Onderwerp: Hack, wat nu?

Al enkele keren is mijn server (win2000) gehacked door middel van een bestand java32.exe.
Middels dit bestand waren gebruikers in staat om een willekeurig poort te openen waardoor er ruim 10 gb in de recycler map stond..

Een paar vragen heb ik;

- Hoe kan een bezoeker een dll registeren? via poort 80?
- Werkt een hardwarematige firewall hiertegen?
- Er staat altijd een VXD bestandje in system32 waarin gebruikers zijn aangemaakt. Inclusief username en pad naar de lokatie.

Ben benieuwd of iemand hier ervaringen mee heeft, en wat ik er aan kan doen.
Heb diverse checks gedaan van de poorten, alles muv 80,21,25 en wat service ports zoals PCANY, TERMSERV staan open.
Restant is allemaal dicht.

Ik hoor graag jullie ervaringen.

waarschijnlijk komt die hacker er via Termserv in, hij heeft een keer een SAM dump gemaakt, heeft dus nu jou user/pass en kan gewoon wanneer hij maar wilt binnenkomen op je bak. Heb je ook alle hogere porten gechecked of alleen de standaard?
Kijk eens in je system32 map en sorteer op laatst gewijzigd, daar staan waarschijnlijk de files van de "hacker"


greetz,
Michael

Origineel geplaatst door Tinus
Al enkele keren is mijn server (win2000) gehacked door middel van een bestand java32.exe.
Middels dit bestand waren gebruikers in staat om een willekeurig poort te openen waardoor er ruim 10 gb in de recycler map stond..

Een paar vragen heb ik;

- Hoe kan een bezoeker een dll registeren? via poort 80?
- Werkt een hardwarematige firewall hiertegen?
- Er staat altijd een VXD bestandje in system32 waarin gebruikers zijn aangemaakt. Inclusief username en pad naar de lokatie.

Ben benieuwd of iemand hier ervaringen mee heeft, en wat ik er aan kan doen.
Heb diverse checks gedaan van de poorten, alles muv 80,21,25 en wat service ports zoals PCANY, TERMSERV staan open.
Restant is allemaal dicht.

Ik hoor graag jullie ervaringen.

hoe dicht firewall of geen services, als je je win2k updates niet bij houdt ben je al vrij snel een risico, denk eens aan dcom, iis, webdav teveel om op te noemen. Java32.exe 1 bestand, durf er haast goud op te zetten dat het een winshell clone is, of nc, of winrar archive met self exstracting meuk erin die later serv-u in al dat soort zooi mee installed. Kijk eens in je w3svc log wat daar voor info staat, betrekking tot unicode bug. Zo kan ik nog wel even door gaan .

smtp server, ftp server ? wat voor standaard services heb je draaien ?

Origineel geplaatst door Calimer0
waarschijnlijk komt die hacker er via Termserv in, hij heeft een keer een SAM dump gemaakt, heeft dus nu jou user/pass en kan gewoon wanneer hij maar wilt binnenkomen op je bak. Heb je ook alle hogere porten gechecked of alleen de standaard?
Kijk eens in je system32 map en sorteer op laatst gewijzigd, daar staan waarschijnlijk de files van de "hacker"


greetz,
Michael

dan moet hij wel een copy hebben van die sam file, of de repair file. Meestal alleen toegangelijk als je sys priv. hebt. Denk eerder dat er een exploit is gebruikt die toegang verschafte tot de server.

ooh @TS, is dit een server thuis of in dc of wat voor andere snelle lijn, lijkt ermeer op dat er constant een stro van je bak wordt gemaakt.

Ja ik denk ook dat hij eerst is binnengekomen met een exploit, en vervolgens via Termserv kan binnendringen omdat hij een dump van zijn pword files heeft gemaakt.

Al enkele keren is mijn server (win2000) gehacked door middel van een bestand java32.exe.

al meerdere keren, misschien na de eerste keer wel zo goed als alles dichtgegooid, maar net niet genoeg:P

Het is een standaard webserver, voorzien van PHP en ASP ondersteuning. Hij draait momenteel bij een grote provider in NL. Daarnaast wordt 'ie wekelijks ge-update door een bedrijf wat daarin gespecialiseerd is.

Naast de standaardpoorten (3306, 80, 25, 21, Term Serv) staan er een aantal poorten in de hogere regionen open.

Inderdaad kwam ik in de system32 map een paar bestanden tegen warbij ik mijn twijfels had

servustartuplog.txt (Hierin stond vermeld dat deze service was opgestart, en luisterde naar ftp commando's op bepaalde poorten)
Daarnaast trof ik een .dll aan waarin usernames werden aangemaakt en specifieke paden werden aangegeven.

Voorkomt een hardwarematige firewall dit?

Mijn ervaring met een gehackte windows box is, dat je hem niet meer dicht krijgt tenzij je echt heel kort op de bal wist te spelen. Ik bedoel hiermee, als je bak nu gehacked wordt, je merkt het enkele uren later en je gaat meteen aan de slag, dan is misschien nog iets van te maken. Je kan alle bestanden die de laatste dag veranderd zijn aan een grondig onderzoek onderwerpen, en dat is onbegonnen werk als je pakweg de bestanden van de laatste 14 dagen moet gaan onderzoeken.

servustartuplog.txt <= ze hebben dus serv-u ftp op je bak geinstalleerd, een ftp server die FXP ondersteund, waardoor ze van server tot server bestanden kunnen verplaatsen (meestal aan erg hoge snelheden) bekijk je MRTG grafiekjes maar eens, waarschijnlijk heb je erg leuke hoge pieken.

't Zou me geen haar verwonderen of ze hebben tientallen trojans op je bak draaien, hebben een dump van je sam, waardoor ze alle mogelijk paswoorden kennen, etc etc etc ...

Een hardware matige firewall is hier één hulp in maar alles behalve een absolute oplossing. Zonder zo'n firewall, kunnen ze pakweg 10 FTP servers draaien op 10 willekeurige poorten, met een hardware matige firewall moeten ze zich beperken tot de poorten die effectief open staan.

Als het een "troost" kan zijn, ik heb gemerkt dat die FXP groepen meestal je bak hacken om er een PUb van te maken, dat kost je een pak aan dataverkeer, maar ze laten meestal je server in tackt, ze maken niets kapot.

Als het enigzins mogilijks is installeer een nieuwe back, timmer die goed dicht en zet je data over, stukje bij beetje !

Just my 2 cents

Origineel geplaatst door ddepuydt
Mijn ervaring met een gehackte windows box is, dat je hem niet meer dicht krijgt tenzij je echt heel kort op de bal wist te spelen. Ik bedoel hiermee, als je bak nu gehacked wordt, je merkt het enkele uren later en je gaat meteen aan de slag, dan is misschien nog iets van te maken. Je kan alle bestanden die de laatste dag veranderd zijn aan een grondig onderzoek onderwerpen, en dat is onbegonnen werk als je pakweg de bestanden van de laatste 14 dagen moet gaan onderzoeken.

servustartuplog.txt <= ze hebben dus serv-u ftp op je bak geinstalleerd, een ftp server die FXP ondersteund, waardoor ze van server tot server bestanden kunnen verplaatsen (meestal aan erg hoge snelheden) bekijk je MRTG grafiekjes maar eens, waarschijnlijk heb je erg leuke hoge pieken.

't Zou me geen haar verwonderen of ze hebben tientallen trojans op je bak draaien, hebben een dump van je sam, waardoor ze alle mogelijk paswoorden kennen, etc etc etc ...

Een hardware matige firewall is hier één hulp in maar alles behalve een absolute oplossing. Zonder zo'n firewall, kunnen ze pakweg 10 FTP servers draaien op 10 willekeurige poorten, met een hardware matige firewall moeten ze zich beperken tot de poorten die effectief open staan.

Als het een "troost" kan zijn, ik heb gemerkt dat die FXP groepen meestal je bak hacken om er een PUb van te maken, dat kost je een pak aan dataverkeer, maar ze laten meestal je server in tackt, ze maken niets kapot.

Als het enigzins mogilijks is installeer een nieuwe back, timmer die goed dicht en zet je data over, stukje bij beetje !

Just my 2 cents

hehe, wie weet stond er wel de niuwe ut2k4 op .... Maar ik vind dat je dat probleem bij het bedrijf moet neerleggen wie voor de updates zorgt. Als die servu aanwezig was is er een niet al te moeilijk lek uitgebuit. Vind het zeer slordig van het bedrijf die je updates verzorgen, aangezien het al niet de eerste keer is Wat betreft het opschonen van zo`n bak is niet zo heel moeilijk. Serv-u eraf, vaak ook nog een sfind ( scan tool ) en een backdoor, winshell / netcat / dameware.

Origineel geplaatst door Calimer0
Ja ik denk ook dat hij eerst is binnengekomen met een exploit, en vervolgens via Termserv kan binnendringen omdat hij een dump van zijn pword files heeft gemaakt.

Al enkele keren is mijn server (win2000) gehacked door middel van een bestand java32.exe.

al meerdere keren, misschien na de eerste keer wel zo goed als alles dichtgegooid, maar net niet genoeg:P

waarom als je binnen bent een sam file bruteforce ? meestal als je binnen bent via sploit heb je sys rechten. Vaak genoeg rechten om een nieuwe user of service aan te maken. Er zijn vele mooiere remote tools dan Termserv. Als ik TS was zou ik eens een TCP/UDP tool draaien, ( netstat -a ) die laten meestal zien welke poorten er open zijn en op listening staan.

Origineel geplaatst door Tinus
Het is een standaard webserver, voorzien van PHP en ASP ondersteuning. Hij draait momenteel bij een grote provider in NL. Daarnaast wordt 'ie wekelijks ge-update door een bedrijf wat daarin gespecialiseerd is.

Naast de standaardpoorten (3306, 80, 25, 21, Term Serv) staan er een aantal poorten in de hogere regionen open.

Inderdaad kwam ik in de system32 map een paar bestanden tegen warbij ik mijn twijfels had

servustartuplog.txt (Hierin stond vermeld dat deze service was opgestart, en luisterde naar ftp commando's op bepaalde poorten)
Daarnaast trof ik een .dll aan waarin usernames werden aangemaakt en specifieke paden werden aangegeven.

Voorkomt een hardwarematige firewall dit?

er is ook nog een executable, die serv-u bestuurt. Tevens staat in die dll ook nog dll's aangegeven voor bijvoorbeeld crc checks en dat soort dingen.

het zijn niet echt slimme hackers, als ze servustartuplog hebben staan, kijk een of een van deze porten open staat of heeft gestaan: 1257, 3127, 6129, TS, sql, (draai je Apache? oude versies zijn vul)... zo kan ik eigelijk nog wel een lijst maken, kan je anders even een netstat -a dumpje hier neergooien, dan kunnen we even kijken welke port hij waarschijnlijk gebruikt, en anders heb ik ook nog wel een programmaatje die kan kijken welke programma welke port gebruikt.
ik hoor het wel

Greetz,
Michael

Ik heb hier het bestandje toegevoegd.
Ben benieuwd wat jullie ervan zeggen..

Bedankt voor de moeite alvast!

heb je niet met je ms-sql default user/pass nog aanstaan?... btje dom van die gast die je server beveiligd, dat ze daardoor binnen zijn gekomen?

MS SQL draait op een server bij de provider.
We hebben zelf alleen MYSQL, en daar is het default passw uitgehaald.