Moggûh,
Ehm, ik heb net ff een poort scan gedaan op een server....
Nu vond ik poort 5412 en als ik connect via telnet zag ik dit :
De eigenaar van de server heeft wat poorten dicht gemikt, waaronder poort 5412. Toen een boot gedaan,... maar nu is alles zo sloom als maar kan. En de server heeft een 100 cpu load. Waarschijnlijk komt dit door die backdoor. Vraag is. Hoe vind ik die backdoor. Met een virusscanner?
Het is windows 2003 server en zodra iemand connect met een site wat op die server staat is er dus ook een load van 100%
Poorten zijn dicht. Net gedaan, en mcaffee ziet hem ook niet. Wat ik net vond op google...
Hij lijkt iig te draaien op Serv-U en die zijn we nu aant opzoeken met WinHex...
We hebben dus nu die map e.d gevonden. Nu blijkt daar geen .exe file oid in te staan wat gerunt wordt.Kortom we zoeken nu 5.5 uur, en we zijn geen fuck verder. Het staat er nog steeds af, en volgens de " baas " weten we dat het op een serv - u server draait. Dus we zijn met winhex alles aan het afzoeken naar serv-u. hopen dat dat iets oplevert. Tevens hebben we uit oude "logs" een persoonlijke irc server gevonden van de kiddy's, en een login naam, alleen is het jammer dat het password ge encrypt is. Nu is het wachten op het .exe bestand wat we moeten vinden, zodat we kunnen voorkomen dat het gerunt wordt.
En ik weet dat als we dit hebben verwijdert het nog steeds niet safe is.Het is blijkbaar na de 1ste x ook al niet safe geweest. Anders had deze er nooit meer op kunnen komen. Dus een her install moeten we sowieso binnen zeer korte tijd doen.Daar is helaasch niks aan te doen.
We hebben al 2 bestanden gevonden: cr.dll en wr.dll met daarin de header die gestuurd wordt als de client connect..
Help?!?
Ehm, ik heb net ff een poort scan gedaan op een server....
Nu vond ik poort 5412 en als ik connect via telnet zag ik dit :
De eigenaar van de server heeft wat poorten dicht gemikt, waaronder poort 5412. Toen een boot gedaan,... maar nu is alles zo sloom als maar kan. En de server heeft een 100 cpu load. Waarschijnlijk komt dit door die backdoor. Vraag is. Hoe vind ik die backdoor. Met een virusscanner?
Het is windows 2003 server en zodra iemand connect met een site wat op die server staat is er dus ook een load van 100%
Poorten zijn dicht. Net gedaan, en mcaffee ziet hem ook niet. Wat ik net vond op google...
Hij lijkt iig te draaien op Serv-U en die zijn we nu aant opzoeken met WinHex...
We hebben dus nu die map e.d gevonden. Nu blijkt daar geen .exe file oid in te staan wat gerunt wordt.Kortom we zoeken nu 5.5 uur, en we zijn geen fuck verder. Het staat er nog steeds af, en volgens de " baas " weten we dat het op een serv - u server draait. Dus we zijn met winhex alles aan het afzoeken naar serv-u. hopen dat dat iets oplevert. Tevens hebben we uit oude "logs" een persoonlijke irc server gevonden van de kiddy's, en een login naam, alleen is het jammer dat het password ge encrypt is. Nu is het wachten op het .exe bestand wat we moeten vinden, zodat we kunnen voorkomen dat het gerunt wordt.
En ik weet dat als we dit hebben verwijdert het nog steeds niet safe is.Het is blijkbaar na de 1ste x ook al niet safe geweest. Anders had deze er nooit meer op kunnen komen. Dus een her install moeten we sowieso binnen zeer korte tijd doen.Daar is helaasch niks aan te doen.
We hebben al 2 bestanden gevonden: cr.dll en wr.dll met daarin de header die gestuurd wordt als de client connect..
Help?!?
/u/43807/ZwartGat.png?f=community)
