:strip_exif()/u/11775/SoulTaker.gif?f=community)
Ik kwam er laatst achter dat op een PC van een vriend een Serv-U FTP server op de achtergrond draaide terwijl hij daar niets van wist. Die PC was dus gehackt door iemand die er een FTP server van had gemaakt waarvan de bestanden in C:\RECYCLER (de recycle bin; normaal onzichtbaar voor de gebruiker) bewaard bleven. Daar stonden dus ook warez (een Disney film; Home On The Range) in.
Na wat verder neuzen bleek er ook een Radmin service te draaien onder de naam "Simple TCP Services" en een Serv-U service die geregisteerd wordt als "IMAPI COM Service" met als omschrijving "IMAPI CD-Burning COM Service"
Voordat ik de troep verwijderde heb ik eerst de IP's van een aantal verbonden computers geregistreerd. Het lijkt me niet handig om die hier direct neer te zetten, maar het gaat om een IP uit een Israelische netrange die verbonden was met de FTP server en een IP uit een Noorse netrange die verbonden was met de RAdmin server.
Op zich zou je zeggen dat daar weinig mee te doen valt, maar nu viel me iets op.
In de Serv-U welcome message stond zoiets van 'T-L-E pubstro by Cryptic' . Op de Israëlische host draait een webserver en een FTP server (beide gewoon op de default ports) en daar kwam ik diezelfde naam tegen. Ik denk vermoed dus dat de hacker die host beheert.
Nu zul je je afvragen waarom ik zo vaag daarover doe. Dat komt doordat kort nadat ik een beetje die IP adressen had nagetrokken de web- en FTP server op de Israëlische host offline gingen (hoewel ik de host zelf nog steeds kan pingen) en de Noorse twee hosts helemaal offline gingen (voor zover ik kan zien). Verder was via RAdmin (want de FTP server was toen al afgesloten) de FTP directory met de warez en de configuratiebestanden erin verwijderd!
Gelukkig had ik ondertussen al een aantal bestanden gesaved. Dit was de index van de webserver:
De directories kon ik niet in; vooral de bestanden expl.job en service.exe. De eerste is volgens Norton AntiVirus een of andere exploit en de tweede is een UPX-packed WinRAR SFX file, waarin een zestal bestanden zitten:
(Ik heb het bestand zelf nog, maar ik weet niet of ik die hier moet plaatsen). Normaal gesproken wordt de batch-file automatisch uitgevoerd maar ik heb deze file uitgepakt door 'm eerst met UPX uit te pakken en vervolgens met 7-zip de RAR-file uit te pakken.
De bestanden kan ik voor het grootste deel wel identificeren:
• AdmDll.dll is een DLL die RAdmin nodig heeft;
• cdir.txt is een Serv-U directory template;
• crlogs.exe is een tooltje om de NT logs te wissen;
• dtreg.exe is een tooltje om de registry te editen op de command line;
• fport.exe list de open poorten op een systeen met de bijbehorende applicaties;
• IMAPI.exe is de Serv-U executable;
• info.exe geeft wat algemene systeeminfo (eigenaar, taal, CPU usage, etc.); • install.bat wordt normaliter door de executable uitgevoerd en die installeert de bestanden in de Windows directory en registreert de services en registry entries;
• login.txt is de Serv-U login template;
• raddrv.dll is een DLL die RAdmin nodig heeft;
• serv.exe is XNET 1.04 - een of andere tool om services te registeren;
• smrs.exe is de RAdmin executable;
• t1502.tmp is het Serv-U configuratiebestand;
• uptime.txt is een tooltje om de uptime van het systeem weer te geven.
Al deze bestanden waarom ook op het gehackte systeem te vinden. Het lijkt me dus duidelijk dat dit bestand een keer op de een of andere manier uitgevoerd is op de computer om de boel geïnstalleerd te krijgen.
Een opmerkelijk ding is dat in login.txt weer die "T-L-E Pubstro" genoemd staat, maar nu zonder naam van de hacker erbij. Verder wordt in de batch-file de Serv-U executable wel geïnstalleerd als service, maar ik zie niet hoe het configuratiebestand geïnstalleerd worden. In dat configuratiebestand staan wel weer accounts voor drie users genaamd 'filler', 'l33t' en 'cryptic' (en die laatste heeft de meeste rechten).
Een lange inleiding. Wat is nu mijn vraag? Zoals je kunt zien heb ik een aantal duidelijke bewijzen van computervredebreuk verzameld. Vooral het feit dat de gebruikte exploits op een openbare webserver staan lijkt mij redelijke grond daarvoor. Ik vraag me daarom af of ik hier op een of andere manier werk van kan maken. Heeft iemand hier ervaring mee of suggesties over hoe te werk te gaan?
Direct de service providers mailen lijkt me niet echt een heel goed idee. Die leggen het natuurlijk eerst voor aan hun abbonnees en die zorgt er dan wel voor dat het bewijsmateriaal verdwijnt. Verder weet ik natuurlijk niet zeker of de genoemde hosts ook echt eigendom zijn van de hacker; het kan best zijn dat hij die ook gehackt heeft.
Ik baal er wel een beetje van dat de computers nu onbereikbaar zijn geworden, maar misschien komen ze later weer online. Wat mij ideaal zou lijken is dat ik aangifte zou kunnen doen bij de plaatselijke politie en dat die dan het bestaan van de webserver verifiëren en vervolgens de computer in beslag nemen om uit te zoeken hoe de vork in de steel zit. Helaas lijkt het me niet echt waarschijnlijk dat dat gaat gebeuren, zelfs als ik in contact zou kunnen treden met de politie in Noorwegen of Israel.
Wat kan ik hier dan redelijkerwijs wel mee doen? Of zijn dit soort misdrijven simpelweg niet te bestrijden?
Na wat verder neuzen bleek er ook een Radmin service te draaien onder de naam "Simple TCP Services" en een Serv-U service die geregisteerd wordt als "IMAPI COM Service" met als omschrijving "IMAPI CD-Burning COM Service"
Voordat ik de troep verwijderde heb ik eerst de IP's van een aantal verbonden computers geregistreerd. Het lijkt me niet handig om die hier direct neer te zetten, maar het gaat om een IP uit een Israelische netrange die verbonden was met de FTP server en een IP uit een Noorse netrange die verbonden was met de RAdmin server.
Op zich zou je zeggen dat daar weinig mee te doen valt, maar nu viel me iets op.
In de Serv-U welcome message stond zoiets van 'T-L-E pubstro by Cryptic' . Op de Israëlische host draait een webserver en een FTP server (beide gewoon op de default ports) en daar kwam ik diezelfde naam tegen. Ik denk vermoed dus dat de hacker die host beheert.
Nu zul je je afvragen waarom ik zo vaag daarover doe. Dat komt doordat kort nadat ik een beetje die IP adressen had nagetrokken de web- en FTP server op de Israëlische host offline gingen (hoewel ik de host zelf nog steeds kan pingen) en de Noorse twee hosts helemaal offline gingen (voor zover ik kan zien). Verder was via RAdmin (want de FTP server was toen al afgesloten) de FTP directory met de warez en de configuratiebestanden erin verwijderd!
Gelukkig had ik ondertussen al een aantal bestanden gesaved. Dit was de index van de webserver:
De directories kon ik niet in; vooral de bestanden expl.job en service.exe. De eerste is volgens Norton AntiVirus een of andere exploit en de tweede is een UPX-packed WinRAR SFX file, waarin een zestal bestanden zitten:
(Ik heb het bestand zelf nog, maar ik weet niet of ik die hier moet plaatsen). Normaal gesproken wordt de batch-file automatisch uitgevoerd maar ik heb deze file uitgepakt door 'm eerst met UPX uit te pakken en vervolgens met 7-zip de RAR-file uit te pakken.
De bestanden kan ik voor het grootste deel wel identificeren:
• AdmDll.dll is een DLL die RAdmin nodig heeft;
• cdir.txt is een Serv-U directory template;
• crlogs.exe is een tooltje om de NT logs te wissen;
• dtreg.exe is een tooltje om de registry te editen op de command line;
• fport.exe list de open poorten op een systeen met de bijbehorende applicaties;
• IMAPI.exe is de Serv-U executable;
• info.exe geeft wat algemene systeeminfo (eigenaar, taal, CPU usage, etc.); • install.bat wordt normaliter door de executable uitgevoerd en die installeert de bestanden in de Windows directory en registreert de services en registry entries;
• login.txt is de Serv-U login template;
• raddrv.dll is een DLL die RAdmin nodig heeft;
• serv.exe is XNET 1.04 - een of andere tool om services te registeren;
• smrs.exe is de RAdmin executable;
• t1502.tmp is het Serv-U configuratiebestand;
• uptime.txt is een tooltje om de uptime van het systeem weer te geven.
Al deze bestanden waarom ook op het gehackte systeem te vinden. Het lijkt me dus duidelijk dat dit bestand een keer op de een of andere manier uitgevoerd is op de computer om de boel geïnstalleerd te krijgen.
Een opmerkelijk ding is dat in login.txt weer die "T-L-E Pubstro" genoemd staat, maar nu zonder naam van de hacker erbij. Verder wordt in de batch-file de Serv-U executable wel geïnstalleerd als service, maar ik zie niet hoe het configuratiebestand geïnstalleerd worden. In dat configuratiebestand staan wel weer accounts voor drie users genaamd 'filler', 'l33t' en 'cryptic' (en die laatste heeft de meeste rechten).
Een lange inleiding. Wat is nu mijn vraag? Zoals je kunt zien heb ik een aantal duidelijke bewijzen van computervredebreuk verzameld. Vooral het feit dat de gebruikte exploits op een openbare webserver staan lijkt mij redelijke grond daarvoor. Ik vraag me daarom af of ik hier op een of andere manier werk van kan maken. Heeft iemand hier ervaring mee of suggesties over hoe te werk te gaan?
Direct de service providers mailen lijkt me niet echt een heel goed idee. Die leggen het natuurlijk eerst voor aan hun abbonnees en die zorgt er dan wel voor dat het bewijsmateriaal verdwijnt. Verder weet ik natuurlijk niet zeker of de genoemde hosts ook echt eigendom zijn van de hacker; het kan best zijn dat hij die ook gehackt heeft.
Ik baal er wel een beetje van dat de computers nu onbereikbaar zijn geworden, maar misschien komen ze later weer online. Wat mij ideaal zou lijken is dat ik aangifte zou kunnen doen bij de plaatselijke politie en dat die dan het bestaan van de webserver verifiëren en vervolgens de computer in beslag nemen om uit te zoeken hoe de vork in de steel zit. Helaas lijkt het me niet echt waarschijnlijk dat dat gaat gebeuren, zelfs als ik in contact zou kunnen treden met de politie in Noorwegen of Israel.
Wat kan ik hier dan redelijkerwijs wel mee doen? Of zijn dit soort misdrijven simpelweg niet te bestrijden?
[ Voor 10% gewijzigd door Soultaker op 15-08-2004 02:48 ]
.
. 
, het blijven interessante zaken) en houd ons op de hoogte!
) Helaas is de website/FTP-server ook vanaf andere IP's onbereikbaar nu./u/25932/icon.png?f=community){kind=icon}
/u/86359/icon_ierland_tnet.JPG?f=community){kind=icon}
:strip_icc():strip_exif()/u/41950/revenge1.jpg?f=community)
) en een paar andere een weekje geflood 
/u/37496/icon.png?f=community){kind=icon}