Server windows 2003 gehacked

Ik zou helemaal opnieuw beginen, dit is doorgaans het meest veilige

Ben het met Arno eens, als het al een tijdje ongemerkt heeft kunnen draaien, zal je ook nooit zeker weten of je _echt_ alles weg hebt kunnen krijgen
Verder zou ik dan eens gaan kijken wat er nou precies gefaald heeft in je beveiliging. Een goed geconfigureerde server wordt niet zomaar gehacked.

Ik verplaats je topic ook even naar Beveiliging & Virussen, omdat ik denk dat je topic daar beter past

[ Voor 13% gewijzigd door sanfranjake op 03-11-2006 11:48 ]

Even vluchtig je screenshots bekenen. Layout lijkt ftp achtig. Verder niet van belang.

Het enige wat je eigenlijk kan doen is uithuilen, opnieuw installeren en beveiligen danwel patchen. Prive of bedrijfsomgeving? Hoe hing de pc aan internet? Ben wel benieuwd wat er precies gebeurd is. In ieder geval ga je nooit 100% zeker weten dat je de pc schoon krijgt, vandaar herinstalleren en proberen na te gaan wat er fout gegaan is. Daarvoor is het van belang om te weten wat de server had draaien en hoe deze aan internet zat. Aan de hand daarvan zijn wel enkele scenarios te bedenken.

Succes (eventueel kun je via een topic report nog een move vragen van je topic naar Beveiliging, krijg je misschien nog wat meer tips)

edit @ mistercash zijn update: allen windows services of b.v. een apart softwarepakket voor ftp? (b.v. bulletproof). Alle patches geinstalleerd?

[ Voor 9% gewijzigd door sh4d0wman op 03-11-2006 12:09 ]

je bent een strootje geworden
ofwel een illegale ftp server
die dir structuur is normaal voor strootjes
heb al vaker strootjes gezien
waarschijnlijk zijn ze via een hack binnen gekomen
dus die bak is niet meer te vertrouwen helaas
vrees dat je alleen kan reinstallen
je kan nog proberen met een anti rootkit dingetje te draaien
dan kan je mischien nog wel een dingetje fixen ofzo
maar echt vertrouwen kan je die bak niet meer

Aan je screenshots te zien gebruik je de terminal server ook?
Toch niet standaard als Administrator heh?
Dat is nl een van de makkelijkste mogelijkheden....

Loekie schreef op vrijdag 03 november 2006 @ 14:20:
Aan je screenshots te zien gebruik je de terminal server ook?
Toch niet standaard als Administrator heh?
Dat is nl een van de makkelijkste mogelijkheden....

Als je die naar buiten open hebt staan zonder account lockout policy en relatief zwak wachtwoord ben je inderdaad snel de sjaak TS wat voor FTP service had je draaien?

zoiezo is het slim om alles wat naar buiten gaat geen admin of root mogelijkheid te geven
weet het is "handig" maar veilig is het verre van.
ik draai persoonlijk alles zonder mogelijkheid om gelijk root/admin rechten te krijgen
puur voor de veiligheid root/administrator accounts zijn zwaar gewild in de boze buitenwereld
vraag met idd af wat er precies allemaal draait op die server

welke FTP ??
Welke services nog meer die met de buiten wereld praten ?? VNC of terminal server ??
Remote Desktop ???

heb je een logger draaien van connectie's ?

logs van je web en ftp-server ?
(weet je mss mbv welke web/ftp-exploit ze binnen zijn geraakt...)
of van je router of modem - kan je zien vanaf welke ip's er geprobeert is toegang te maken naar je server en zo ev. ook gerechterlijke stappen gaan ondernemen

logs van je windows zelve ?
(weet je mss onder welke gebruiker ze bezig zijn geweest...)

want dit is schijnbaar een script-kiddie "scan-en-hack" geweest...
(rooten, oploaden, en sharen....)

Ook wel eens op een bak gehad... Waarschijnlijk niet vaak genoeg automatic updates geinstalleerd (die kun je ook automatisch installeren he)..

Gewoon uithuilen, formatteren en herinstalleren, dat zal iedereen je vertellen, je kunt deze machine niet meer vertrouwen.. Je weet niet wat er voor system files vervangen zijn, en wat er allemaal nog meer voor leuke hooks hangen, hidden junction points, etc.

Ik had dat dus ook, als je en ftp server maakt in Windows 2k3, dan kan iedereen er bij zit standaard geen wachtwoord op.

Ben meer Unix/Linux gewend, gaar zootje ik weet nu dus niet goed wat wel en niet open staat op mijn Win 2k3 server...

sanfranjake schreef op vrijdag 03 november 2006 @ 11:47:
Ben het met Arno eens, als het al een tijdje ongemerkt heeft kunnen draaien, zal je ook nooit zeker weten of je _echt_ alles weg hebt kunnen krijgen
Verder zou ik dan eens gaan kijken wat er nou precies gefaald heeft in je beveiliging. Een goed geconfigureerde server wordt niet zomaar gehacked.

Ik verplaats je topic ook even naar Beveiliging & Virussen, omdat ik denk dat je topic daar beter past

Haha, ik mag hopen dat je dat toch echt niet geloofd

Qorne schreef op dinsdag 07 november 2006 @ 11:39:
Ik had dat dus ook, als je en ftp server maakt in Windows 2k3, dan kan iedereen er bij zit standaard geen wachtwoord op.

Ben meer Unix/Linux gewend, gaar zootje ik weet nu dus niet goed wat wel en niet open staat op mijn Win 2k3 server...

Draai een port scan of gebruik de sysinternals tools om te zien wat er draait
maar zoals zovaak voorgesteld gooi een backup terug of reinstallen die bak
hij is niet te vertrouwen meer

Mijn Win2003-server is ook via TS bereikbaar (wel op een andere poort en niet onder het administrator-account). Als iemand de juiste poort weet, dan kan hij dus een inlog-scherm voor zijn neus krijgen; meer is voor mijn gevoel niet mogelijk (er is slechts één account wat aan mag loggen via TS en dat is dus niet het administrator-account).

Zijn er simpele manieren om dit veiliger te krijgen?

FnF schreef op dinsdag 07 november 2006 @ 11:54:
[...]

Haha, ik mag hopen dat je dat toch echt niet geloofd

Tja, voor beiden valt wel wat te zeggen natuurlijk:

Met een goed geconfigureerde server en dito beveiliging is het al een stuk moeilijker om de server te hacken. Gezien het resultaat bij TS ga ik uit van een pub exploit. Beetje point and click dus, daar moet wel bijna een patch voor gemist zijn of een bepaalde service voor hebben gedraaid welke bij een goede config opgemerkt was.

Feit blijft dat je met een goede config nog altijd een risico loopt. Zowel voor 0-day exploits als users die overal maar op klikken. Social Engineering doet het ook vaak goed

Maar ja dit is allemaal een beetje offtopic. TS wat heb je nog besloten om met je server te doen en ben je nog wat wijzer geworden hoe men je systeem heeft binnen gedrongen?

pven schreef op dinsdag 07 november 2006 @ 12:03:
Zijn er simpele manieren om dit veiliger te krijgen?

Jawel, zorg er voor dat men maar een maximaal aantal foute wachtwoorden in mag geven. Er zijn namelijk tooltjes die je poorten scannen en ontdekken waar je TS draait. Vervolgens kan men je wachtwoord bruteforcen. Dan zie je dus gewoon honderden malen een login scherm voorbij komen waar gebruikersnaam en wachtwoord combinaties geprobeerd worden.
Dit zou dus volgens mij met een pasword policy af te vangen moeten zijn. Bijvoorbeeld: max 5 maal fout, daarna account vergrendelen.

Als men eenmaal als user binnen komt zijn er weer mogelijkheden om de rechten te upgraden. B.v. een lek in software wat alleen lokaal te misbruiken is.

[ Voor 4% gewijzigd door sh4d0wman op 07-11-2006 12:09 ]

FnF schreef op dinsdag 07 november 2006 @ 11:54:
[...]

Haha, ik mag hopen dat je dat toch echt niet geloofd

Agree...
De ellende is alleen dat er bijna altijd exploits in het OS / IIS gebruikt worden en zo vaak alle leuke user/wachtwoord policies vrolijk omzeild worden. Al dan niet ge-root.

Een veilige server bestaat alleen in een kluis weg gestopt, zonder stroom, zonder connecties met de buiten wereld. Maar aangezien dat niet acceptabel is...

Voor de TS:
Ik raad je aan je data veilig te stellen (scannen op rootkits, spy/malware, virussen enz), je Exchange mail boxen te exporten. En toch een complete re-install doen.
Het feit alleen al dat het netjes weg gestopt staat in 'System Volume Information' maakt het verhaal er niet beter op...

Dit lijkt me zo enorm zuur, ik ben er ook altijd bang voor dat ik ergens iets vergeten ben op mijn server. Ik neem daarom ook dagelijks de logboekjes door, om te kijken of iemand iets heeft geprobeert. Kijk eens in je ftp log (bijv. C:\WINDOWS\system32\LogFiles\MSFTPSVC1) en probeer te achterhalen wie het is geweest. Via www.dnsstuff.com en dan IPWhois en dan contact opnemen met abuse afdeling van de desbetreffende provider.

Ik denk dat het het verstandigst is je data te backuppen en een verse install erop te zetten, veel werk voor de boeg dus. Succes!

mistercash schreef op maandag 06 november 2006 @ 10:06:

Zal eens de logs moeten gaan doorspitten. Probleem is ik kan niet zeggen wanneer ze zich hebben toegang gemaakt dus gerechterlijke stappen lijkt mij ook niet echt doenbaar. Trouwens wat kan ik daarmee bereiken. Moest maar zien dat mijn systeem goed afgeschermd was.

je kunt ervan leren, en jezelf beschermen tegen klachten van derden, als jouw bak ook misbruikt is geweest als uitvalsbasis voor aanvallen naar anderen ....

[ Voor 47% gewijzigd door soulrider op 07-11-2006 12:22 ]

Succes ... met de re-install

wat je voor de zekerheid kan doen is na het installen MSBA 2.0 installen en even laten runnen dan wee je zeker dat je volgens microsoft op een veilig niveau zit desnoods nog een GFI languard scan erover dan ben je helemaal veilig

lordgandalf schreef op woensdag 08 november 2006 @ 12:52:
wat je voor de zekerheid kan doen is na het installen MSBA 2.0 installen en even laten runnen dan wee je zeker dat je volgens microsoft op een veilig niveau zit desnoods nog een GFI languard scan erover dan ben je helemaal veilig

MSBA installeren en scannen ben ik met je eens, en zet als je slim bent ook automatic update op automatisch installeren, tenzij je van plan bent die elke dag met de hand na te lopen.

Het 'dan ben je helemaal veilig' hierboven is natuurlijk onzin, dat weet je helemaal niet. 'Zo veilig mogelijk met de opstelling' misschien wel..

Abbonnement op de waarschuwingsdienst.nl is ook sowieso een goed idee.

http://www.ntbugtraq.com/ kan nuttig zijn, een mailinglist welke security related zaken op Windows gebied naar je doorstuurt. Is overigens dieper dan waarschuwingsdients dus hangt er ook een beetje vanaf wat voor kennis je zelf hebt.

In ieder geval is het verstanding om te weten welke applicaties en services je draait en aan de hand daarvan nieuws op gebied van beveiliging en exploits bij te houden. De meest kritieke exploits hoor je vaak snel genoeg van zodra ze bekend zijn.

axis schreef op woensdag 08 november 2006 @ 14:52:
[...]

MSBA installeren en scannen ben ik met je eens, en zet als je slim bent ook automatic update op automatisch installeren, tenzij je van plan bent die elke dag met de hand na te lopen.

Het 'dan ben je helemaal veilig' hierboven is natuurlijk onzin, dat weet je helemaal niet. 'Zo veilig mogelijk met de opstelling' misschien wel..

Abbonnement op de waarschuwingsdienst.nl is ook sowieso een goed idee.

zo bedoelde ik het ook
helemaal veilig is een utopie

mistercash schreef op woensdag 08 november 2006 @ 12:33:
Denk niet dat er exploits zijn voor de sslexplorer.

Ik ben ook wat aan het spelen met SSLexplorer, voor mijn gevoel is het een soort schijn-veiligheid. Als je hem default installeert, dan krijg je een webinterface waar je een username en password in kan kloppen. Heb je die juist, dan ben je dus binnen.

Voor mijn gevoel moet er eerst een tunnel op worden gezet, waarna pas de mogelijkheid geboden moet worden om met username en password verder binnen te komen. Dat moet met SSLexplorer toch ook kunnen?