Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

2003 server exploited*

Pagina: 1
Acties:
  • 291 views sinds 30-01-2008
  • Reageer

donderdag 13 oktober 2005 10:30

Acties:

Verwijderd

Topicstarter
Het volgende probleem sinds gister:

Drie servers zijn in één nacht besmet met een virus/spyware/hack. Nog geen echte schade aangericht. Enige probleem is dat explorer.exe continu opnieuw gestart wordt en weer afgesloten.

Het kan zijn dat de problemen zijn ontstaan door een lek in de IMAP server (zie hotfix van gister: http://www.mailenable.com/hotfix/).

De ht logs van 1 vd 3 servers. Deze is voorzien van sp1. De andere twee niet.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70

Logfile of HijackThis v1.99.1
Scan saved at 10:17:28 AM, on 10/13/2005
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\FSI\F-Prot\fpavupdm.exe
C:\PROGRA~1\MAILEN~1\BIN\MELSC.EXE
C:\PROGRA~1\MAILEN~1\BIN\MEMTA.EXE
C:\PROGRA~1\MAILEN~1\BIN\MEPOC.EXE
C:\PROGRA~1\MAILEN~1\BIN\MEPOPC.EXE
C:\PROGRA~1\MAILEN~1\BIN\MEPOPS.EXE
C:\PROGRA~1\MAILEN~1\BIN\MESMTPC.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$HELM\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MAILEN~1\BIN\MEHTTPS.EXE
C:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\WINDOWS\system32\dhcpcl.exe
C:\PROGRA~1\MAILEN~1\Bin\MEIMAPS.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\FSI\F-Prot\F-Sched.exe
C:\Program Files\FSI\F-Prot\F-StopW.EXE
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2\Temporary Directory 1 for hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
O1 - Hosts: xxx
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Program Files\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Program Files\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [NvCplFilter] RUNDLL32.SYS
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127760664031
O17 - HKLM\System\CCS\Services\Tcpip\..\{15C5A033-0066-4EAD-810F-3A0C1B4020B8}: NameServer = xx
O17 - HKLM\System\CS1\Services\Tcpip\..\{15C5A033-0066-4EAD-810F-3A0C1B4020B8}: NameServer = xx
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O23 - Service: Application Management (AppMgmt) - Unknown owner - C:\WINDOWS\system32\chkdsk32.exe
O23 - Service: DHCP Controller (dhcpcl) - Unknown owner - C:\WINDOWS\system32\dhcpcl.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Program Files\FSI\F-Prot\fpavupdm.exe
O23 - Service: MailEnable HTTPMail Service (MEHTTPS) - MailEnable Pty Ltd - C:\PROGRA~1\MAILEN~1\BIN\MEHTTPS.EXE
O23 - Service: MailEnable IMAP Service (MEIMAPS) - MailEnable Pty Ltd - C:\PROGRA~1\MAILEN~1\Bin\MEIMAPS.exe
O23 - Service: MailEnable List Connector (MELCS) - MailEnable Pty Ltd - C:\PROGRA~1\MAILEN~1\BIN\MELSC.EXE
O23 - Service: MailEnable Mail Transfer Agent (MEMTAS) - MailEnable Pty Ltd - C:\PROGRA~1\MAILEN~1\BIN\MEMTA.EXE
O23 - Service: MailEnable Postoffice Connector (MEPOCS) - MailEnable Pty Ltd - C:\PROGRA~1\MAILEN~1\BIN\MEPOC.EXE
O23 - Service: MailEnable POP Connector (MEPOPCS) - MailEnable Pty Ltd - C:\PROGRA~1\MAILEN~1\BIN\MEPOPC.EXE
O23 - Service: MailEnable POP Service (MEPOPS) - Unknown owner - C:\PROGRA~1\MAILEN~1\BIN\MEPOPS.EXE
O23 - Service: MailEnable SMTP Connector (MESMTPCS) - MailEnable Pty Ltd - C:\PROGRA~1\MAILEN~1\BIN\MESMTPC.EXE
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Application that interactively manages NT services (svcmngr) - Unknown owner - c:\windows\config\service.exe


Uit de event viewer:
code:
1

Faulting application explorer.exe, version 6.0.3790.1830, faulting module unknown, version 0.0.0.0, fault address 0x00961470.

code:
1

The shell stopped unexpectedly and Explorer.exe was restarted.

Iemand een idee wat het kan zijn en hoe op te lossen?

[ Voor 4% gewijzigd door Verwijderd op 13-10-2005 10:36 ]

donderdag 13 oktober 2005 11:29

Acties:

Verwijderd

Topicstarter
Ik lees veel dat het vaak na installen/uninstallen van sp1 gebeurt. Misschien toch gewoon een Windows bug oid :/

donderdag 13 oktober 2005 13:47

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Dit lijkt me meer iets voor Beveiliging & Virussen - verder lijkt me dat je regel 70 al niets te zoeken heeft op een server :)

Ik wil je aanraden om er niet zomaar vanuit te gaan dat er geen schade is op je server, maar om 'gewoon' te herinstalleren :)

Windows Operating Systems >> Beveiliging & Virussen

donderdag 13 oktober 2005 17:15

Acties:

Verwijderd

Topicstarter
Het betreft webservers. Reinstall gaat niet zo makkelijk (iis, dns en vooral data backup is lastig gezien de exploit (of wat het ook mag zijn) in deze data map kan staan.

donderdag 13 oktober 2005 21:42

Acties:

Verwijderd

Topicstarter
Vanmiddag SP1 geuninstalled... en het explorer.exe probleem was opgelost. Echter, binnen enkele minuten ging het systeem rebooten (Isass virus waarschijnlijk). Het systeem is gigantisch traag terwijl er geen cpu of memory load is (2%). Wat ik niet begrijp is dat dit opeens plots allemaal mogelijk is. Alsof er opeen een gigantisch lek is.

vrijdag 14 oktober 2005 10:49

Acties:
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

Verwijderd schreef op donderdag 13 oktober 2005 @ 17:15:
Het betreft webservers. Reinstall gaat niet zo makkelijk (iis, dns en vooral data backup is lastig gezien de exploit (of wat het ook mag zijn) in deze data map kan staan.
IIS configuratie is te exporteren, zonefiles kan je kopieëren evenals je data. (Bovendien heb je daar als het goed is een backup van van voor het virus langskwam ;))

Ik zou geen risico nemen en gewoon een herinstallatie uitvoeren. Direct SP1 erop en met de security configuration wizard dichtspijkeren. Eventuele software van 3e partijen altijd onder een account laten draaien met een minimum aan rechten. Hiermee voorkom je dat als de software toch gevoelig is voor een exploit er schade aangericht kan worden aan de rest van het systeem.

vrijdag 14 oktober 2005 11:03

Acties:

Verwijderd

draait er toevalligerwijs ook iets als een ftp service momenteel op die servers?

bij mij kwam na een upgrade met SP1 de ftp wagenwijd open te staan en anonymous kon worden aangelogd

dit veroorzaakte bij mij performance verlies en ook mijn cpu's bleven gewoon laag
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq