[W2K3] Server Recycle Bin gehacked

Heh, nou, ga maar lekker naar je serverparkje, trek deze er uit en herinstalleer. Updates, virusscanner, blaat heeft geen zin, je server is gecompromitteerd. Zolang je niet herinstalleerd heb je 0% garantie dat het niet nog een keer gebeurd binnen enkele minuten.
Na herinstallatie alle patches installeren, laatste versie van alle software installeren, al je scripts nagaan op mogelijke kwetsbaarheden (php scripts die system of exec gebruiken bijvoorbeeld en de .net varianten natuurlijk), etc.
Als je alles gecontroleerd hebt en zeker bent dat je geen troep draait kan je de machine terug hangen.

Jullie server gehacked en allerlei illegale dingen zijn geupload. Weet je zeker dat er geen (ab)normale toegang is gezocht met jullie omgeving?

Bekijk dus je logs (je ziet wanneer items zijn gedelete en gedownload op de server en probeer die met IIS, Eventviewer en FTP logs terug te herleiden naar IP-adressen

Massiefje schreef op vrijdag 27 juli 2007 @ 14:00:
Dat is net zo'n opmerking als "Format C:".

Ja en nee. Jij vraagt in de TS om een oplossing. Ook al krijg je het voor elkaar op de bak weer te zuiveren: je weet nooit zeker of er iets achter blijft en je server dus zo weer kan worden overgenomen. Persoonlijk vertrouw ik een pc niet meer die eens gehacked is en gaat er bij mij echt een format c: overheen en dat probeert hij je ook als advies mee te geven: je server is niet meer te vertrouwen

In het geval van een virus ben ik het wel met sariel eens, het is dan vaak beter om de boel schoon opnieuw te installeren, je zal immers nooit weten of het echt weg is.
Maar as to troubleshooting:
Welke virusscanners etc heb je gebruikt? Rootkit opsporing? Welke virussen zijn er gevonden, hoe heb je die bestreden?
Ik ga je topic even verplaatsen van Windows Servers en Server-software naar Beveiliging & Virussen.

Nutteloos, nou, niet echt. Maar als je echt wil weten wat er gebeurd is, moet je alsnog je systeem daar weg halen om het te onderzoeken.
Dan kan je de volgende dingen doen:
- Event log controleren (waarschijnlijk staat er niets in, maar ja)
- Zoek naar geinstalleerde software die jij niet geinstalleerd hebt
- Zoek naar open poorten op je systeem die jou onbekend zijn, dezen geven mogelijk toegang tot je systeem
- Kijk in de temp directories voor exes
- Kijk in de registry voor automatisch opstartende programmaatjes
- Kijk in de services.msc voor onbekende services
- Kijk of je 'sa' account van je mssql database wel een wachtwoord heeft (hint hint)
- Kijk welke scripts je draait en in hoeverre die vreemde code bevatten zoals 'exec', 'system' en andere commando's
- Als je het systeem niet weg wil halen, installeer een IDS of zo die alle inkomende en uitgaande data controleerd en logt (toegang tot systemen kan verkregen worden door met een systeem te verbinden maar ook doordat het systeem met jou verbind)
- En leeg je recycle bin, want je schijf loopt vol

Tsja, genoeg dingen om te bekijken, zou ik zeggen.


edit: oh ja, nog een ding....als je het zelf doet kan je de gevonden persoon niets maken. wil je juridische stappen ondernemen, moet je het door een 3rd party forensics bedrijf laten doen.

[ Voor 12% gewijzigd door sariel op 27-07-2007 14:12 ]

Als er het vermoeden bestaat dat je gehacked bent, is er gewoon maar 1 oplossing, en dat is opnieuw installeren.... Iemand die dit aan de kaak stelt weet niet waarmee ie bezig is.

Ik vind het trouwens wel goed dat je wilt weten wat er gebeurd is, ik zou dit ook zeker onderzoeken, maar doe dit terwijl die machine geen netwerk verbindingen meer heeft, gewoon offline onderzoeken. En als je hiermee klaar bent idd een "Format C:"

Massiefje schreef op vrijdag 27 juli 2007 @ 14:11:
[...]


Bedankt voor je reactie, maar.....
- niets in eventlog
- geen software dat niet door ons geinstalleerd is
- geen tempdirs met rare exes
- registry al doorlopen, niets vreemds gevonden
- services.msc had de vorige keer een service die er niet hoorde, alles opnieuw ingesteld (monikkenwerk) maar opgelost.
- Scripts zijn alleen van ons en wij gebruiken geen exec() of system() functies.
- Recyclebin kan wel leeg, maar heb weleens gehoord van 'wraakacties'. Geen recyclebin meer, dan server plat, of iets dergelijks.

Tsja, malware drivers, injected dll's, hidden files (streams bijvoorbeeld), rootkits, een combinatie van alle of the above, etc, etc, etc.

Massiefje schreef op vrijdag 27 juli 2007 @ 14:16:
[...]


Ik zou wel willen, maar er draait teveel op om 'zomaar ff offline' te gooien

Ja....dat zuigt dan. Had ie maar niet moeten laten hacken (ja, een gehackte server is bijna 100% van de tijd de schuld van de beheerder: onvoldoende bijhouden van patches, onachtzaamheid bij logs, 'ja, dat doen we morgen wel', onvoldoende kennis over beheer, etc). Offline halen is de enige optie.

[ Voor 8% gewijzigd door sariel op 27-07-2007 14:20 ]

Ik hoop/neem aan dat je je admin wachtwoord inmiddels aangepast hebt ?

Ik zou wel willen, maar er draait teveel op om 'zomaar ff offline' te gooien

Ja uhhh... zoals ik al zei... opnieuw installeren is je enige optie, je bent gehacked... haal die machine zo snel mogelijk offline!!!

Jou baas heeft hier blijkbaar geen kaas van gegeten, anders had ie nl. allang de opdracht gegeven om dat ding offline te halen.

Het kan aan zo veel verschillende dingen liggen, dat het wel belangrijk is dat je het onderzoekt. Als een van je web scripts bv. lek is dan kan het zo weer gebeuren na een nieuwe install.

Ikzelf ben geen windows beheerder dus ken IIS niet zo goed, maar voor Apache heb je bv. een module mod_security, deze module is heel goed in het afweren van php injecties. Misschien bestaat er voor IIS ook zo iets.

een typisch voorbeeld van een server die niet goed onderhouden wordt (blijkbaar...) met updates

Een recyclebin filled is een normale manier van een distro/pub voor distributionals over het internet...

W2K heeft bepaalde onderdelen die met onvoldoende en onzorgvuldig omgaan met updates snel en simpel te kraken valt.

IIS, SQL, noem maar op als je ergens al een oudere versie van draait dan kan je dit soort dingen al snel gebruiken.

Vaak zijn er ook 0-day exploits die ervoor zorgen dat je je server niet meer veilig bent (milw0rm.com).

Probeer jezelf eens te verdiepen in de "scene" en de manieren (o.a. ook remote desktop systemen) waarop deze servers met snelle verbindingen misbruikt.

Zoek ook je services lijst eens door naar programma's die op de achtergrond draaien die jullie zelf niet geinstalleerd hebben Hier zit een ftp programma bij. Goed voorbeeld hiervan is, mocht je een firewall draaien, om te kijken welke poorten hiervan open staan. Loop deze na op packages (packet tracer is ook makkelijk, dan monitor je de volledige in en uitgangen van de server, zo kom je snel achter poorten die normaal niet open horen te staan, of vreemde poorten die open staan die niet horen op te staan (bijv een random poort) en sluit deze

1 tip : wees zo vindingrijk als de hacker zelf, hou je logboeken goed bij over wat er precies gebeurt op de server. Zo kan je makkelijk uitvissen wat en wanneer dit gebeurt is + dat je, als de hacker onzorgvuldig is geweest, ook makkelijk kan achterhalen wie dit gedaan heeft.

extra'tje : als die man/vrouw slim geweest is zijn al je logboeken verwijderd. Echter, dit is niet zo makkelijk als het lijkt, maarja, dat zijn sommige hacks ook niet

Verwijderd schreef op vrijdag 27 juli 2007 @ 14:24:
[...]


Ja uhhh... zoals ik al zei... opnieuw installeren is je enige optie, je bent gehacked... haal die machine zo snel mogelijk offline!!!

Jou baas heeft hier blijkbaar geen kaas van gegeten, anders had ie nl. allang de opdracht gegeven om dat ding offline te halen.

Het kan aan zo veel verschillende dingen liggen, dat het wel belangrijk is dat je het onderzoekt. Als een van je web scripts bv. lek is dan kan het zo weer gebeuren na een nieuwe install.

Ikzelf ben geen windows beheerder dus ken IIS niet zo goed, maar voor Apache heb je bv. een module mod_security, deze module is heel goed in het afweren van php injecties. Misschien bestaat er voor IIS ook zo iets.

Klopt. Er zijn voor IIS ook modules om dat te doen..

paar docjes voor iis beveiliging:
http://thesource.ofallevi...ecurity/prodtech/IIS.mspx
http://technet2.microsoft...8f597b81033.mspx?mfr=true
http://technet2.microsoft...5b83f4a1033.mspx?mfr=true
http://technet2.microsoft...02560ed1033.mspx?mfr=true
http://searchwindowssecur...7995,00.html?topic=299605

http://www.google.nl/sear...ity+hardening&btnG=Search

etc