---

Jeg har en win 2003 server der kører en wamp webserver install med PHP ,
MySQL under apache, lige pludselig i dag har jeg så fundet en txt fil på mit
skrivebord der hedder mail.txt, den indeholdt en masse @yahoo.com mail
adresser og i mit www dir lå der en mappe der hed mail hvor der så var en
slags spam robot i skrevet i php, hvordan er de kommet ind på maskinen og
har lagt det der ?? jeg bruger normalt remote desktop hvis jeg ikke er
hjemme, jeg har sikkerheds opdateret serveren til nyeste patch (det er en
ORG. win 20003 server), jeg vedlægger lige en stump log, den IP adresse
herunder går igen mange steder i den komplette log , jeg har skiftet
password på serveren, men hvad kan jeg mere gøre ?? håber i kan hjælpe

26-09-2005 12:22:46 Security Success Audit Logon/Logoff 552 NT
AUTHORITY\SYSTEM HULEN "Logon attempt using explicit credentials:
Logged on user:
User Name: HULEN$
Domain: WORKGROUP
Logon ID: (0x0,0x3E7)
Logon GUID: -
User whose credentials were used:
Target User Name: Administrator
Target Domain: HULEN
Target Logon GUID: -

Target Server Name: localhost
Target Server Info: localhost
Caller Process ID: 5936
Source Network Address: 69.25.60.210
Source Port: 4439
"


MVH
Hulen

---

Hulen wrote:
> Jeg har en win 2003 server der kører en wamp webserver install med PHP ,
> MySQL under apache, lige pludselig i dag har jeg så fundet en txt fil på mit
> skrivebord der hedder mail.txt, den indeholdt en masse @yahoo.com mail
> adresser og i mit www dir lå der en mappe der hed mail hvor der så var en
> slags spam robot i skrevet i php, hvordan er de kommet ind på maskinen og
> har lagt det der ?? jeg bruger normalt remote desktop hvis jeg ikke er

Indtil videre siger du deres værktøj er PHP, mon ikke de har fundet et
trivielt hul i din PHP kode?

Det "heldige" er at de ikke er specielt gode til at skjule deres
tilstedeværelse.

Kik efter nogle fildatoer i dit PHP site, og generelt på disken.

Flyt evt. disken over i et ikke komprimiteret system og undersøg den
her, hvilket vil forøge dine chancer for at finde ud af hvad der forgår.

> hjemme, jeg har sikkerheds opdateret serveren til nyeste patch (det er en
> ORG. win 20003 server), jeg vedlægger lige en stump log, den IP adresse

Det sjoveste angreb jeg har set, havde de pillet i update funktionen, så
bagdøren lagde sig ind når man kørte update...hvilket de fleste åbenbart
gør, da de så tror at nu er sikkerhedshullet sikret.


Kan du ikke gør dig selv en tjeneste?

Find fejlen, eller fejlene, for derefter at reinstallere maskinen fra
bunden.

Når den er reinstalleret tager du en komplet backup af den, så du næste
gang ikke skal igennem reinstallationen igen....derefter kan du også
bruge backupen til at sammenligne det angrebet system for at finde
forskelle.

> herunder går igen mange steder i den komplette log , jeg har skiftet
> password på serveren, men hvad kan jeg mere gøre ?? håber i kan hjælpe

Skift af password på serveren er jeg ret sikker på ikke forhindre noget,
da de sandsynlig vis ikke har brugt passwordet i deres angreb.

---

"Christian E. Lysel" wrote:
>
> Hulen wrote:
>
> > herunder går igen mange steder i den komplette log , jeg har skiftet
> > password på serveren, men hvad kan jeg mere gøre ?? håber i kan hjælpe
>
> Skift af password på serveren er jeg ret sikker på ikke forhindre noget,
> da de sandsynlig vis ikke har brugt passwordet i deres angreb.

Og hvis man har skiftet password mens systemet var
kompromiteret er der mulighed for, at de har opsnappet
både det gamle og det nye password. Forhåbentlig
bliver ingen af dem brugt andre steder.

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.