Bij een kennis kwam ik een vreemd account tegen. De naam van het account is een typische virusnaam: het lijkt op "vdfsv58934vjkfd." Dit is niet de echte naam, maar voor het gemak noem ik het account even zo. Deze account is lid van de built-in group Administrators.
Als ik in de built-in account Administrators op "vdfsv58934vjkfd" dubbelklik, dan krijg ik de melding "The following ADDS error occurred: Directory object not found." Dat is logisch, want de OU waar de account in staat bestaat niet. De account zou in domain.local\Admins moeten staan. Echter domain.local\Admins is een object en geen OU (waarvan alleen vdfsv58934vjkfd full control heeft, en niemand anders rechten heeft). Iemand heeft dus in die OU dat account aangemaakt en op een of andere manier de OU weten om te bouwen naar een object zodat de account onvindbaar is. Precies zoals je in een FAT16 filesystem kon doen: Je kon een directory ombouwen naar een bestand door een kenmerk aan te passen, want feitelijk was een directory ook een bestand. De inhoud van de directory was er dan nog, maar je kon de directory niet meer benaderen. De files stonden dan nog wel op de diskette. Dat is ook hier gedaan vermoed ik.
De account is gemaakt ergens in 2003 en de lastlogon is null (of is niet uit te lezen). Met de zoekfunctie vind je de account niet. Logisch, want de account staat niet in een OU.
Ik vind het een heel interessant probleem en ik vermoed dus dat iemand ooit een backdoor heeft gemaakt (oude beheerder?). Ik beheer de server niet, dus ik mag er niets aan veranderen. Ik heb de kennis wel kunnen overhalen om de auditing van logons in te schakelen zodat als het account zou worden gebruikt, dat we dat dan konden zien.
Men is nu bezig met de procedure om mij tijdelijk beheerrechten te geven zodat ik hiernaar onderzoek kan gaan doen. Echter ik doe het in mijn vrije tijd en ik verdien er dus niets aan, dus ik wil er niet al te veel tijd aan besteden. Toch vind ik het wel erg interessant en wil ik er graag even naar kijken.
Wat denken jullie? Is dit een backdoor? Ik kan mij niet voorstellen dat iemand "per ongeluk" de account heeft gemaakt of dat een applicatie een vreemd account voor een service heeft aangemaakt en vervolgens de OU ombouwt naar een object. Welk kenmerk in ADSI zou ik kunnen omzetten om het object terug te bouwen naar een OU?
Als ik in de built-in account Administrators op "vdfsv58934vjkfd" dubbelklik, dan krijg ik de melding "The following ADDS error occurred: Directory object not found." Dat is logisch, want de OU waar de account in staat bestaat niet. De account zou in domain.local\Admins moeten staan. Echter domain.local\Admins is een object en geen OU (waarvan alleen vdfsv58934vjkfd full control heeft, en niemand anders rechten heeft). Iemand heeft dus in die OU dat account aangemaakt en op een of andere manier de OU weten om te bouwen naar een object zodat de account onvindbaar is. Precies zoals je in een FAT16 filesystem kon doen: Je kon een directory ombouwen naar een bestand door een kenmerk aan te passen, want feitelijk was een directory ook een bestand. De inhoud van de directory was er dan nog, maar je kon de directory niet meer benaderen. De files stonden dan nog wel op de diskette. Dat is ook hier gedaan vermoed ik.
De account is gemaakt ergens in 2003 en de lastlogon is null (of is niet uit te lezen). Met de zoekfunctie vind je de account niet. Logisch, want de account staat niet in een OU.
Ik vind het een heel interessant probleem en ik vermoed dus dat iemand ooit een backdoor heeft gemaakt (oude beheerder?). Ik beheer de server niet, dus ik mag er niets aan veranderen. Ik heb de kennis wel kunnen overhalen om de auditing van logons in te schakelen zodat als het account zou worden gebruikt, dat we dat dan konden zien.
Men is nu bezig met de procedure om mij tijdelijk beheerrechten te geven zodat ik hiernaar onderzoek kan gaan doen. Echter ik doe het in mijn vrije tijd en ik verdien er dus niets aan, dus ik wil er niet al te veel tijd aan besteden. Toch vind ik het wel erg interessant en wil ik er graag even naar kijken.
Wat denken jullie? Is dit een backdoor? Ik kan mij niet voorstellen dat iemand "per ongeluk" de account heeft gemaakt of dat een applicatie een vreemd account voor een service heeft aangemaakt en vervolgens de OU ombouwt naar een object. Welk kenmerk in ADSI zou ik kunnen omzetten om het object terug te bouwen naar een OU?
/u/125506/link-8bit.png?f=community)
/u/38159/DirkJan.png?f=community)