Toon posts:

[XPProf SP1] Security breach op poort 5000

Pagina: 1
Acties:

donderdag 8 juli 2004 15:49

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:04

DiedX

Topicstarter
Hi all,

Ik ga zo verder zoeken, maar heb snel expertise nodig. Ik ben sinds dinsdag bij mijn moeder, en zij liep te klagen over "rare dingen".

Ik voelde dat er wel wat vreemds aan de hand was. Spyware search and destroy gedraaid, en die kickte iets uit de IE startup.

Met FPort (http://www.foundstone.com/resources/proddesc/fport.htm) zag ik dat poort 5000 nog open was. Hier draait een HTTP server op.

ZoneAlarm ziet 'm wel, maar geeft aan dat het zo'n svchost dinges is.

Ik loop hier redelijk te flippen!

FPORT:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

F:\>fport
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid   Process            Port  Proto Path
596   svchost        ->  135   TCP   C:\WINDOWS\system32\svchost.exe
4     System         ->  139   TCP
4     System         ->  445   TCP
620   svchost        ->  1025  TCP   C:\WINDOWS\System32\svchost.exe
1296  firefox        ->  3056  TCP   C:\Program Files\Mozilla Firefox\firefox.exe
1296  firefox        ->  3057  TCP   C:\Program Files\Mozilla Firefox\firefox.exe
776                  ->  5000  TCP
1328  AVGUARD        ->  18350 TCP   C:\Program Files\AVPersonal\AVGUARD.EXE
0     System         ->  123   UDP
0     System         ->  137   UDP
0     System         ->  138   UDP
596   svchost        ->  445   UDP   C:\WINDOWS\system32\svchost.exe
4     System         ->  1028  UDP
620   svchost        ->  1844  UDP   C:\WINDOWS\System32\svchost.exe
0     System         ->  1900  UDP
1296  firefox        ->  1912  UDP   C:\Program Files\Mozilla Firefox\firefox.exe
776                  ->  2042  UDP
1328  AVGUARD        ->  2044  UDP   C:\Program Files\AVPersonal\AVGUARD.EXE
1296  firefox        ->  2045  UDP   C:\Program Files\Mozilla Firefox\firefox.exe
0     System         ->  2051  UDP
1296  firefox        ->  2117  UDP   C:\Program Files\Mozilla Firefox\firefox.exe
4     System         ->  2118  UDP


hijackthis:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

Logfile of HijackThis v1.97.7
Scan saved at 15:47:38, on 8-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Diederik\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38060.4092824074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Mijn vraag:

Ik zit vaak in de Linux wereld, en daar kan je met ps -afx uitzoeken hoe de processtructuur in elkaar zit. Ik ga zeker verder zoeken, maar als iemand mij kan helpen, graag!

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 8 juli 2004 16:03

Acties:
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 08:59

frickY

Wat is de vraag?
En als je je processlist bekijkt.. zet dan op zn minst alles uit waarvan je wél weet wat het is (norton, winamp, zonealarm...)

Wat krijg je als je naar http://127.0.0.1:5000 gaat?

Overigens heeft WinXP rundll32 niet nodig, alleen bij ik meen wat oudere applicaties. Trojans ed. worden tegenwoordig ook vaak onder die naam verspreid. Kill hem eens en kijk of je poort stopt met open zijn.
En tik eens 'netstat -p TCP' in de command prompt, om te zien of, en zo ja waarmee, hij verbinding heeft.

[ Voor 45% gewijzigd door frickY op 08-07-2004 16:07 ]

donderdag 8 juli 2004 16:09

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:04

DiedX

Topicstarter
Mijn vraag:
Ik zit vaak in de Linux wereld, en daar kan je met ps -afx uitzoeken hoe de processtructuur in elkaar zit. Ik ga zeker verder zoeken, maar als iemand mij kan helpen, graag!
Aangevuld: het proces draait waarschijnlijk als die svchost.exe. Ik weet dat dat proces weer deelprocessen heeft.

Als Linux zie je dus:

Apache
+ httpd
+ httpd

enzovoort. Ditzelfde wil ik ook.

Uiteraard als ik naar poort 5000 telnet, krijg ik na een aantal entertjes een bad request :-x

Ik zal eens wat processen afschieten!

edit:
Met de processlist

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

Logfile of HijackThis v1.97.7
Scan saved at 16:14:58, on 8-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\Diederik\Bureaublad\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38060.4092824074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[ Voor 72% gewijzigd door DiedX op 08-07-2004 16:16 ]

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 8 juli 2004 16:15

Acties:
  • cutter
  • Registratie: November 2000
  • Laatst online: 28-09 13:58

cutter

Wannabe i7 fanboy

http://www.internetweek.c....jhtml?articleID=20301309 wat heb je weggehaald met S&D.

donderdag 8 juli 2004 16:26

Acties:
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 08:59

frickY

Als je telnet krijg je een bad request?
ook as je "GET / HTTP/1.1[enter][enter]" intikt?
En als je via je browser naar http://127.0.01:5000 gaat?

Hoe je de deelprocessen opvraagt zou ik niet weten.. maar kijk via msconfig anders even welke niet-microsoft services allemaal worden opgestart?

donderdag 8 juli 2004 16:29

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:04

DiedX

Topicstarter
Via de browser krijg ik een volledig wit beelscherm. Via telnet een 400 header terug :(

Die MSCONFIG vind ik sterk. Even spitten. Die security van Microsoft klinkt goed, maar alle security patches zijn geinstalleerd!

edit:

MSCONFIG geeft niets :(

[ Voor 10% gewijzigd door DiedX op 08-07-2004 16:38 ]

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 8 juli 2004 16:34

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:04

DiedX

Topicstarter
cutter schreef op 08 juli 2004 @ 16:15:
http://www.internetweek.c....jhtml?articleID=20301309 wat heb je weggehaald met S&D.
Gelukkig zijn er logfiles :)

Het bleek een DSO Exploit te zijn. Ik ga even googlen wat het exact was!

edit:


DSO Exploit: Data source object exploit (Registry change, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, fixed)
HKEY_USERS\S-1-5-21-1202660629-920026266-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, fixed)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, fixed)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

[ Voor 60% gewijzigd door DiedX op 08-07-2004 16:39 ]

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 8 juli 2004 16:59

Acties:

Verwijderd

Los alarm als je mij vraagt: poort 5000 wordt gebruikt door UPnP.

Start -> Run -> Services.msc
Stop de service "Universele Plug en Play-apparaat host"
Stop tevens de service "SSDP Discovery- Service"

Daarna kun je als het goed is niet meer telnetten naar poort 5000.

donderdag 8 juli 2004 17:46

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:04

DiedX

Topicstarter
Verwijderd schreef op 08 juli 2004 @ 16:59:
Los alarm als je mij vraagt: poort 5000 wordt gebruikt door UPnP.

Start -> Run -> Services.msc
Stop de service "Universele Plug en Play-apparaat host"
Stop tevens de service "SSDP Discovery- Service"

Daarna kun je als het goed is niet meer telnetten naar poort 5000.
:/ :X 8)7 _/-\o_
Ik wist dat UPnP problemen kon veroorzaken, maar die service draaide niet. SSDP uitgezet, en alles opgelost!

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 8 juli 2004 19:52

Acties:
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 08:59

frickY

UnPlug n' Pray van Mr. Steve Gibson (grc.com)

Grappig dat t toch iets simpels blijkt te zijn :)


Misschien dat je in de toekomst nog wat aan onderstaand hebt;
Verwijderd schreef op 04 juli 2004 @ 18:32:
http://www.sysinternals.com/files/procexpnt.zip

hiermee kan je zien waar een .exe zich bevind en ook psies zien welke dlls er gebruikt worden door dit process.
Dat lijkt je eigenlijke vraag te beantwoorden

[ Voor 58% gewijzigd door frickY op 08-07-2004 19:58 ]

vrijdag 9 juli 2004 22:51

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:04

DiedX

Topicstarter
Yup! Toch weer wat geleerd :) Hartstikke bedankt!

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq