[Windows 2003] Server gehacked, probleem met register

Flyduck schreef op zaterdag 25 juni 2005 @ 14:09:
Ik ben bij een bedrijf een 2003 server tegengekomen waarop ingebroken was en waar een ftp site op draaide. Nu ben ik aan het beoordelen of deze server helemaal opnieuw geinstalleerd moet worden, of dat ik hem op kan schonen.

hack == reinstall.

uiteraard heb je al gekeken of er een goeie System State backup was.

Je zou misschien de SYSTEM key terug kunnen zetten mbv een backup (als je tenminste system state backup hebt), maar herinstalleren lijkt me de veiligste en meest stabiele oplossing.

System restore naar een dag voor de hack?
Lijkt mij eigenlijk ook zowat de enige manier om redelijk zeker te zijn dat alle sporen van de hack weg zijn (op format na dan)

Flyduck schreef op zaterdag 25 juni 2005 @ 14:09:
Maar iig, mijn belangrijkste vraag, hoe krijg ik de HKEY_LOCAL_MACHINE\SYSTEM weer terug ?

Volgens mij boot een server niet als je deze hive 'echt' niet zou hebben - dus vermoedelijk draait er heel wat rotzooi op die server

Ik zou idd ook een herinstlall aanraden - waar ik wel benieuwd naar ben: hoe is je server 'gecracked'? Via welke manier is er toegang gekregen?

Flyduck schreef op zaterdag 25 juni 2005 @ 14:24:
System restore is geen optie omdat die er simpelweg niet is van voor de hack.

Dus reinstall.

Verder wordt er aangegeven hack=reinstall. Hier ben ik het niet helemaal mee eens. De server in kwestie had eigenlijk helemaal geen default gateway nodig, en deze heb ik er dan ook afgehaald. Verder firewall ook geactiveerd. Als ik nu nog de mogelijkheid heb om de CurrentControlSet key na te lopen (sevices etc), kan ik een heel eind komen denk ik.

Leuk beargumenteerd, maar verkeerd gedacht.
Dit ding is duidelijk niet mission critical, maar is wel al sinds april niet meer te vertrouwen (want gehacked).
dus reinstall.

Als het om een webserver oid zou gaan zou ik idd meteen herinstalleren.

hacked servers worden altijd reinstalled.

oh, had ik al genoemd dat je als je niet eens een backup hebt je beter kan reinstallen?
Ik zou zo'n doos niet meer vertrouwen eerlijk gezegd...

Lees http://www.microsoft.com/...lumns/secmgmt/sm0504.mspx ook even door en dan met name:

The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.

Flyduck schreef op zaterdag 25 juni 2005 @ 14:31:
Niet helemaal duidelijk. Poort 1433 (sq) stond iig open voor internet. maar geen netbios oid.

Ik vermoed dus dat het ze via SQL poort zijn binnenkomen (ook het SA password bleek nl aangepast)

De nieuwe SQL's staan het toch niet eens meer toe dat je met een leeg SA psasword werkt - mag ik daarmee aannemen dat het een erg verwaarloose omgeving is?

Iig is het misschien ook zaak om je internet omgeving te herzien - als je simpelweg door middel van een andere default gateway opeens vanuit het internet bereikbaar bent als server op dit LAN, dan is daar ook nog wel het e.e.a. aan te klussen ben ik bang

Iig - je SYSTEM hive kan je in principe ook manueel loaden onder een andere key (Regedit -> HKLM open doen, registry menu, load hive, %Systemroot%\system32\config en dan system geloof ik), maar vermoedelijk is er "iets" wat die key verborgen houd - want zonder die key zou je je systeem gewoon niet kunnen booten

elevator schreef op zaterdag 25 juni 2005 @ 17:55:

De nieuwe SQL's staan het toch niet eens meer toe dat je met een leeg SA psasword werkt - mag ik daarmee aannemen dat het een erg verwaarloose omgeving is?

Vanaf sql2000 SP3 niet meer nee, maar helaas laat het updaten van MSDE instances door diverse software leveranciers nog wel eens flink te wensen over.

Ook je system logs kan je handmatig openen btw - eventvwr -> rechtsklik -> open logfile -> %Systemroot%\System32\Config\sysevent.evt

Voor de herinstallatie - je merkte hierboven op dat je een firewall had aangezet, nu is het denk wel interessant om er rekening mee te houden dat je in dit geval waarschijnlijk niet mee geholpen zou zijn: je server moet toch 'lokaal' services blijven aanbieden, en aangezien die diensten (SQL server zoals je zelf vermoed) misbruikt zijn vanwege een slechte configuratie, is de kans groot dat een firewall in dit geval niet veel oplost

Wat ik wil gek vindt is dat je server schijnbaar aan internet kan en vanaf internet bereikbaar is

iig, schopje naar Beveiliging & Virussen