodige downtime.

  • In dit geval kan je je mogelijk beperken tot het updaten van de beveiliging en het herstellen van de schade door de hack. Dit lijstje zou dan voldoende moeten zijn:
  • Beveilig alle entry points (en zeker degene die de hacker gebruikte)
  • Herstel de schade van de hack (eventueel via een back-up van voor de hack)
  • Update alle software naar de meest recente versie
  • Controleer alle toegangscontroles (firewalling, passwords, SSH keys)
  • Verander alle wachtwoorden op alle toestellen

Best practice versus praktijk

De realiteit leert ons dat veel bedrijven kiezen voor de tweede optie, zelfs in gevallen waar er wél root access was. Wij begrijpen dat dit gebeurt vanuit een noodzaak om zo weinig mogelijk tijd en centen te verliezen en zo de impact van de hack zo minimaal mogelijk te maken.

Toch adviseren we altijd om hier grondig over na te denken en eventuele consequenties mee in rekening te nemen. Want wat doe je wanneer blijkt dat de herstelde server toch niet veilig was en wéér gehackt wordt? Hoe vertel je dat aan klanten wiens data opnieuw op straat ligt? Welke reputatieschade komt daarbij kijken? Een volledige herinstallatie kost meer tijd en energie, maar biedt ook zekerheid dat het probleem effectief helemaal van de baan is.

Download ons gratis After the Hack eBook

Gerelateerde berichten
hoe voorkom je dat je gehackt wordt

Voorkomen is beter dan genezen: hoe voorkom je dat je gehackt wordt?

Breng alle cyberrisico’s op technisch en juridisch vlak in kaart en neem de passende technische en organisatorische maatregelen. Een overzicht.

Lees meer

communicatie bij een hack

Hoe moet je communiceren als je gehackt bent?

Hoe ga je als bedrijf, groot of klein, met veel of weinig gegevens, best om met de communicatie omtrent een hack en (eventueel) datalek?

Lees meer

welke juridische stappen na hack

Welke juridische maatregelen moet je nemen na een datalek?

In dit artikel willen we zo concreet mogelijk maken welke juridische stappen je moet ondernemen als je bedrijf geconfronteerd wordt met een datalek.

Lees meer