woensdag 4 mei 2011 23:54

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
De problemen begonnen met vreemde fout meldingen op één van de servers. (windows server 2003 standaard editie)
Even op onderzoek uit, tot mijn grote verbazing draaide er een terminal sessie met een account dat zichzelf guest noemt.
Vreemd! We draaien een NL versie van windows server.
Kijken in de AD en daar kwam ik het guest account tegen (en ook het normale GAST account)
Tot mijn verbazing is deze guest lid van de groep administrators.
Terug naar de terminal service manager, en de verbinding overgenomen, daar kwam ik een draaiende hacking tool tegen.
Rap het de service beëindigd, en de bestanden verwijderd.
Sessie afgesloten.
In AD het account verwijderd, klaar is kees (dacht ik)
Niks blijkt minder waar!
Na een paar minuten staat het account gewoon weer terug in AD.
Alles nagelopen op scripts of rare software & services, helemaal niks kunnen vinden.
Inmiddels heb ik de RDP poort dicht gegooid, maar het account keert nog steeds elke keer terug.
Iemand een idee ?? 8)7

woensdag 4 mei 2011 23:55

Acties:
  • 0 Henk 'm!
  • Wish
  • Registratie: Juni 2006
  • Laatst online: 22:39

Wish

ingwell

Eh, virusscanner draaien?

No drama

woensdag 4 mei 2011 23:58

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Wish schreef op woensdag 04 mei 2011 @ 23:55:
Eh, virusscanner draaien?
Uiteraard als eerste gedaan, alles is (weer schoon) maar de account keert nog steeds telkens terug

woensdag 4 mei 2011 23:58

Acties:
  • 0 Henk 'm!
  • hello123456
  • Registratie: April 2008
  • Laatst online: 02-09 12:23

hello123456

Wachtwoorden van overige accounts aanpassen. Ik krijg ergens het vermoeden dat iemand een andere (administrator) account te pakken heeft gekregen en die gebruikt om die Guest account aan te maken.
Koppel hem anders eens af van het netwerk, ruim alles op, en kijk of die dan terugkomt, zo ja dan ligt het probleem bij de PC, zo niet dan heb je last van buitenaf.

woensdag 4 mei 2011 23:59

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 19:24

MAX3400

XBL: OctagonQontrol

Idee: zelf eens bedenken om je internet dicht te gooien, de servers te ontkoppelen, een AD-restore te doen en mogelijk een goede virusscanner of andere malware tool los te laten.

Desondanks, als iemand al op de machines is gekomen en deze grappen heeft kunnen uithalen, is er structureel meer aan de hand met de infra dan jij op kan lossen waarschijnlijk...

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 5 mei 2011 00:00

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
hello123456 schreef op woensdag 04 mei 2011 @ 23:58:
Wachtwoorden van overige accounts aanpassen. Ik krijg ergens het vermoeden dat iemand een andere (administrator) account te pakken heeft gekregen en die gebruikt om die Guest account aan te maken.
Koppel hem anders eens af van het netwerk, ruim alles op, en kijk of die dan terugkomt, zo ja dan ligt het probleem bij de PC, zo niet dan heb je last van buitenaf.
Compleet los gekopeld van buiten, nog steeds het guest account.
passwords veranderd en nog steeds het guest account.

Het probleem zit echt lokaal, maar waar

donderdag 5 mei 2011 00:03

Acties:
  • 0 Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 11-09 13:55

frickY

Logischerwijs een of andere deamon die moet zorgen dat de kwaadwillende toegang tot het systeem blijft houden.
Ga dus maar aan de slag met bijvoorbeeld HijackThis om te bestuderen wat er allemaal draait.

donderdag 5 mei 2011 00:03

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
MAX3400 schreef op woensdag 04 mei 2011 @ 23:59:
Idee: zelf eens bedenken om je internet dicht te gooien, de servers te ontkoppelen, een AD-restore te doen en mogelijk een goede virusscanner of andere malware tool los te laten.

Desondanks, als iemand al op de machines is gekomen en deze grappen heeft kunnen uithalen, is er structureel meer aan de hand met de infra dan jij op kan lossen waarschijnlijk...
Eens! de infra was een zooi ! dat is verholpen, de beveiliging is verbeterd.

donderdag 5 mei 2011 00:13

Acties:
  • 0 Henk 'm!
  • TeeDee
  • Registratie: Februari 2001
  • Laatst online: 17:37

TeeDee

CQB 241

frickY schreef op donderdag 05 mei 2011 @ 00:03:
Logischerwijs een of andere deamon die moet zorgen dat de kwaadwillende toegang tot het systeem blijft houden.
Ga dus maar aan de slag met bijvoorbeeld HijackThis om te bestuderen wat er allemaal draait.
Och, een server. Ik zou dat ding een format geven en opnieuw opbouwen.

Heart..pumps blood.Has nothing to do with emotion! Bored

donderdag 5 mei 2011 00:15

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
frickY schreef op donderdag 05 mei 2011 @ 00:03:
Logischerwijs een of andere deamon die moet zorgen dat de kwaadwillende toegang tot het systeem blijft houden.
Ga dus maar aan de slag met bijvoorbeeld HijackThis om te bestuderen wat er allemaal draait.
Uitkomst HijackThis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 0:07:04, on 5-5-2011
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\Cissesrv\cissesrv.exe
C:\Program Files\ClamSink\clamd.exe
C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ClamSink\freshclam.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ismserv.exe
C:\WINDOWS\ADMT\MSSQL$MS_ADMT\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntfrs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rijnmond\SNMP info\PrnInfoService.exe
C:\Program Files\Hewlett-Packard\iLO 3\service\ProLiantMonitor.exe
C:\WINDOWS\System32\snmp.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\WINDOWS\system32\CpqMgmt\cqmgserv\cqmgserv.exe
C:\WINDOWS\system32\CpqMgmt\cqmgstor\cqmgstor.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Exchsrvr\bin\exmgmt.exe
C:\Program Files\Exchsrvr\bin\mad.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CpqMgmt\cqmghost\cqmghost.exe
C:\Program Files\Exchsrvr\bin\store.exe
C:\Program Files\Exchsrvr\bin\emsmta.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\NCU\cpqteam.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\cmd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: BrotherSoft Extreme - {51a86bb3-6602-4c85-92a5-130ee4864f13} - C:\Program Files\BrotherSoft_Extreme\prxtbBrot.dll
O3 - Toolbar: BrotherSoft Extreme Toolbar - {51a86bb3-6602-4c85-92a5-130ee4864f13} - C:\Program Files\BrotherSoft_Extreme\prxtbBrot.dll
O4 - HKLM\..\Run: [CPQTEAM] C:\Program Files\HP\NCU\cpqteam.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Servicebeheer.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O15 - ESC Trusted Zone: http://runonce.msn.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = omrbv.local
O17 - HKLM\Software\..\Telephony: DomainName = omrbv.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{520C6973-A987-4AFB-8C0D-C3EC03D7278F}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = omrbv.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{520C6973-A987-4AFB-8C0D-C3EC03D7278F}: NameServer = 127.0.0.1
O18 - Protocol: hpapp - {24F45006-5BD9-41B7-9BD9-5F8921C8EBD1} - C:\Program Files\Compaq\Cpqacuxe\Bin\hpapp.dll
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Program Files\HP\Cissesrv\cissesrv.exe
O23 - Service: ClamWin Free Antivirus Scanner Service (ClamD) - Unknown owner - C:\Program Files\ClamSink\clamd.exe
O23 - Service: HP Insight NIC Agents (CpqNicMgmt) - Hewlett-Packard Company - C:\WINDOWS\system32\CPQNiMgt\cpqnimgt.exe
O23 - Service: HP ProLiant Remote IML Service (CpqRcmc3) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\iLO 3\service\ProLiantMonitor.exe
O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
O23 - Service: HP Insight Foundation Agents (CqMgHost) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmghost\cqmghost.exe
O23 - Service: HP Insight Server Agents (CqMgServ) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmgserv\cqmgserv.exe
O23 - Service: HP Insight Storage Agents (CqMgStor) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqMgmt\cqmgstor\cqmgstor.exe
O23 - Service: ClamWin Free Antivirus Database Updater (FreshClam) - Unknown owner - C:\Program Files\ClamSink\freshclam.exe
O23 - Service: PrnInfoService (PrinterInfo) - Rijnmond It-Services B.V. - C:\Program Files\rijnmond\SNMP info\PrnInfoService.exe
O23 - Service: HP ProLiant Health Monitor Service (ProLiantMonitor) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\iLO 3\service\ProLiantMonitor.exe
O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\iLO 3\service\ProLiantMonitor.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
O23 - Service: User Profile Hive Cleanup (UPHClean) - Windows (R) Codename Longhorn DDK provider - C:\Program Files\UPHClean\uphclean.exe

--
End of file - 7598 bytes

donderdag 5 mei 2011 00:17

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
TeeDee schreef op donderdag 05 mei 2011 @ 00:13:
[...]

Och, een server. Ik zou dat ding een format geven en opnieuw opbouwen.
De makelijkste weg is de snelste, maar is de snelste ook altijd even makelijk :P

donderdag 5 mei 2011 00:20

Acties:
  • 0 Henk 'm!
  • Occy74
  • Registratie: September 2000
  • Laatst online: 20-08 14:41

Occy74

Verwijderd schreef op donderdag 05 mei 2011 @ 00:17:
[...]


De makkelijkste weg is de snelste, maar is de snelste ook altijd de beste :P

Systeem Specs

donderdag 5 mei 2011 00:20

Acties:
  • 0 Henk 'm!
  • TeeDee
  • Registratie: Februari 2001
  • Laatst online: 17:37

TeeDee

CQB 241

Verwijderd schreef op donderdag 05 mei 2011 @ 00:17:
[...]
De makelijkste weg is de snelste, maar is de snelste ook altijd even makelijk :P
Geen idee. Wel de veiligste!
Verwijderd schreef op donderdag 05 mei 2011 @ 00:24:
[...]
Ligt aan de obstakels die je moet overbruggen
Doe je het niet en blijf je lekker met de onzekerheid zitten of je inderdaad wel alles van die server verwijderd hebt.

[ Voor 39% gewijzigd door TeeDee op 05-05-2011 00:27 ]

Heart..pumps blood.Has nothing to do with emotion! Bored

donderdag 5 mei 2011 00:24

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
TeeDee schreef op donderdag 05 mei 2011 @ 00:20:
[...]

Geen idee. Wel de veiligste!
Ligt aan de obstakels die je moet overbruggen

donderdag 5 mei 2011 00:30

Acties:
  • 0 Henk 'm!
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

Ik zou zeggen reinstall die server, hij is compromised en je hebt geen idee waar.
Voor hetzelfde geld zit er iets oppervlakkigs in dat de guest-account reactiveert en iets diepers wat bijv 1x per maand kijkt of de oppervlakkige hack nog actief is zonee dan reactiveer oppervlakkige hack.

Oftewel je hebt geen idee wat er loos is en wat de consequenties zijn, oftewel reinstall.

Maar als je het zonder reinstall gaat doen, kijk eerst eens dat rijnmond proces na. Dat ziet er imho uit als een homemade snmp ding waarvan ik vermoed dat de security twijfelachtig is.
Ik heb ook mijn twijfels bij een C:\WINDOWS\ADMT\MSSQL$MS_ADMT\Binn\sqlservr.exe (sinds wanneer draait die niet meer vanuit program files maar dat is puur oppervlakkig, een echt virus/hack had gewoon het originele bestand aangepast)
Verwijderd schreef op donderdag 05 mei 2011 @ 00:24:
[...]
Ligt aan de obstakels die je moet overbruggen
Sorry, maar slechte planning is je eigen probleem. Als jij geen makkelijke reinstall/cleane restore procedure hebt voor dit soort gevallen kan je je dit echt jezelf aanrekenen.
Hacks/virii zijn gewoon part of the game tegenwoordig.

donderdag 5 mei 2011 08:18

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

offtopic:
SQL én Exchange? Wordt nog leuk dan...lijkt meer op een SBS kloon dit. Effe snel reinstallen is er dan niet echt bij

[ Voor 15% gewijzigd door alt-92 op 05-05-2011 08:19 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 5 mei 2011 08:49

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
reinstall is best wel een optie, en een procedure hebben we daar zeker wel voor.
Echter had ik gehoopt dit te voorkomen maar het ziet er naar uit dat het toch een reinstall wordt dan.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq