|
| F*** USA Government ? Fra : Torben |
Dato : 18-07-01 15:32 |
|
Hejsa!
Min kammerats PC med win2k server, er blevet hacket - der er lagt nogle
asp/html filer ind i hans wwwroot dir på IIS. Filerne indeholdt bekseden i
Subject!
Nogen der ved hvordan de har skaffet sig adgang ?
Hej
Torben
| |
JH (18-07-2001)
| Kommentar Fra : JH |
Dato : 18-07-01 15:45 |
| | |
Torben (18-07-2001)
| Kommentar Fra : Torben |
Dato : 18-07-01 17:13 |
|
"JH" <newsfilter2@dk2net.dk> wrote in message
news:718blt0tm5kgkn4ghje13ntuc2qjlseug7@4ax.com...
> > Nogen der ved hvordan de har skaffet sig adgang ?
>
> Ved udnyttelse af en bug i IIS... hent HotFix fra MS, eller install
> den nyeste SP.
Ja ok, men der er faktisk installeret SP2 til Win2k server!
| |
Flemming Riis (18-07-2001)
| Kommentar Fra : Flemming Riis |
Dato : 18-07-01 17:17 |
|
On Wed, 18 Jul 2001 18:13:11 +0200, "Torben" <usenet_mail@yahoo.dk>
wrote:
>Ja ok, men der er faktisk installeret SP2 til Win2k server!
og der er x hotfixes uderover dette monstrum der er relevant.
Det kan anbefales at outsource sin sikkerhed eller sin webhostning
hvis man ikke har tiden/resourcene til at passe den, eller finde et
andet produkt.
| |
Torben (18-07-2001)
| Kommentar Fra : Torben |
Dato : 18-07-01 17:52 |
|
"Flemming Riis" <flemming@riis.nu> wrote in message
news:uhdbltsk50is7ke26gbvgfi5v1gdcqf10o@4ax.com...
>
> Det kan anbefales at outsource sin sikkerhed eller sin webhostning
> hvis man ikke har tiden/resourcene til at passe den, eller finde et
> andet produkt.
Ja, ok - men nu er der jo mange der kører IIS på hobby-niveau, og det
beretter jo ikke hackere til den slags unoder!
Og desuden, kan det, som du selv antyder, være svært at finde rundt i
junglen af hotfix'es mm.
Det jeg eftersøgte var mere _hvordan_ de skaffer sig adgang, altså en mere
teknisk beskrivelse.
mvh
Torben
| |
JH (18-07-2001)
| Kommentar Fra : JH |
Dato : 18-07-01 18:17 |
| | |
Torben (18-07-2001)
| Kommentar Fra : Torben |
Dato : 18-07-01 18:39 |
|
"JH" <newsfilter2@dk2net.dk> wrote in message
news:9tgblt8bv3firbcq237gch61atu595tohk@4ax.com...
> > Ja ok, men der er faktisk installeret SP2 til Win2k server!
>
> Uden at skulle gøre mig klog på dette, så ved jeg at enkelte huller er
> blevet åbnet igen, efter en installation af SP2 (længe leve MS ;)
Tjaaa ;)
> Om det er grunden ved jeg ikke, men dette patch lukker det i
> hvertfald.
>
http://a130.ms.a.microsoft.com/f/130/1611/2h/download.microsoft.com/download
/win2000platform/Patch/q269862/NT5/EN-US/Q269862_W2K_SP2_x86_en.EXE
>
Ok, takker !!
Torben
| |
Ole Michaelsen (18-07-2001)
| Kommentar Fra : Ole Michaelsen |
Dato : 18-07-01 18:41 |
|
Torben wrote:
> Ja, ok - men nu er der jo mange der kører IIS på hobby-niveau, og det
> beretter jo ikke hackere til den slags unoder!
Hvis man kører server og ikke sikrer den, beder man _næsten_ om at
få problemer. Uanset om det er på hobbyniveau eller på .gov/.mil-niveau.
> Og desuden, kan det, som du selv antyder, være svært at finde rundt i
> junglen af hotfix'es mm.
Netop derfor bør man outsource, eller undlade at køre nogle services der
kan misbruges. Eller tage sig tiden til at lære at gøre tingene selv.
> Det jeg eftersøgte var mere _hvordan_ de skaffer sig adgang, altså en mere
> teknisk beskrivelse.
Check http://www.securityfocus.org og http://www.securityportal.org. Køb
Hacking Exposed ( http://www.hackingexposed.com/), der er gode afsnit om
(manglen på) Windows NT/2000 sikkerhed.
--
Ole Michaelsen
Copenhagen, Denmark
| |
Jesper Dybdal (18-07-2001)
| Kommentar Fra : Jesper Dybdal |
Dato : 18-07-01 18:50 |
|
"Torben" <usenet_mail@yahoo.dk> wrote:
>
>"Flemming Riis" <flemming@riis.nu> wrote in message
>news:uhdbltsk50is7ke26gbvgfi5v1gdcqf10o@4ax.com...
>>
>
>> Det kan anbefales at outsource sin sikkerhed eller sin webhostning
>> hvis man ikke har tiden/resourcene til at passe den, eller finde et
>> andet produkt.
>
>Ja, ok - men nu er der jo mange der kører IIS på hobby-niveau, og det
>beretter jo ikke hackere til den slags unoder!
Der findes ganske tit nye horrible sikkerhedsfejl i IIS.
Derfor er IIS faktisk meget lidt egnet til at blive kørt på hobby-niveau. En
IIS kræver at man hele tiden følger med i nye patches - eller er indstillet på
en temmelig stor risiko for at få indbrud i ens maskine.
Hvis du ikke ligefrem har hårdt brug for netop at køre IIS, så overvej evt.
Apache - den kan også køre under NT/2000 nu til dags.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).
| |
Flemming Riis (18-07-2001)
| Kommentar Fra : Flemming Riis |
Dato : 18-07-01 21:46 |
|
"Torben" <usenet_mail@yahoo.dk> wrote in message
news:3b55bdb6$0$975$edfadb0f@dspool01.news.tele.dk
> Ja, ok - men nu er der jo mange der kører IIS på hobby-niveau
Dont know, men hvis jeg kørte rally som hobby ville jeg også tage sele på.
> Og desuden, kan det, som du selv antyder, være svært at finde rundt i
> junglen af hotfix'es mm.
Det har jeg ikke antydet, jeg har antydet man skal bruge lidt resroucer på
det.
> Det jeg eftersøgte var mere _hvordan_ de skaffer sig adgang, altså en mere
> teknisk beskrivelse.
Det gør de fordi du ikke har været forbi www.microsoft.com/security ,
Lægger du fixet på når de er ankommet og testet samt følger best practice er
det normalt til at overleve.
Kik på ntbugtraq/securityfocus de forklarer typisk hvad man skal i generalle
træk for at drille en iis, eller flyder der exploit kode rundt de fleste
stedet også
| |
F.Larsen (18-07-2001)
| Kommentar Fra : F.Larsen |
Dato : 18-07-01 19:41 |
|
Hej
Hvis det er den såkaldet unikode hul, så kan du kigge i IIS loggen. Søg efter
"cmd.exe" - du kan her se hvordan de har forsøgt at få adgang til serveren. Du kan
evt poste et uddrag af loggen, her så kan vi kigge på det. Exploiten gør at
hackeren, via http protokollen, kan få fuld kontrol over sevreren, dvs slette
filer fra f.eks. WINNT direktoriet eller overskrive filer i web roden med
"hentydninger" til USA's regering ;=)
Flere servere som jeg står for er "probet" af en orm der systematisk leder efter
huller (unden dog at komme ind). I alle tilfælde er trafikken kommet fra kina
(spionfly sagen ...).
--
Flemming
"Torben" <usenet_mail@yahoo.dk> wrote in message
news:3b559cf1$0$382$edfadb0f@dspool01.news.tele.dk...
> Hejsa!
>
> Min kammerats PC med win2k server, er blevet hacket - der er lagt nogle
> asp/html filer ind i hans wwwroot dir på IIS. Filerne indeholdt bekseden i
> Subject!
| |
PhuPhyt (19-07-2001)
| Kommentar Fra : PhuPhyt |
Dato : 19-07-01 13:07 |
|
On Wed, 18 Jul 2001 20:40:54 +0200, "F.Larsen" <N0Spam@spamfilter.dk>
wrote:
>Flere servere som jeg står for er "probet" af en orm der systematisk leder efter
>huller (unden dog at komme ind). I alle tilfælde er trafikken kommet fra kina
>(spionfly sagen ...).
Har du checket om de servere er blevet probet for nyligt ? Jeg havde
lige en fra ip adresse 202.109.208.179 her for 1-2 dage siden.
inetnum: 202.109.208.176 - 202.109.208.191
netname: QZT-SCH
descr: Teaching Specialism School,Quanzhou
country: CN
admin-c: XY39-AP
tech-c: XY39-AP
mnt-by: MAINT-CHINANET-FJ
changed: daim@fjdcb.fz.fj.cn 20010110
source: APNIC
forbi den anden dag og banke på min firewall, jeg har dog lukket for
port 80 pt.
Så det kunne jo måske tyde på endnu en omgang hvis flere får besøg af
kinesiske ip adresser.
Mvh.
René Rosenlund
--
irc: #swlforum on /server dk2-GamersNet.ath.cx
| |
F.Larsen (19-07-2001)
| Kommentar Fra : F.Larsen |
Dato : 19-07-01 20:54 |
|
Jeg har ikke lige loggen ved hånden, men kan huske at IP var noget med 202.89.*.*
og 202.86.*.* og ja serverene er yderlige blevet testet den 16.07 ved 04 tiden
dansk tid ;=)
IP kommer typisk fra offentlige instutitioner m.m. fra kina, dette møster gentager
sig ca en gang om ugen.
--
Flemming
"PhuPhyt" <__rosenlun__@post6.tele.dk> wrote in message
news:15jdltg0glpol99ior3ifncv9830gjplus@4ax.com...
> On Wed, 18 Jul 2001 20:40:54 +0200, "F.Larsen" <N0Spam@spamfilter.dk>
> wrote:
>
> >Flere servere som jeg står for er "probet" af en orm der systematisk leder
efter
> >huller (unden dog at komme ind). I alle tilfælde er trafikken kommet fra kina
> >(spionfly sagen ...).
>
> Har du checket om de servere er blevet probet for nyligt ? Jeg havde
> lige en fra ip adresse 202.109.208.179 her for 1-2 dage siden.
>
> inetnum: 202.109.208.176 - 202.109.208.191
> netname: QZT-SCH
> descr: Teaching Specialism School,Quanzhou
> country: CN
> admin-c: XY39-AP
> tech-c: XY39-AP
> mnt-by: MAINT-CHINANET-FJ
> changed: daim@fjdcb.fz.fj.cn 20010110
> source: APNIC
| |
Michael (18-07-2001)
| Kommentar Fra : Michael |
Dato : 18-07-01 20:43 |
|
"Torben" <usenet_mail@yahoo.dk> skrev i en meddelelse
news:3b559cf1$0$382$edfadb0f@dspool01.news.tele.dk...
> Hejsa!
>
> Min kammerats PC med win2k server, er blevet hacket - der er lagt nogle
> asp/html filer ind i hans wwwroot dir på IIS. Filerne indeholdt bekseden i
> Subject!
>
> Nogen der ved hvordan de har skaffet sig adgang ?
>
> Hej
> Torben
>
> Hej Torben
Når i nu er igang med at patche så check biblioteket script (kan ikke huske
hele stien) efter en fil der hedder root.exe (den skulle kunne give en evt.
hacker adgang til din webserver) flyt den eller slet den
Michael
| |
JH (18-07-2001)
| Kommentar Fra : JH |
Dato : 18-07-01 21:36 |
|
> check biblioteket script (kan ikke huske hele stien)
default: "C:\Inetpub\scripts"
> efter en fil der hedder root.exe (den skulle kunne give en evt.
> hacker adgang til din webserver) flyt den eller slet den
Slet den, det er en kopi af cmd.exe... jvf. tidligere indlæg.
| |
Flemming Riis (18-07-2001)
| Kommentar Fra : Flemming Riis |
Dato : 18-07-01 21:47 |
|
"Michael" <bit@bat.dk> wrote in message news:9j4p4r$rvt$1@news.cybercity.dk
> Når i nu er igang med at patche så check biblioteket script (kan ikke
huske
> hele stien) efter en fil der hedder root.exe (den skulle kunne give en
evt.
> hacker adgang til din webserver) flyt den eller slet den
root.exe er "normalt" en omdøbt cmd.exe så det er ikke den der er farlig.
Lav en ghost af maskinen hvis nogle vil rode i logfiler senere hen , og
reinstaller æsken du ved
ikke hvad der ellers er "lavet"
| |
El Diablo (18-07-2001)
| Kommentar Fra : El Diablo |
Dato : 18-07-01 22:11 |
|
Hej Torben.
> Nogen der ved hvordan de har skaffet sig adgang ?
Det ved jeg ! :) .. Han har været offer for den "selvspredende" virus
"Sadmind" !! .. Denne angriber Sun Solaris systemer, og fra dem af laver den
en form for smurf (Flere maskiner der flodder samme web, på samme tid) på
Windows IIS servere, og får derved udløst ENDNU en af Microsofts UTALLIGE
sikkerheds bugs, der gør at den kan sprede sig ind i hans Win NT/2000
maskine. Hvor fra den så leder efter flere Sun systemer den så kan sprede
sig til .. og vise'verza !
I han log vil han kunne verificere min påstand, idet hans web sider nu
istedet for bliver genereret gennem to exe filer .. root.exe og cmd.exe
(tror jeg).
Læs mere: http://www.symantec.com/avcenter/security/Content/2001_05_11.html
Sadmind findes også i en variant, der "defacer" ens websider til "F*** China
Goverment" .. sjovt nok ! :)
... Venligst .. El
| |
|
|