Onderwerp: poort 100 open windows 2000 server gehackt

Hallo,

Op een van me servers draait windows 2000 en die is laatst gehackt.

Men heeft poort 100 / 7999 geopend (ik weet niet welke applicatie).
Ze hebben er een ftp server erop geinstalleerd en vol gezet met illegale warez.
Tevens kwam ik het volgende bestand tegen:

Serverstartinfo.txt

Sun 24Apr05 22:38:30 - GoD- LibaryVB This Tool hacks your System you Motherfucker Admin. This Program is Modded by the ultimate GoD 2003 . Don't Forget .
Sun 24Apr05 22:38:30 - the ultimate GoD 2003 . Don't Forget .
Sun 24Apr05 22:38:31 - PROBLEM: Cannot find/load DLL tibot.dll (can also happen if the DLL uses other DLLs which are not available)
Sun 24Apr05 22:38:31 - PROBLEM: Cannot find/load DLL filter.dll (can also happen if the DLL uses other DLLs which are not available)
Sun 24Apr05 22:38:31 - Using WinSock 2.0 - max. 32767 sockets
Sun 24Apr05 22:38:31 - GOD hacked your System Motherfucker.......
Sun 24Apr05 22:38:32 - Server lauscht auf Port 7999, und IP xxxxxxxxx, 127.0.0.1
Sun 24Apr05 22:38:32 - Server lauscht auf Port 100, und IP 127.0.0.1
Sun 24Apr05 22:38:32 - Geklauter Key gefunden.....

Heeft iemand hier ervaring mee?

Ps. ik heb alle aangemaakte accounts verwijderd en poorten geblokt (firewall).

Alvast bedankt

Greetz Robert

Zoek eens naar .ini files in de meeste gevallen gebruiken hackers serv-u die meestal een .ini file gebruikt. Ook moet je vinden hoe het programma heet waar ze de ftp server mee opzetten. Meestal reggen ze deze in regedit. En als het goeie hackers hebben sercure ze de exploit waar ze binnen mee zijn gekomen en maken een backdoor.

Groet,

Erik jan

Ps. Als u meer hulpt nodig heeft kunt u gerust contact opnemen.

Hoi,

Meestal komen dit soort mensen via een exploit op je systeem binnen. Het verwijderen van de FTP server is dan niet afdoende kwestie van paar daagjes en ze zitten er weer op.
Kijk in je process list van windows of daar rare processen tussen staan. Meestal installeren die mensen (bijna altijd duitsers) ook een aantal services die na rebooten automatisch opnieuw worden opgestart. Zodat je systeem weer opnieuw helemaal open staat. Controleer ook of er nieuwe admin accounts zijn aangemaakt op je server.

Nadat je alles verwijderd hebt is het belangrijk dat je server up to date is. Zorg dat je alle MS patches steeds blijft installeren. Het zelfde geldt voor de overige software (Database / PHP etc..etc) Dat hoort nu eenmaal bij het beheer van een server.

Als je hulp nodig hebt dan hoor ik het graag.

Met vriendelijke groet,
Marcel Witt

Sun 24Apr05 22:38:32 - Server lauscht auf Port 100, und IP 127.0.0.1
Sun 24Apr05 22:38:32 - Geklauter Key gefunden.....

klinkt als...

hahah hoe kan je nou weten of dat het altijd duitsers zijn.
deze exploit kan misschien door een duitser zijn gemaakt maar hoeft hem op deze server niet uitgevoerd hebben. Dus dat is een beetje lulkoek maar voor de rest komt het verhaal over heen hoe de hede dagese fxp hackers te werk gaat.

Origineel geplaatst door PlanPro
Hoi,

Meestal komen dit soort mensen via een exploit op je systeem binnen. Het verwijderen van de FTP server is dan niet afdoende kwestie van paar daagjes en ze zitten er weer op.
Kijk in je process list van windows of daar rare processen tussen staan. Meestal installeren die mensen (bijna altijd duitsers) ook een aantal services die na rebooten automatisch opnieuw worden opgestart. Zodat je systeem weer opnieuw helemaal open staat. Controleer ook of er nieuwe admin accounts zijn aangemaakt op je server.

Nadat je alles verwijderd hebt is het belangrijk dat je server up to date is. Zorg dat je alle MS patches steeds blijft installeren. Het zelfde geldt voor de overige software (Database / PHP etc..etc) Dat hoort nu eenmaal bij het beheer van een server.

Als je hulp nodig hebt dan hoor ik het graag.

Met vriendelijke groet,
Marcel Witt

Ik heb alle accounts en ftpserver enz verwijdert.

Echter zit ik met het probleem hoe ik de poort weer sluit.
(momenteel heb ik het met een firewall gedaan maar ik wil de poort ook op de server zelf dicht hebben).

Ik zal nog eens aandachtig naar de services kijken.

Alvast bedankt voor de hulp!

mischien is het niet onverstandig de server opnieuw te installeren
dan weet je zeker dat er niets meer van die gasten op staat
kost helaas wel wat tijd

suc6