Situatie:
We hadden een colocated webserver draaien onder NT4, maar dat werd een beetje onveilig, dus hebben we die afgelopen donderdag omgezet naar Windows 2003 Server, web edition (reinstall op een nieuwe schijf, geen upgrade).
Alle upgrades en security patches geinstalleerd, en 't ding draaide als een zonnetje.
1 Dag en 7 uur later was 'ie gehacked (vrijdag om 23:53 om precies te zijn). En dat is 'ie nu nog steeds, alleen kan ik niet vinden waar die etters zich verborgen hebben!
Symptomen:
* DameWare NT Utilities waren geinstalleerd (niet door ons!),
* Terwijl ik remote aan het meekijken was werden in de directory \Windows\System32\ias 3 bestanden verwijderd, waaronder pulist.exe, drvldr.dll en nog een exe waarvan ik zo snel de naam niet kon lezen,
* Steeds werd weer winlogon.dll in die ias directory gezet, totdat ik dat ding read only maakte,
* Een hoop traffic op poort 30, 31, 84 en 85, totdat ik die poorten had dichtgegooid.
Ik weet wel wat de oplossing is: neem een NetBSD server (geen optie i.v.m. de software die 'ie draait) of koop een firewall (Juniper Netscreen 5GT wordt deze week geplaatst), en ja, ik weet ook dat deze machine vanaf scratch opnieuw moet worden opgezet omdat je niet weet wat die punks hebben achtergelaten.
Maar wat ik graag wil weten: herkent iemand deze 'MO'? Ik had zelf 't idee dat er mensen achter zaten (er werd vrij traag gereageerd wanneer ik poorten dichtgooide), maar 't kan natuurlijk ook een worm zijn (Deloder.A? Win2003 had daar toch geen last van?).
Met een portsniffer heb ik een 4-tal IP-adressen kunnen achterhalen, waarvan 1 in Nederland, en we zijn van plan om hiermee naar politie en justitie te gaan.
Tenzij iemand me kan overtuigen dat 't een sullige worm attack was...
We hadden een colocated webserver draaien onder NT4, maar dat werd een beetje onveilig, dus hebben we die afgelopen donderdag omgezet naar Windows 2003 Server, web edition (reinstall op een nieuwe schijf, geen upgrade).
Alle upgrades en security patches geinstalleerd, en 't ding draaide als een zonnetje.
1 Dag en 7 uur later was 'ie gehacked (vrijdag om 23:53 om precies te zijn). En dat is 'ie nu nog steeds, alleen kan ik niet vinden waar die etters zich verborgen hebben!
Symptomen:
* DameWare NT Utilities waren geinstalleerd (niet door ons!),
* Terwijl ik remote aan het meekijken was werden in de directory \Windows\System32\ias 3 bestanden verwijderd, waaronder pulist.exe, drvldr.dll en nog een exe waarvan ik zo snel de naam niet kon lezen,
* Steeds werd weer winlogon.dll in die ias directory gezet, totdat ik dat ding read only maakte,
* Een hoop traffic op poort 30, 31, 84 en 85, totdat ik die poorten had dichtgegooid.
Ik weet wel wat de oplossing is: neem een NetBSD server (geen optie i.v.m. de software die 'ie draait) of koop een firewall (Juniper Netscreen 5GT wordt deze week geplaatst), en ja, ik weet ook dat deze machine vanaf scratch opnieuw moet worden opgezet omdat je niet weet wat die punks hebben achtergelaten.
Maar wat ik graag wil weten: herkent iemand deze 'MO'? Ik had zelf 't idee dat er mensen achter zaten (er werd vrij traag gereageerd wanneer ik poorten dichtgooide), maar 't kan natuurlijk ook een worm zijn (Deloder.A? Win2003 had daar toch geen last van?).
Met een portsniffer heb ik een 4-tal IP-adressen kunnen achterhalen, waarvan 1 in Nederland, en we zijn van plan om hiermee naar politie en justitie te gaan.
Tenzij iemand me kan overtuigen dat 't een sullige worm attack was...
:strip_icc():strip_exif()/u/1522/crop5f4a0291a77ba_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
:strip_icc():strip_exif()/u/77100/crop68da562d0f90e_cropped.jpg?f=community)
/u/1491/crop6142e563aff0e_cropped.png?f=community)
)
