Help mijn webserver wordt gehackt (IIS6.0) - Privacy en beveiliging

zaterdag 15 oktober 2005 12:30

Acties:

Topicstarter

Beste tweakers wat moet ik doen.

Ineens werd mijn internet verbinding traag, ik dacht nou we zitten vast veel mensen op mij website. Toen ik in eens een hele grote logfile zag dacht ik HELP.

Nu is mijn vraag hoe moet ik hem blocken zonder dat ik mijn website offline zet. In de standaard firewall van windows kun je toch geen IP blocken toch?

Ik gebruik als router een Wanadoo Livebox, als systeem gebruik ik Windows 2003 ook met firewall aan. Alle update's mijn geinstalleerd.

Logfile:
09:33:49 /index.php 82.59.61.17
09:33:54 /scripts/root.exe 82.59.61.17
09:33:55 /scripts/1337.exe 82.59.61.17
09:33:55 /scripts/nvprotect.exe 82.59.61.17
09:34:01 /msadc/1337.exe 82.59.61.17
09:34:05 /iisadmpwd/1337.exe 82.59.61.17
09:34:16 /scripts/war.exe 82.59.61.17
09:34:22 /scripts/test.exe 82.59.61.17
09:34:24 /scripts/sys.exe 82.59.61.17
09:34:25 /scripts/superlol.exe 82.59.61.17
09:34:30 /scripts/spooler.exe 82.59.61.17
09:34:31 /scripts/spool.exe 82.59.61.17
09:34:32 /scripts/some.exe 82.59.61.17
09:34:34 /scripts/update.exe 82.59.61.17
09:34:34 /scripts/sky.exe 82.59.61.17
09:34:36 /scripts/sklp.exe 82.59.61.17
09:34:38 /scripts/shell.exe 82.59.61.17
09:34:39 /scripts/serverdata.exe 82.59.61.17
09:34:50 /scripts/sensepost.exe 82.59.61.17
09:34:55 /scripts/mumu.exe 82.59.61.17
10:15:23 /iissamples/..o../..o../winnt/system32/cmd.exe 82.59.61.17
10:15:23 /iissamples/..ü€€€€¯../..ü€€€€¯../winnt/system32/cmd.exe 82.59.61.17
10:15:24 /iissamples/..ø€€€¯../..ø€€€¯../winnt/system32/cmd.exe 82.59.61.17
10:15:24 /iissamples/..ð€€¯../..ð€€¯../winnt/system32/cmd.exe 82.59.61.17
10:15:29 /iissamples/..à€¯../..à€¯../winnt/system32/cmd.exe 82.59.61.17
10:15:30 /iissamples/..Á¯../..Á¯../winnt/system32/cmd.exe 82.59.61.17
10:15:30 /iissamples/..Áœ../..Áœ../winnt/system32/cmd.exe 82.59.61.17
10:15:35 /iissamples/..À¯../..À¯../winnt/system32/cmd.exe 82.59.61.17
10:15:56 /iissamples/..%2f..%2fwinnt/system32/cmd.exe 82.59.61.17
10:15:56 /iissamples/..%2f..%2f..%2f..%2fwinnt/system32/cmd.exe 82.59.61.17
10:15:58 /iissamples/..%2e..%2ewinnt/system32/cmd.exe 82.59.61.17
10:15:58 /iissamples/..%5c..%5cwinnt/system32/cmd.exe 82.59.61.17
10:16:02 /iissamples/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe 82.59.61.17
10:16:15 /iissamples/.%2e/.%2e/.%2e/.%2e/winnt/system32/cmd.exe 82.59.61.17
10:16:17 /iissamples/.%2e/.%2e/winnt/system32/cmd.exe 82.59.61.17
10:16:21 /iishelp/..ü€€€€¯../..ü€€€€¯../winnt/system32/cmd.exe 82.59.61.17
10:16:26 /iishelp/..ø€€€¯../..ø€€€¯../winnt/system32/cmd.exe 82.59.61.17
10:16:30 /iishelp/..ð€€¯../..ð€€¯../winnt/system32/cmd.exe 82.59.61.17
10:16:32 /iishelp/..à€¯../..à€¯../winnt/system32/cmd.exe 82.59.61.17
10:16:35 /iishelp/..Á¯../..Á¯../winnt/system32/cmd.exe 82.59.61.17

Toch behoorlijk verdacht dacht ik zo

zaterdag 15 oktober 2005 12:32

Acties:

RAJH

Standaard scriptkiddie aan het werk. Als je netjes alle updates draait hoef je je nergens zorgen over te maken.

zaterdag 15 oktober 2005 12:33

Acties:

_JGC_

Lijkt me dat je PHP script lek is, want daar zit ie via verbonden zo te zien.

Webserver neerpleuren, rotzooi opruimen, script nakijken op fouten en dan pas weer online gooien.

zaterdag 15 oktober 2005 12:35

Acties:

BasieP

_JGC_ schreef op zaterdag 15 oktober 2005 @ 12:33:
Lijkt me dat je PHP script lek is, want daar zit ie via verbonden zo te zien.

Webserver neerpleuren, rotzooi opruimen, script nakijken op fouten en dan pas weer online gooien.

hoe kom je daar bij dan? ik zie maar 1x php staan en dat is gewoon een index.php

.. sterker nog.. als php lek is krijgt je webserver helemaal niet opeens een berg requests naar andere adressen, maar word constant het 'lekke' php script aangeroepen

[ Voor 6% gewijzigd door BasieP op 15-10-2005 12:35 ]

This message was sent on 100% recyclable electrons.

zaterdag 15 oktober 2005 12:35

Acties:

triet

Als iedereen die een webserver draait en dit soort dingen in z'n log zag een nieuw topic zou starten zou je zo tweakers over de miljard topics helpen

Dwz: dit zijn geautomatiseerde scanscripts, soms zelfs wormen/trojans die hele reeksen van IP adressen scannen naar PC's met vulnerabilities.

Zoals RAJH zegt: als je de laatste updates draait zal't wel goedkomen. Zo komen er nog veel meer dingen langs, alleen merk je die dan weer niet.

zaterdag 15 oktober 2005 12:36

Acties:

Eegee

Ik zie niet aan de logregels dat ie via een PHP script verbonden zou zijn.
Wat ik zie zijn gewoon een hoop hits met standaard exploits. Scriptkiddie dus inderdaad.

Een optie is om gewoon z'n IP in IIS MMC te blokkeren, ben je gauw klaar.

zaterdag 15 oktober 2005 12:40

Acties:

MoNo79

Topicstarter

Dank je voor de gerust stelling, ik heb deze site al lang draaien (1,5 jaar), maar dit is mijn eerste keer.

Maar just in case heb ik zijn IP in Mapbeveiliging --> IP adres en domein beperkingen zijn IP geblockt. Deze funtie kwam ik perongeluk net tegen.

zaterdag 15 oktober 2005 12:41

Acties:

_JGC_

BasieP schreef op zaterdag 15 oktober 2005 @ 12:35:
[...]

hoe kom je daar bij dan? ik zie maar 1x php staan en dat is gewoon een index.php .. sterker nog.. als php lek is krijgt je webserver helemaal niet opeens een berg requests naar andere adressen, maar word constant het 'lekke' php script aangeroepen

Mja, ik ging ervan uit dat die .exe bestandjes allemaal op dit moment actief zijn, en ook aanwezig zijn in de webroot.

Verder is "gewoon een index.php" niet gewoon, een index.php kan vanalles en nog wat bevatten. Wat betreft exploits: de meeste kiddies zoeken een gat in je scripts en gebruiken die om een nog veel groter en krachtiger gat te maken. Heb vaak genoeg IRC bots en bindshells op een webserver gehad, ook wel op produktiewebservers van een webhostingbedrijf.

zaterdag 15 oktober 2005 12:41

Acties:

MoNo79

Topicstarter

Eegee schreef op zaterdag 15 oktober 2005 @ 12:36:
Ik zie niet aan de logregels dat ie via een PHP script verbonden zou zijn.
Wat ik zie zijn gewoon een hoop hits met standaard exploits. Scriptkiddie dus inderdaad.

Een optie is om gewoon z'n IP in IIS MMC te blokkeren, ben je gauw klaar.

hehe dankje, maar had hem net 30 sec zelf gevonden, toch bedankt

zaterdag 15 oktober 2005 12:43

Acties:

leon1e

Anders verwijder je even de iissamples en iishelp scripts, deze heb je nergens voor nodig. Het is alleen een groot security hole.

zaterdag 15 oktober 2005 12:45

Acties:

BasieP

_JGC_ schreef op zaterdag 15 oktober 2005 @ 12:41:
[...]

Mja, ik ging ervan uit dat die .exe bestandjes allemaal op dit moment actief zijn, en ook aanwezig zijn in de webroot.

denk je echt dat 1337.exe standaard in een IIS install zit?
verder gaat het hier over een webserver log. Wat je ziet zijn dus requests. geen active processen ofzo..

Verder is "gewoon een index.php" niet gewoon, een index.php kan vanalles en nog wat bevatten. Wat betreft exploits: de meeste kiddies zoeken een gat in je scripts en gebruiken die om een nog veel groter en krachtiger gat te maken. Heb vaak genoeg IRC bots en bindshells op een webserver gehad, ook wel op produktiewebservers van een webhostingbedrijf.

als de php file lek zou zijn (wat ik sterk betwijfel) dan zou deze vaker aangeroepen worden, met wat andere argumenten.

ik draai al jaar en dag apache, en zie ook ERG vaak dit soort iis 'hacks' voorbij komen.. blijkbaar zijn er nogal veel lekken in IIS (geweest) en deze worden idd afgescanned. gelukkig nog nooit een apache 'hack' gevonden (1.3)

leon1e schreef op zaterdag 15 oktober 2005 @ 12:43:
Anders verwijder je even de iissamples en iishelp scripts, deze heb je nergens voor nodig. Het is alleen een groot security hole.

nu heb je het gewoon over iis zelf neem ik aan

[ Voor 25% gewijzigd door BasieP op 15-10-2005 12:47 ]

This message was sent on 100% recyclable electrons.

zaterdag 15 oktober 2005 12:51

Acties:

MoNo79

Topicstarter

leon1e schreef op zaterdag 15 oktober 2005 @ 12:43:
Anders verwijder je even de iissamples en iishelp scripts, deze heb je nergens voor nodig. Het is alleen een groot security hole.

Deze heb ik ook niet op mijn server draaien.

Maar goed ik heb zijn ip geblockt, website is weer online

Die domme scriptkiddie's ook kunnen ze geen andere leuke hobby vinden dan mij te pesten.

zaterdag 15 oktober 2005 12:52

Acties:

Verwijderd

in de gepostte log file zie ik geen reden waarom je internet verbinding traag zou worden.

De log bevat "gewoon" enkele attacks, maar dit genereren normaal nauwelijks internet verkeer op jouw verbinding.

zaterdag 15 oktober 2005 13:05

Acties:

guanpedro

Live forever or die trying

BasieP schreef op zaterdag 15 oktober 2005 @ 12:45:
ik draai al jaar en dag apache, en zie ook ERG vaak dit soort iis 'hacks' voorbij komen.. blijkbaar zijn er nogal veel lekken in IIS (geweest) en deze worden idd afgescanned. gelukkig nog nooit een apache 'hack' gevonden (1.3)

Tja, als we even vergelijken via Secunia:

IIS 4:geen status, 6 Secunia Advisories, 0 unpatched
IIS 5: status Not critical, 12 Secunia Advisories, 1 unpatched
IIS 6: geen status, 2 Secunia Advisories, 0 unpatched
http://secunia.com/product/38/
http://secunia.com/product/39/
http://secunia.com/product/1438/

Apache 1.3.x: status Less critical, 15 Secunia Advisories, 1 unpatched
Apache 2.0.x: status Less critical, 28 Secunia Advisories, 2 unpatched
http://secunia.com/product/72/
http://secunia.com/product/73/

Die "nogal veel lekken in IIS" zitten hem meer in slechte sysadmins...

PC: MSI-NEO2FISR P4-2.6HT@2.8 Dual-channel GEIL-PC3500 Intel CSA GB-LAN 9600PRO Pioneer DVR106 Server: Dual Xeon-2GHz 3Ware 7500-12 11x120GB RAID5 GB-LAN RH 9 2.4.22 Digicam: Sony DSC-F717

zaterdag 15 oktober 2005 13:39

Acties:

MoNo79

Topicstarter

Verwijderd schreef op zaterdag 15 oktober 2005 @ 12:52:
in de gepostte log file zie ik geen reden waarom je internet verbinding traag zou worden.

De log bevat "gewoon" enkele attacks, maar dit genereren normaal nauwelijks internet verkeer op jouw verbinding.

Het is toch raar zo dra ik poort 80 uit zette mijn ping van 500ms naar 18 ms ging, ik was vanuit gegaan dat het die scriptkiddie was omdat geen andre gebruikers op mijn site zaten.

zaterdag 15 oktober 2005 13:42

Acties:

BasieP

guanpedro schreef op zaterdag 15 oktober 2005 @ 13:05:
[...]

*knip*
Die "nogal veel lekken in IIS" zitten hem meer in slechte sysadmins...

mja nu even een vergelijking op inhoud he

een standaard IIS 4.0 install is standaar critical hack, en kan iedereen ALLE code die hij wenst uitvoeren op die server. (en ja hier is inmiddels een patch voor)
een standaard Apache 1.3 install is safe en je moet aardig wat aan je config veranderen wil je een bug tegenkomen

[ Voor 38% gewijzigd door BasieP op 15-10-2005 13:42 ]

This message was sent on 100% recyclable electrons.

zaterdag 15 oktober 2005 13:44

Acties:

Victor

MoNo79 schreef op zaterdag 15 oktober 2005 @ 12:30:
Logfile:
09:33:49 /index.php 82.59.61.17
09:33:54 /scripts/root.exe 82.59.61.17
09:33:55 /scripts/1337.exe 82.59.61.17
09:33:55 /scripts/nvprotect.exe 82.59.61.17
09:34:01 /msadc/1337.exe 82.59.61.17
09:34:05 /iisadmpwd/1337.exe 82.59.61.17
...

Zet bij de Properties van de website onder Logging, tabblad Advanced even alle opties aan. Dan zul je in je logs terugzien dat al deze requests een 404 opleveren. Met andere woorden: de poging van deze stakker met z'n scanner faalt behoorlijk.

BasieP schreef op zaterdag 15 oktober 2005 @ 13:42:
[...]

mja nu even een vergelijking op inhoud he
een standaard IIS 4.0 install is standaar critical hack, en kan iedereen ALLE code die hij wenst uitvoeren op die server. (en ja hier is inmiddels een patch voor)
een standaard Apache 1.3 install is safe en je moet aardig wat aan je config veranderen wil je een bug tegenkomen

IIS 4.0 is bijna 10 jaar oud, alsof je dat een vergelijking op inhoud wilt noemen?

[ Voor 31% gewijzigd door Victor op 15-10-2005 13:45 ]

zaterdag 15 oktober 2005 13:47

Acties:

Plopeye

ik heb dit soort dingen zo vaak in mijn iis logfiles staan ik maak mij er echt niet zo druk over...
net als eerder gezegt gewoon zorgen dat je alle patches en updates netjes bijhoud dan gebeurt er niet zo gek veel...
Dit ziet er namelijk uit als een worm die gewoon op zoek is naar systeembestanden om ze te infecteren... als het goed is zie je op dezelfde regel in je log ook een http 440 of 500 foutmelding...
Zo ja dan weet je dus dan het request mislukt is...

Unix is user friendly, it's only selective about his friends.....

zaterdag 15 oktober 2005 13:56

Acties:

MoNo79

Topicstarter

Ik heb even alle log opties aangezet en zijn ip toegang verleent tot mijn website, alleen de gast is er net mee gestopt

(Beetje jammer)

Trouwens voor de Apache fanaten, sorry Apache is niks voor mij, ik ben lui aangelegt en wil niet de hele tijd met die config kloten als ik iets wil veranderen. Windows met IIS klikt lekker makkelijk weg.

zaterdag 15 oktober 2005 17:34

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Move NT > BV

Tijd voor een nieuwe sig..

zondag 16 oktober 2005 21:35

Acties:

bolke

Klikt nu met een 50D.

Ik heb dagelijks "aanvallen" op mijn webserver. De meeste (99%) neem ik niet serieus. Die van jou moet je ook niet te serieus nemen. Als je er last van hebt kun je zijn/haar IP-adres blocken in je firewall of binnen IIS. Als ik mijn IDS (snort) bekijk en alle log-entries serieus neem dan heb ik een dagtaak aan het doorspitten van de logfiles.

IISsamples en IIShelp moet je gewoon deleten (als je het niet gebruikt). Dat doe ik ook met de standaard dirs/files binnen apache.

[ Voor 17% gewijzigd door bolke op 16-10-2005 21:36 ]

http://www.hroling.nl

zondag 16 oktober 2005 21:44

Acties:

bolke

Klikt nu met een 50D.

guanpedro schreef op zaterdag 15 oktober 2005 @ 13:05:
[...]

Tja, als we even vergelijken via Secunia:

IIS 4:geen status, 6 Secunia Advisories, 0 unpatched
IIS 5: status Not critical, 12 Secunia Advisories, 1 unpatched
IIS 6: geen status, 2 Secunia Advisories, 0 unpatched
http://secunia.com/product/38/
http://secunia.com/product/39/
http://secunia.com/product/1438/

Apache 1.3.x: status Less critical, 15 Secunia Advisories, 1 unpatched
Apache 2.0.x: status Less critical, 28 Secunia Advisories, 2 unpatched
http://secunia.com/product/72/
http://secunia.com/product/73/

Die "nogal veel lekken in IIS" zitten hem meer in slechte sysadmins...

De lekken in IIS worden geteld aan het aantal Updates. Per update kunnen meerdere lekken worden gedicht. De lekken in Apache zijn stuk-voor-stuk. Die vergelijking is niet geheel terecht.

Maar in de Open Source Software zijn de laatste tijd meer lekken dan de Microsoft variant. Microsoft is de laatse jaren goed bezig.

http://www.hroling.nl

Pagina: 1

Reageer