Toon posts:

[Win2k] Veel loginpogingen Administrator / SA

Pagina: 1
Acties:
  • 104 views sinds 30-01-2008
  • Reageer

dinsdag 28 februari 2006 23:45

Acties:
  • Beaves
  • Registratie: Februari 2000
  • Laatst online: 13:33

Beaves

Usque ad Finem

Topicstarter
We gebruiken hier een Windows 2000 webserver met daarop o.a. MS SQL 2000 SP 4. MS SQL draait niet als Administrator maar als een speciaal aangemaakte user, geheel volgens aanraden van Microsoft. Nu is iemand sinds vandaag bezig om met brute force attacks de wachtwoorden van Administrator en SA te achterhalen, dat merk ik doordat er in de Event Viewer meerdere failed logins per seconde verschijnen.

Als ik een netstat doe komt daar een enorme berg aan informatie uit, niet echt handig om ook maar iets uit op te maken (elke klant heeft zijn eigen IP adres, dus op elk van die IP adressen luisteren weer diverse processen met als gevolg een bijna niet te overzien overzicht). Verder heb ik de firewall nu zo geconfigureerd zodat de SQL TCP en UDP poorten dicht staan, dit is even jammer voor klanten die de Enterprise manager gebruiken, maar het is niet anders.

Maar nog steeds blijven de failed logins voorbij komen, het moet dus bijna wel een lokaal proces zijn. Daarom met diverse tools gekeken wat er zoal draait en er draait niets vreemds op. Blijft dus over de mogelijkheid dat een klant van ons met een script dit aan het doen is, maar hoe kom ik daar achter? Helaas is de Event Viewer niet uitgebreid genoeg zodat je daar de IP adressen of het proces kan zien die de event veroorzaakt. Hoe kan ik dit het beste aanpakken? Met de diverse tools van sysinternals kom ik ook niet verder helaas. Wel blijkt dat IP 67.107.25.140 voor veel van de aanvragen verantwoordelijk is.

[ Voor 3% gewijzigd door Beaves op 28-02-2006 23:53 ]

Schotlandofiel | Godzijdank ben ik atheïst
Canon 7D / 20D / 300D + glas | Just Light | Flickr

dinsdag 28 februari 2006 23:52

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

creeer een account administrator / SA met een makkelijk wachtwoord en geen rechten, gooi alle logging op dit account aan. En check vanaf waar hij inlogt.

dinsdag 28 februari 2006 23:59

Acties:
  • Beaves
  • Registratie: Februari 2000
  • Laatst online: 13:33

Beaves

Usque ad Finem

Topicstarter
Overigens kan ik met TCPView wel een paar aardige zaken zien, zo probeert het genoemde IP op een hele reeks hoge poorten (begint bij 5082 en eindigt bij 15360) op de ms-sql-s poort in te loggen. Wat ik alleen niet begrijp is waarom MS SQL op al die hoge poorten luistert? Dat is toch alleen op de standaard poort nodig?

edit:

Ik lees net dat de SQLSnake Internet worm precies doet wat ik zie gebeuren, namelijk bij de standaard SQL poort beginnen en daarna elke keer een poort hoger proberen. Alleen begrijp ik nog niet waarom SQL server ook op die poorten schijnbaar luistert?

[ Voor 30% gewijzigd door Beaves op 01-03-2006 00:09 ]

Schotlandofiel | Godzijdank ben ik atheïst
Canon 7D / 20D / 300D + glas | Just Light | Flickr

woensdag 1 maart 2006 00:08

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Weet je zeker dat je niet zijn sourceport als destination port aanziet? :)

woensdag 1 maart 2006 00:09

Acties:
  • 0siris
  • Registratie: Augustus 2000
  • Laatst online: 07:30

0siris

Niet dat je er vreselijk veel aan hebt, maar een portscan van genoemd ipadres leert dat-ie zelf waarschijnlijk ook MS-SQL draait:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

PORT     STATE SERVICE
80/tcp   open  http
238/tcp  open  unknown
239/tcp  open  unknown
240/tcp  open  unknown
1433/tcp open  ms-sql-s
3389/tcp open  ms-term-serv
Device type: general purpose
Running (JUST GUESSING) : OpenBSD 3.X (90%), IBM AIX 4.X|3.X (88%),
Microsoft Windows 2003/.NET (87%)
Aggressive OS guesses: OpenBSD 3.5 or 3.6 (90%), OpenBSD 3.6 (i386) (90%),
OpenBSD 3.6 (90%), OpenBSD 3.7 (90%), IBM AIX 4.3.2.0-4.3.3.0 on an IBM RS/* (88%),
IBM AIX v3.2.5 - 4 (87%), IBM AIX 4.2-4.3.3 (87%), IBM AIX v4.2 (87%),
Microsoft Windows 2003 Server SP1 (87%)

Daarnaast draait dat ipadres zoals je kunt zien een website. Misschien kun je contact maken met die mensen?

ach...in een volgend leven lach je er om!

woensdag 1 maart 2006 00:14

Acties:
  • Sjaak_Trekhaak
  • Registratie: Juni 2003
  • Niet online

Sjaak_Trekhaak

Staat poort 139 open naar de buitenwereld? Via deze port worden zogenoemde NT-Pass scans gedaan, dit kan eventueel een bruteforce zijn.

woensdag 1 maart 2006 00:15

Acties:
  • Beaves
  • Registratie: Februari 2000
  • Laatst online: 13:33

Beaves

Usque ad Finem

Topicstarter
elevator schreef op woensdag 01 maart 2006 @ 00:08:
Weet je zeker dat je niet zijn sourceport als destination port aanziet? :)
:X Oeps, volgens mij heb je gelijk:
code:
1
2
3
4
5
6
7
8

sqlservr.exe:588    TCP www.btibv.nl:ms-sql-s   67.107.25.140.ptr.us.xo.net:43879   TIME_WAIT   
sqlservr.exe:588    TCP www.btibv.nl:ms-sql-s   67.107.25.140.ptr.us.xo.net:43973   TIME_WAIT   
sqlservr.exe:588    TCP www.btibv.nl:ms-sql-s   67.107.25.140.ptr.us.xo.net:44070   TIME_WAIT   
sqlservr.exe:588    TCP www.btibv.nl:ms-sql-s   67.107.25.140.ptr.us.xo.net:44162   TIME_WAIT   
[..]
sqlservr.exe:588    TCP www.btibv.nl:ms-sql-s   67.107.25.140.ptr.us.xo.net:15611   TIME_WAIT   
sqlservr.exe:588    TCP www.btibv.nl:ms-sql-s   67.107.25.140.ptr.us.xo.net:15486   TIME_WAIT   
sqlservr.exe:588    TCP www.btibv.nl:ms-sql-s   67.107.25.140.ptr.us.xo.net:15360   TIME_WAIT

Maar wat ik dan nog steeds raar vindt, is dat onze firewall de SQL poort (1433 en 1434) dicht heeft staan, maar dat ze schijnbaar nog steeds doorgelaten worden? Anders krijg ik immers de failed atemts niet te zien lijkt me?
rippance schreef op woensdag 01 maart 2006 @ 00:14:
Staat poort 139 open naar de buitenwereld? Via deze port worden zogenoemde NT-Pass scans gedaan, dit kan eventueel een bruteforce zijn.
Nope, staat dicht.

[ Voor 12% gewijzigd door Beaves op 01-03-2006 00:16 ]

Schotlandofiel | Godzijdank ben ik atheïst
Canon 7D / 20D / 300D + glas | Just Light | Flickr

woensdag 1 maart 2006 14:17

Acties:
  • medendo
  • Registratie: Januari 2003
  • Laatst online: 11-01 15:39

medendo

Ik weet 100% zeker dat het een zombie is.
Zolang het niet lukt; waar maak je je dan druk om? In de IDS wereld noemen we dit een False Positive en wordt er verder geen aandacht aan besteed, alleen gelogd voor eventueel bewijsmateriaal/correlatie i.c.m. andere events.
Punt twee, waarom staan die poorten voor remote beheer in Godsnaam open voor het complete internet? In een firewall kun je ook een beperkt aantal hosts toegang geven.

edit: ariat international paardrijschoenen verkoop is de dader. Dit komt niet echt geloofwaardig over, ik gok dat er gespoofed is met IP adressen of datt ze besmet zijn met een virus.

[ Voor 24% gewijzigd door medendo op 01-03-2006 14:26 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq