[windows 2003 server] rootkit hack

Ligt eraan via welke poort(en) de kit is geinstalleerd...
Als het via de poorten is die voor jou zijn vrijgegeven dan ben je zelf natuurlijk verantwoordelijk.
Daar kan ook een hardware firewall niks tegen doen.

Je verkeert in een aantal illusies vrees ik. Een firewall is absoluut geen garantie dat je server vrij blijft van root-kits. Als je een poort (laten we aannemen 80) open hebt staan voor je webserver en je hebt een niet-gepatchte/onbeveiligde/slecht beveiligde IIS draaien (om maar eens wat te noemen) dan ben je net zo kwetsbaar voor root-kits als zonder firewall. Ik vrees dus, om een lang verhaal kort te maken, dat je host in zijn gelijk staat.

tja, de beste internet beveiliging is geen internet

standaard antwoord van mij op mensen die vragen of de firewall nu de hele pc beveiligd heeft tegen internet aanvallen.....

kijk idd eerst welke poorten er open staan, bekijk daarna je logbestanden vanaf welke poort de rootkit geinstalleerd is. Bekijk ook welke poorten de rootkit eigenaar open gegooid heeft en sluit al die poorten. Verwijder de rootkit, update je systeem met de laatste updates en gooi zoveel als mogelijk alle poorten dicht.

KatirZan schreef op vrijdag 31 maart 2006 @ 10:11:
tja, de beste internet beveiliging is geen internet

Als iedereen die instelling had zaten we nu nog in grotten met steentjes op elkaar te ketsen om vuur te maken...

KatirZan schreef op vrijdag 31 maart 2006 @ 10:11:kijk idd eerst welke poorten er open staan, bekijk daarna je logbestanden vanaf welke poort de rootkit geinstalleerd is. Bekijk ook welke poorten de rootkit eigenaar open gegooid heeft en sluit al die poorten. Verwijder de rootkit, update je systeem met de laatste updates en gooi zoveel als mogelijk alle poorten dicht.

Als je server geroot is dan zit er maar 1 ding op: Formatteren en opnieuw installeren. Je weet nooit 100% zeker of je alles weggehaald hebt. Dat is nou net de ellende van rootkits, die krengen verbergen zich dusdanig diep in het systeem dat ze amper te vinden zijn. En dan nog: Het "eruit slopen" van een rootkit is vaak meer werk dan het opnieuw installeren (al helemaal als je een degelijke backup hebt).

RobIII schreef op vrijdag 31 maart 2006 @ 10:14:
[...]

Als iedereen die instelling had zaten we nu nog in grotten met steentjes op elkaar te ketsen om vuur te maken...


[...]

Als je server geroot is dan zit er maar 1 ding op: Formatteren en opnieuw installeren. Je weet nooit 100% zeker of je alles weggehaald hebt. Dat is nou net de ellende van rootkits, die krengen verbergen zich dusdanig diep in het systeem dat ze amper te vinden zijn. En dan nog: Het "eruit slopen" van een rootkit is vaak meer werk dan het opnieuw installeren (al helemaal als je een degelijke backup hebt).

Dat laatste wat je zegt geldt misschien voor de meeste mensen, echter, als je met beveiligingen bezig bent moet je uiteraard ook weten hoe je door diezelfde beveiliging heen kan om te kijken of het echt wel zo goed werkt als jezelf denkt

Bekijken welke rootkit er gebruikt is --> opzoeken welke bestanden hiervoor gebruikt worden --> welke backup hier het meeste voor gebruikt wordt --> die backups nalopen etc..etc...

Heb hier op kantoor 1 keer last gehad van een rootkit, heb deze (na 2 uur zwoegen) weten te verwijderen zonder dat er ook maar 1 keer daarna iets door gekomen is Tis maar net hoeveel tijd je er in wil steken, uiteraard is een re-install de makkelijkste oplossing, maar niet altijd de beste.
Door op te zoeken wat er precies gebeurt is, hoe ze dat gedaan hebben en wat de oplossing er voor is, dat is gewoon de beste manier om te bekijken hoe je de volgende keer het beste je systeem kan beveiligen.

kijk gewoon even met fport wat er runt, kan zijn dat die gaat zeuren.

Ook kan je even kijkje nemen in services.msc en knikker daar alles weg waarvan jij denkt dat het niet een echte service is die niet op je pc hoort. Klik er 2x op ga kijken waar die files staan installed en ga kijken wat er nog meer is geinstallleert in die map en kijk eens op datum en tijd... vaak was er diezelfde 10 minuten is geinstalleerd is ook meuk.. kleine .dlls .sys .doc .reg .ocx etc gewoon openen met kladblok, als je echt veel tekst ziet met useraccounts dirlogins FXP namen etc erin weet je dat het troep is en direct verwijderen. Blokkeer die service, diable het voor tijdens het opstarten van Windows

Weet je wel zeker dat je niet vanaf het interne netwerk gehacked bent? Dan valt de externe firewall niets te verwijten.. de IPSec policy mogelijk wel ja, maar het opnieuw instellen van die policy is werkelijk nutteloos om van die rootkit af te komen, hoogstens om het in de toekomst te voorkomen (ofwel: moeilijker te maken)

Ik ben het met RobIII eens dat het het verstandigst is de machine te schonen en opnieuw in te richten, als dat enigszins mogelijk is.

Services bekijken e.d. heeft helemaal geen zin als het systeem besmet is met een rootkit..

[ Voor 6% gewijzigd door BoGhi op 31-03-2006 19:05 ]

Verwijderd schreef op vrijdag 31 maart 2006 @ 11:40:
kijk gewoon even met fport wat er runt, kan zijn dat die gaat zeuren.

Ook kan je even kijkje nemen in services.msc en knikker daar alles weg waarvan jij denkt dat het niet een echte service is die niet op je pc hoort. Klik er 2x op ga kijken waar die files staan installed en ga kijken wat er nog meer is geinstallleert in die map en kijk eens op datum en tijd... vaak was er diezelfde 10 minuten is geinstalleerd is ook meuk.. kleine .dlls .sys .doc .reg .ocx etc gewoon openen met kladblok, als je echt veel tekst ziet met useraccounts dirlogins FXP namen etc erin weet je dat het troep is en direct verwijderen. Blokkeer die service, diable het voor tijdens het opstarten van Windows

Een nadeel van een root kit is, dat deze all informatie kan spoofen. Je kan dus niet vertrouwen wat je output is bij de meeste applicties.
Een root kit draaid ook meteen niet als service. De oplossing die jij aangeeft, is leuk voor spyware of een gewone hack, maar als je een root kit hebt draaien. Pak je cd's maar en doe een herinstallatie. Das de engie 100% garantie dat je schoon bent.

Daarbij een hardwarematig firewall stelt opzich niet zo veel voor. Een Rootkit kan eigenlijk alleen tegen gehouden worden door een goede applicatie firewall. Deze kan je dataflow controleren. Immers ik kan de duurste checkpoint firewall draaien en daarna port 80 open zetten richting een webserver, maar als ik mijn webserver niet goed beveiligd hebt, dan houdt geen enkele firewall (hard of sofware) het tegen, behalve als die de data controllerd die naar de webserver gaat. Een firewall kan dan precies controleren wat wel en wat niet mag.

Hmm, misschien wat aan de late kant, maar ik zag het toevallig zojuist voorbij komen:
nieuws: Microsoft: formatteer en herinstalleer bij vermoeden rootkit