[XP] Geroot - Hoe?

D'r is maar 1 ding wat je blijkbaar niet hebt ... een firewall

Laatste tijd wat gevallen tegengekomen waarbij user geïnfecteerd was met Backdoor, waarna de bak geroot was.
Firewalls zijn makkelijk te bypassen van binnenuit...

Denk dat dat hier weer het geval is.

Welke AV gebruik je trouwens?

DiedX schreef op 09 november 2003 @ 21:28:
Tsja. Ook die had ik. Alleen moet je dan niet willen leechen met Emule. En voor het gemak maar alle poorten doorzetten...........

Alle porten openzetten voor eMule? Met 2 of 3 portmaps (weet ik niet uit mijn hoofd) ben je er al

Het lijkt me eerder dat er een simpele 'backdoor' gebruikt is.. Gewoon een verkeerd .exetje of .batje enz.. die je perongeluk geopend hebt (bijv. mail..)

[ Voor 24% gewijzigd door simon op 09-11-2003 21:47 ]

voor emule hoef je toch alleen 4662 tcp en 4672 udp open te zetten?

[ Voor 29% gewijzigd door Wolfboy op 09-11-2003 21:45 ]

Kun je me winmgnt.exe eens sturen? Even zeker weten dat het een ServU klommel is en niet iets anders.

AntiVir was niet toevallig aan het updaten in de tussentijd?
Het kan natuurlijk ook toeval zijn, dat AntiVir net toen ging loeien, als je IE gebruikt is het niet echt lastig om een backdoor op je bak te zetten.

Daarnaast wordt er graag apart(nieuw) spul gebruikt in deze gevallen, dus echt iets heel zinnigs valt er niet te zeggen..

Zie je verder nog vage processen/files? Mocht je wat tegenkomen, dan mag je dat ook sturen

Daarnaast zou je er bijvoorbeeld nog een virusscanner overheen kunnen halen.
(Don't get me wrong, imo moet je gewoon gaan formatten, maar het is wel handig om te zien hoe en wat).

Mogelijke attack vectors ? kan van alles wezen.

SQL7 (MSDE waarschijnlijk) is vaak een ongepatchte versie die bij een software pakket wordt bijgeleverd, een SQL-based exploit is dan zo gedaan.
Helemaal als je je poortje 1433 en 1434 (udp niet vergeten) open laat staan...
Helaas wordt nog te vaak dat soort apps als veiligheidsrisico over het hoofd gezien.

Het verschil in grootte tussen de files is er omdat de kleinere file (2x) Aspack gepackt is en de andere niet.

KAV: Backdoor.ServU-based

Zal er morgen verder naar kijken, moet nu echt eens gaan slapen.

elevator, je hebt vast ook wel gezien dat in de link naar de servudaemon.ini ook de serial bevat

Ja of Serv-U is gecompressed met UPX.
Verder klopt de Fport uitvoer, niks raars meer aan.
Als het SQL server account inderdaad SA/[blank] was bestaat er een grote kans dat de scriptkiddie zo is binnen gekomen. Disable ftp.exe en tftp.exe in vervolg en disable Admin shares!

je gebruikt emule en je vraagt je af waar al die vreemde virusjes tog vandaan komen ?
kom op zeg
voor de grap gister emule + kazaa weer eens er op gegooit
wat mp3 en plaatjes (cd covers gedownload) ik ffe scannen (nogal paranoide )
hopla 20 geinfecteerde bestanden dag daar voor toevallig nog een scan gedaan geen enkel virusje

dit was ook de reden dat ik kazaa en al zijn cloontjes en emule en dat soort zooi niet meer gebruik
alles is geinfecteerd

mijn tip mieter al die kazaa cloontjes er af

DiedX, waarom format? Je kan de backdoor toch ook gewoon uitschakelen?
Heb reeds verschillende mensen met dit soort problemen geholpen.
Kijk ook eens je Services na!
Je mag er zeker van zijn dat de hacker er 1 of 2 bij gezet zal hebben.
Eentje voor zijn netcat en eentje voor serv-u, zodat deze automatisch starten als jij opstart.
Deze services deleten of disablen en erna de poorten toezetten en je bent van die hacker verlost.

DiedX schreef op 10 november 2003 @ 09:47:
Interessant antwoord, alleen... Ik download MP3's. Geen executables.

jpg's zijn ook geen exe files he
maar ook daar kunnen ze in zitten
gister had ik ook nog een .mp3 bestandje dat gewoon een worm had

Verwijderd schreef op 10 november 2003 @ 09:50:
DiedX, waarom format? Je kan de backdoor toch ook gewoon uitschakelen?
Heb reeds verschillende mensen met dit soort problemen geholpen.

als je 1 ding vergeet is de hacker weer terug, format is iets veiliger
mocht je een image terug zetten probeer deze dan kritisch na te lopen op zaken waar de cracker gebruik van gemaakt zou kunnen hebben en verhelp deze. (b.v. admin shares e.d.)

gister had ik ook nog een .mp3 bestandje dat gewoon een worm had

Das gewoon een door een virus corrupt gemaakt bestand, naar alle waarschijnlijkheid.

Er is geen enkele Security-Expert die zegt dat het niet nodig is om te formatten na een hack..

Adviseerde ik de TS dan niet om eens wat na te kijken?
Waarom zou ik dat gevraagd hebben?

Het geroot zijn hoeft helemaal niet te zijn gebeurd door het klikken op een verkeerd bestandje via mail of emule.

Je draaide SQL server zonder bescherming (doormappen van alle poorten op een firewall is ongeveer hetzelfde als géén firewall). Iemand heeft de SQL server ontdekt en kunnen inloggen als sa; deze had nog het standaard wachtwoord als ik het goed begreep. Daarna is het niet moelijk meer om binnen te komen via wat truukjes. Dit is ook mogelijk met oudere versies van IIS. Hoe die truukjes precies werken ga ik hier niet uit de doeken doen, maar is eenvoudig te vinden (zoek maar eens op "directory traversal", bijvoorbeeld).

Als je hebt geherinstalleerd: zet de firewall weer aan (niet alles doormappen), wachtwoorden wijzigen en niet-nodige accounts uitschakelen (ook het admin account, je maakt een ander account aan met admin rechten) en de SQL server van onder tot boven patchen. Idem natuurlijk het OS en ook IE.
Dan zul je weer redelijk veilig zijn.

Een hardware firewall vind ik wat makkelijker in gebruik, maar een software firewall hoeft niet onveiliger te zijn, mits goed geconfigureerd.

[ Voor 2% gewijzigd door Xenan op 10-11-2003 10:40 . Reden: aanvulling ]

Shunt schreef op 10 november 2003 @ 09:39:
je gebruikt emule en je vraagt je af waar al die vreemde virusjes tog vandaan komen ?
kom op zeg
voor de grap gister emule + kazaa weer eens er op gegooit
wat mp3 en plaatjes (cd covers gedownload) ik ffe scannen (nogal paranoide )
hopla 20 geinfecteerde bestanden dag daar voor toevallig nog een scan gedaan geen enkel virusje

dit was ook de reden dat ik kazaa en al zijn cloontjes en emule en dat soort zooi niet meer gebruik
alles is geinfecteerd

mijn tip mieter al die kazaa cloontjes er af

Wat een onzin.

Als jij 20 virussen per dag download met Kazaa moet je toch beter leren zoeken.

Verwijderd schreef op 10 november 2003 @ 10:05:
[...]


En waarom zeggen ze dat? Omdat ze vaak niet weten hoe en langswaar ze zijn binnen gekomen. Wat doe ik? Ik delete wat ik vind en zet een montoring op op de machine die alles logged zowel open poorten als verandering op de HD.
Eenmaal je weet wat ze proberen, dan weet je tenminste wat je moet doen om het tegen te gaan en dan kan je nadien een herinstallatie/format doen maar dan weet je wat je zeker moet aanpassen om ze buiten te houden!

En als je dat nou van te voren zou doen (als je zeker weet dat je installatie niet ge-exploit is), dan zou je een perfect systeem hebben ja

Sir_Killalot schreef op 10 november 2003 @ 19:24:
[...]


Wat een onzin.

Als jij 20 virussen per dag download met Kazaa moet je toch beter leren zoeken.

Idd, de 50 moet je toch wel kunnen halen

Je hebt een aantal bestanden op je computer staat :winmgnt en servudaemon.ini
Dit is inderdaad de remote server.
Hij wordt vaak gebruikt om op je computer files te laten sharen in een "fxp"wereld. De hacker (scriptkiddie) heeft toegang op admin niveau op de c schijf. Als hij aan anderen ook toegang heeft verleend dan zal je in de servudaemon.ini zien dat er ook een ander account is gemaakt.

Winmngt wordt als services ingesteld en start de volgende keer weer op. Verwijder je deze dan zal de hacker weer via SQL inloggen. Althans als het een echte hacker is. Een beetje hacker maakt een eigen account aan en zal daardoor weer toegang verschaffen en via net start serv-u de winmgnt proberen op te starten. Lukt dit niet dan gaat hij echo'n om wederom winmgnt te uppen op jou computer.
Natuurlijk noemt hij hem dan geen winmgnt meer.

Verstandig is om even met languard je pc te laten scannen op openstaande poorten. Indien je aan een poort twijfelt moetje deze dan dicht gooien.

Groeten

Allemaal offtopic:

DiedX schreef op 10 november 2003 @ 19:50:
Schouw: ben jij professioneel virushunter oid?

Volgens mij wel, ik kom hem altijd tegen in dit soort topics, met veel info enzo.
@schouw:

esorone schreef op 10 november 2003 @ 21:45:
Een heel verhaal

Ik vraag me altijd af waar mensen deze know-how vandaan halen
Maar, ik ben ook niet into dat soort dingen.

_{Al vind ik dit soort dingen geweldig om te lezen. Hele topic ook}

Ik vraag me altijd af waar mensen deze know-how vandaan halen
Maar, ik ben ook niet into dat soort dingen.

_{Al vind ik dit soort dingen geweldig om te lezen. Hele topic ook}

Ach al hang je maar eventjes in de fxp wereld rond dan krijg je al snel deze kennis hoor, en meestal zijn die scriptkiddies gewoon idioten die een tutorial gelezen hebben ofzo
eventjes de programma's downloaden en klaar

[ Voor 5% gewijzigd door Wolfboy op 10-11-2003 22:03 ]

DiedX schreef op 21 november 2003 @ 13:43:
Ik kan als Admin niet bij mijn System Information folder. Hoe kan het zijn dat ik daar alleen maar bij kan als ik safe-mode doe? Of is het simpele antwoord: slechte beveiliging van Microsoft?

Hoezo slechte beveiliging? Anyway:
How to Gain Access to the System Volume Information Folder.

[ Voor 8% gewijzigd door blackd op 21-11-2003 13:59 ]