---

Hejsa!

Min kammerats PC med win2k server, er blevet hacket - der er lagt nogle
asp/html filer ind i hans wwwroot dir på IIS. Filerne indeholdt bekseden i
Subject!

Nogen der ved hvordan de har skaffet sig adgang ?

Hej
Torben

---

> Nogen der ved hvordan de har skaffet sig adgang ?

Ved udnyttelse af en bug i IIS... hent HotFix fra MS, eller install
den nyeste SP.

Det er dog ret længe siden at det blev omtalt for første gang.
http://www.computerworld.dk/Vis_artikel.asp?ArticleID=10690

---

"JH" <newsfilter2@dk2net.dk> wrote in message
news:718blt0tm5kgkn4ghje13ntuc2qjlseug7@4ax.com...
> > Nogen der ved hvordan de har skaffet sig adgang ?
>
> Ved udnyttelse af en bug i IIS... hent HotFix fra MS, eller install
> den nyeste SP.

Ja ok, men der er faktisk installeret SP2 til Win2k server!

---

On Wed, 18 Jul 2001 18:13:11 +0200, "Torben" <usenet_mail@yahoo.dk>
wrote:


>Ja ok, men der er faktisk installeret SP2 til Win2k server!

og der er x hotfixes uderover dette monstrum der er relevant.

Det kan anbefales at outsource sin sikkerhed eller sin webhostning
hvis man ikke har tiden/resourcene til at passe den, eller finde et
andet produkt.

---

"Flemming Riis" <flemming@riis.nu> wrote in message
news:uhdbltsk50is7ke26gbvgfi5v1gdcqf10o@4ax.com...
>

> Det kan anbefales at outsource sin sikkerhed eller sin webhostning
> hvis man ikke har tiden/resourcene til at passe den, eller finde et
> andet produkt.

Ja, ok - men nu er der jo mange der kører IIS på hobby-niveau, og det
beretter jo ikke hackere til den slags unoder!

Og desuden, kan det, som du selv antyder, være svært at finde rundt i
junglen af hotfix'es mm.

Det jeg eftersøgte var mere _hvordan_ de skaffer sig adgang, altså en mere
teknisk beskrivelse.

mvh
Torben

---

> Ja ok, men der er faktisk installeret SP2 til Win2k server!

Uden at skulle gøre mig klog på dette, så ved jeg at enkelte huller er
blevet åbnet igen, efter en installation af SP2 (længe leve MS ;)

Om det er grunden ved jeg ikke, men dette patch lukker det i
hvertfald.
http://a130.ms.a.microsoft.com/f/130/1611/2h/download.microsoft.com/download/win2000platform/Patch/q269862/NT5/EN-US/Q269862_W2K_SP2_x86_en.EXE


> svært at finde rundt i junglen af hotfix'es mm.

Jeg kan anbefalde at benytte "Hotfix Checking Tool", som checker for
nye HotFix.
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168


> Det jeg eftersøgte var mere _hvordan_ de skaffer sig adgang, altså en mere
> teknisk beskrivelse.

Ved brug af cmd.exe (kommandofortolkeren) kan du f.eks. liste et dir,
kopierer filer, o.s.v på de ms-servere som ikke har lukket hullet.
http://mydomain/scripts/..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c+dir

---

"JH" <newsfilter2@dk2net.dk> wrote in message
news:9tgblt8bv3firbcq237gch61atu595tohk@4ax.com...
> > Ja ok, men der er faktisk installeret SP2 til Win2k server!
>
> Uden at skulle gøre mig klog på dette, så ved jeg at enkelte huller er
> blevet åbnet igen, efter en installation af SP2 (længe leve MS ;)

Tjaaa ;)

> Om det er grunden ved jeg ikke, men dette patch lukker det i
> hvertfald.
>
http://a130.ms.a.microsoft.com/f/130/1611/2h/download.microsoft.com/download
/win2000platform/Patch/q269862/NT5/EN-US/Q269862_W2K_SP2_x86_en.EXE
>

Ok, takker !!

Torben

---

Torben wrote:

> Ja, ok - men nu er der jo mange der kører IIS på hobby-niveau, og det
> beretter jo ikke hackere til den slags unoder!

Hvis man kører server og ikke sikrer den, beder man _næsten_ om at
få problemer. Uanset om det er på hobbyniveau eller på .gov/.mil-niveau.

> Og desuden, kan det, som du selv antyder, være svært at finde rundt i
> junglen af hotfix'es mm.

Netop derfor bør man outsource, eller undlade at køre nogle services der
kan misbruges. Eller tage sig tiden til at lære at gøre tingene selv.

> Det jeg eftersøgte var mere _hvordan_ de skaffer sig adgang, altså en mere
> teknisk beskrivelse.

Check http://www.securityfocus.org og http://www.securityportal.org. Køb
Hacking Exposed (http://www.hackingexposed.com/), der er gode afsnit om
(manglen på) Windows NT/2000 sikkerhed.

--
Ole Michaelsen
Copenhagen, Denmark

---

"Torben" <usenet_mail@yahoo.dk> wrote:

>
>"Flemming Riis" <flemming@riis.nu> wrote in message
>news:uhdbltsk50is7ke26gbvgfi5v1gdcqf10o@4ax.com...
>>
>
>> Det kan anbefales at outsource sin sikkerhed eller sin webhostning
>> hvis man ikke har tiden/resourcene til at passe den, eller finde et
>> andet produkt.
>
>Ja, ok - men nu er der jo mange der kører IIS på hobby-niveau, og det
>beretter jo ikke hackere til den slags unoder!

Der findes ganske tit nye horrible sikkerhedsfejl i IIS.

Derfor er IIS faktisk meget lidt egnet til at blive kørt på hobby-niveau. En
IIS kræver at man hele tiden følger med i nye patches - eller er indstillet på
en temmelig stor risiko for at få indbrud i ens maskine.

Hvis du ikke ligefrem har hårdt brug for netop at køre IIS, så overvej evt.
Apache - den kan også køre under NT/2000 nu til dags.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

"Torben" <usenet_mail@yahoo.dk> wrote in message
news:3b55bdb6$0$975$edfadb0f@dspool01.news.tele.dk

> Ja, ok - men nu er der jo mange der kører IIS på hobby-niveau

Dont know, men hvis jeg kørte rally som hobby ville jeg også tage sele på.

> Og desuden, kan det, som du selv antyder, være svært at finde rundt i
> junglen af hotfix'es mm.

Det har jeg ikke antydet, jeg har antydet man skal bruge lidt resroucer på
det.

> Det jeg eftersøgte var mere _hvordan_ de skaffer sig adgang, altså en mere
> teknisk beskrivelse.

Det gør de fordi du ikke har været forbi www.microsoft.com/security ,

Lægger du fixet på når de er ankommet og testet samt følger best practice er
det normalt til at overleve.

Kik på ntbugtraq/securityfocus de forklarer typisk hvad man skal i generalle
træk for at drille en iis, eller flyder der exploit kode rundt de fleste
stedet også

---

Hej

Hvis det er den såkaldet unikode hul, så kan du kigge i IIS loggen. Søg efter
"cmd.exe" - du kan her se hvordan de har forsøgt at få adgang til serveren. Du kan
evt poste et uddrag af loggen, her så kan vi kigge på det. Exploiten gør at
hackeren, via http protokollen, kan få fuld kontrol over sevreren, dvs slette
filer fra f.eks. WINNT direktoriet eller overskrive filer i web roden med
"hentydninger" til USA's regering ;=)

Flere servere som jeg står for er "probet" af en orm der systematisk leder efter
huller (unden dog at komme ind). I alle tilfælde er trafikken kommet fra kina
(spionfly sagen ...).

--
Flemming

"Torben" <usenet_mail@yahoo.dk> wrote in message
news:3b559cf1$0$382$edfadb0f@dspool01.news.tele.dk...
> Hejsa!
>
> Min kammerats PC med win2k server, er blevet hacket - der er lagt nogle
> asp/html filer ind i hans wwwroot dir på IIS. Filerne indeholdt bekseden i
> Subject!

---

On Wed, 18 Jul 2001 20:40:54 +0200, "F.Larsen" <N0Spam@spamfilter.dk>
wrote:

>Flere servere som jeg står for er "probet" af en orm der systematisk leder efter
>huller (unden dog at komme ind). I alle tilfælde er trafikken kommet fra kina
>(spionfly sagen ...).

Har du checket om de servere er blevet probet for nyligt ? Jeg havde
lige en fra ip adresse 202.109.208.179 her for 1-2 dage siden.

inetnum: 202.109.208.176 - 202.109.208.191
netname: QZT-SCH
descr: Teaching Specialism School,Quanzhou
country: CN
admin-c: XY39-AP
tech-c: XY39-AP
mnt-by: MAINT-CHINANET-FJ
changed: daim@fjdcb.fz.fj.cn 20010110
source: APNIC

forbi den anden dag og banke på min firewall, jeg har dog lukket for
port 80 pt.

Så det kunne jo måske tyde på endnu en omgang hvis flere får besøg af
kinesiske ip adresser.

Mvh.
René Rosenlund
--
irc: #swlforum on /server dk2-GamersNet.ath.cx

---

Jeg har ikke lige loggen ved hånden, men kan huske at IP var noget med 202.89.*.*
og 202.86.*.* og ja serverene er yderlige blevet testet den 16.07 ved 04 tiden
dansk tid ;=)

IP kommer typisk fra offentlige instutitioner m.m. fra kina, dette møster gentager
sig ca en gang om ugen.

--
Flemming


"PhuPhyt" <__rosenlun__@post6.tele.dk> wrote in message
news:15jdltg0glpol99ior3ifncv9830gjplus@4ax.com...
> On Wed, 18 Jul 2001 20:40:54 +0200, "F.Larsen" <N0Spam@spamfilter.dk>
> wrote:
>
> >Flere servere som jeg står for er "probet" af en orm der systematisk leder
efter
> >huller (unden dog at komme ind). I alle tilfælde er trafikken kommet fra kina
> >(spionfly sagen ...).
>
> Har du checket om de servere er blevet probet for nyligt ? Jeg havde
> lige en fra ip adresse 202.109.208.179 her for 1-2 dage siden.
>
> inetnum: 202.109.208.176 - 202.109.208.191
> netname: QZT-SCH
> descr: Teaching Specialism School,Quanzhou
> country: CN
> admin-c: XY39-AP
> tech-c: XY39-AP
> mnt-by: MAINT-CHINANET-FJ
> changed: daim@fjdcb.fz.fj.cn 20010110
> source: APNIC

---

"Torben" <usenet_mail@yahoo.dk> skrev i en meddelelse
news:3b559cf1$0$382$edfadb0f@dspool01.news.tele.dk...
> Hejsa!
>
> Min kammerats PC med win2k server, er blevet hacket - der er lagt nogle
> asp/html filer ind i hans wwwroot dir på IIS. Filerne indeholdt bekseden i
> Subject!
>
> Nogen der ved hvordan de har skaffet sig adgang ?
>
> Hej
> Torben
>
> Hej Torben

Når i nu er igang med at patche så check biblioteket script (kan ikke huske
hele stien) efter en fil der hedder root.exe (den skulle kunne give en evt.
hacker adgang til din webserver) flyt den eller slet den


Michael

---

> check biblioteket script (kan ikke huske hele stien)

default: "C:\Inetpub\scripts"


> efter en fil der hedder root.exe (den skulle kunne give en evt.
> hacker adgang til din webserver) flyt den eller slet den

Slet den, det er en kopi af cmd.exe... jvf. tidligere indlæg.

---

"Michael" <bit@bat.dk> wrote in message news:9j4p4r$rvt$1@news.cybercity.dk

> Når i nu er igang med at patche så check biblioteket script (kan ikke
huske
> hele stien) efter en fil der hedder root.exe (den skulle kunne give en
evt.
> hacker adgang til din webserver) flyt den eller slet den

root.exe er "normalt" en omdøbt cmd.exe så det er ikke den der er farlig.

Lav en ghost af maskinen hvis nogle vil rode i logfiler senere hen , og
reinstaller æsken du ved
ikke hvad der ellers er "lavet"

---

Hej Torben.

> Nogen der ved hvordan de har skaffet sig adgang ?

Det ved jeg ! :) .. Han har været offer for den "selvspredende" virus
"Sadmind" !! .. Denne angriber Sun Solaris systemer, og fra dem af laver den
en form for smurf (Flere maskiner der flodder samme web, på samme tid) på
Windows IIS servere, og får derved udløst ENDNU en af Microsofts UTALLIGE
sikkerheds bugs, der gør at den kan sprede sig ind i hans Win NT/2000
maskine. Hvor fra den så leder efter flere Sun systemer den så kan sprede
sig til .. og vise'verza !

I han log vil han kunne verificere min påstand, idet hans web sider nu
istedet for bliver genereret gennem to exe filer .. root.exe og cmd.exe
(tror jeg).

Læs mere: http://www.symantec.com/avcenter/security/Content/2001_05_11.html

Sadmind findes også i en variant, der "defacer" ens websider til "F*** China
Goverment" .. sjovt nok ! :)

... Venligst .. El