|
Server gehackt
Einer unserer kundenserver wurde gehackt. Der arsch hat auf dem server den serv-u ftp server installiert. Wir habens erst gemerkt als kein plattenplatz mehr frei war, dann haben wir im inetpub verzeichnis diverse cd images gefunden (unreal tournament usw.) insgesamt 3,8GB. Sehr schlau kann der typ aber nicht gewesen sein weils 64kbit uplink gibt :p . Mich würde jetzt interssieren wie ich an den heini rann komme. Durch das erstellungsdatum der ordner konnte ich den zeitpunkt des angriffs feststellen und im firewall log gabs 10 minuten vorher ein paar von diesen einträgen:
| 07:20:57 |ICMP type:00011 code:00000 |vulnerability | 14|Aug 13 02 |From:193.110.28.35 To:62.xxx.xxx.xxx |attack icmp |block Ich bin mir aber nicht sicher in wiefern diese alerts mit dem tatsächlichen angriff zusammenhängen. Hat wer info über diese art angriff bzw. selber angriffe von oben genannter ip adresse gehabt? Nochwas die ftp server programmdatei wurde in sede.exe umbenannt, ich weis aber nicht wie sie gestartet wurde. In der registry gibts nichts, die autostart sämtlicher benutzer sind auch leer :confused: |
Was für eine schwache Firewall habt ihr?
Glaubst du nicht das der Angriff aus eurem Netz kam? Sloter |
die ip stammt von "Raiffeisen Informatik Zentrum GmbH at"
http://www.checkdomain.com/cgi-bin/c...193.110.28.35+ also ich glaub, dieser eintrag im fw-log hat nix mit dem hack zu tun ... ICMP 11 bedeutet 'Zeitüberschreitung der Anfrage' http://www.cotse.com/icmptypes.html |
In dem netz gibts 5 benutzer die allessamt nicht viel ahnung haben.
Als firewall dient eine zyxel zywall 10, allerdings steht ein terminalserver dahinter der von aussen zugänglich sein muss, und zwar von allen ip adressen. Ich hab öfters test portscans gemacht und da war alles dicht. |
btw: welches server-os und welche firewall verwendet ihr?
|
Zitat:
server os kann da eigentlich nur nt4 oder w2k sein... :rolleyes: |
Viel Ahnung braucht man ja nicht umbedingt für einen FTP-Server unter Win.
Doppelclick und fertig ist die Laube. Ist jetzt Port 21 für FTP auf der Firewall offen? Wenn ja, war er gut, wenn nein war es wer aus deinem Netz. Loggt ihr den Traffic mit? Ich würde alles so lassen und mich auf die Lauer legen :D Sloter |
Das thema weckt interesse wie man sieht, 5 antworten in weniger als 5 minuten :D .
Die benutzer kennwörter sind angeblich sicher, meine vermutung ist dass sich irgendein sohnemann bzw. tochterfrau :D eines mitarbeiters da ausgetobt hat. So wies aussieht wurde nicht mal ein autostart eintrag erstellt, dh nach dem ersten reboot wars eh vorbei. Ich bekomme täglich die firewall logs, und da sind pro tag maximal 20 einträge drinn, nie gabs einen portscan. os: w2k server sp2 |
Zitat:
|
Hier ist die konfig datei von ftp server:
[GLOBAL] Version=3.0.0.17 RegistrationKey=6dYwuCzKYyiSYQm0Hlp0OmDivgW8pyxAM2 ZMLSpgg9Ywu+psehNIYwi0Ex4bTweO33ac5V4vRxJZXk8MhblF zGyrF1z1DWbWfzZaVAWW LocalSetupPassword=462D130404 LocalSetupPortNo=777 ProcessID=2708 AntiHammer=1 AntiHammerWindow=60 AntiHammerTries=2 AntiHammerBlock=1800 PacketTimeOut=300 [DOMAINS] Domain1=0.0.0.0||1967|666 Domain 666|1 [Domain1] User1=admin|1|0 User2=leech|1|0 LogSystemMes=0 LogSecurityMes=0 LogGETs=0 LogPUTs=0 LogFileSystemMes=0 LogFileSecurityMes=0 LogFileGETs=0 LogFilePUTs=0 ReplyHello=Serv-U FTP Server for WinSock ready... ReplyHelp=Direct comments or bugs to bug@bug.com. User3=super|1|0 [USER=admin|1] Password=lc60D3937FB1BAA17FC55EA86D0CED7B6D HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub RelPaths=1 HideHidden=1 MaxUsersLoginPerIP=3 TimeOut=3600 MaxNrUsers=3 Maintenance=System Access1=\|RWAMELCDP [USER=leech|1] Password=qk7EFCD6E1E63F89A85BC02046E819025D HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub RelPaths=1 HideHidden=1 MaxUsersLoginPerIP=1 TimeOut=300 MaxNrUsers=10 Access1=\|RALP [USER=super|1] Password=to4F68CF541D5CB6B680687F0C7560B07C HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub TimeOut=1800 Maintenance=System Access1=d:\|RWAMELCDP Access2=c:\|RWAMELCDP Nachdem war hier port 777 im spiel, nur verstehe ich nicht die die daten draufgekommen sind weil port 777 sowie port 21 waren immer zu. Die einzigen offenen ports waren 3389 und 80, wobei selbst die bei einem portscan nicht aufscheinen würden. |
port 777 wird von serv u verwendet...
serv u is ab v3 in 2 teile geteilt... das server programm und das config/admin programm, diese kommuniziern über den port 777... |
>>User2=leech|1|0
;) es wird halt irgendwer gwesen sein, und um anleitungen etc. zu sowas zu finden reicht google und a bissl zeit aus.. traurig aber wahr |
Was ich an der ganzen sache nicht verstehe, ist dass wenn man so einen ftp server einrichtet muss es auch leute geben die ihn benutzen. Es wurden seitdem zwar einige zugriffe auf port 21 registriert allerdings auch nicht mehr als vorher ausserdem waren alle an die ip des routers und nicht an die ip des servers gerichtet. Zugriffsversuche auf port 777 gabs überhaupt keine.
|
die zugriffe auf port 777 laufen ja auch auf dem gleichen rechner ab, zumindest meistens... kann aber sein, dass da einfach nur die essentiellen dateien rüberkopiert wurden und das wars... und die config schon vorher gemacht wurde... :confused:
|
Ob es klug wäre, die gehackte Maschine gleich zu benutzen ?
|
2 sachen verstehe ich noch immer nicht, wie sind kanpp 4 GB an warez auf den server gekommen, und wieso gibts absolut keine verdächtigen zugriffe von aussen? Über eine terminal sitzung kann man ja keine daten übertragen, und das pw von der firewall kannte nur ich und dass war sicher. Laufwerk c hatte nur die standard c$ administrative freigabe, dh. nur der admin hätte da was reinkopieren können. Die einzige erklärung für mich ist dass sich jemand vor ort als admin eingeloggt hat und das ftp programm sowie die software rüberkopiert hat. Ich hab halt auditing für alle benutzer in diesem ordner aktiviert und werd mal sehen was sich tut.
Eine sache gibts noch, 2 tage nachdem dieses ftp zeug installiert wurde an einem freitag nachmittag war die internet verbindung im eimer. Ping response zeiten von 9 Sekunden (ja NEUN, 9000ms), router resets brachten nichts, erst ein server reboot am montag hat das problem für ein paar stunden gelöst danach gings wieder los. Man könnte meinen dass da die warez kopiert wurden, allerdings hat die firewall nichts auffälliges gemeldet, die logs haben mich trotz verbindungsproblemen erreicht. Es gab nur zugriffsversuche auf die firewall keinen einzigen auf die ip adresse des servers :confused: |
Steht dieser Server beim Kunden ? Wer weiß schon wieviele witzige Mitarbeiter in einer Firma einen Drang haben, am Server rumzufummeln :D
|
Ich glaube es gibt genug dumme User die denken, dass es keiner merken würde das sie einen FTP Server rennen lassen und etwas Warez verbreiten. Du wirst diesen DAU gleich gefunden haben :D .
|
Glaubts mir dort gibts keinen der sowas zsammbringen würde, vielleicht ein sicherngsband wechseln oder einen pc einschalten, aber software installieren ... nie :lol: is ein reiner dau verein, ausserdem gibts nur 5 mitarbeiter.
|
DAU's machen auch das unmögliche möglich.
Aber Sicherungsband wechseln ist eh eine gute Leistung :lol: |
Vielleicht hat jemand den Traffic mit einen Sniffer Programm abgehört und so ein Kennwort für den Server herrausgefunden... (ist ein Kinderspiel) Nur wenn Port 21 zu war geht das wohl nicht mehr .. :-(
andere Frage: Kann man bei deinen OS herrausfinden wer der Ersteller der Dateien war ???? Auf jeden Fall ein guter Tipp: Alle relevanten Passwörter ändern !!!! Aber es stellt sich nur die Frage: Wie bekommt man 4 Gigabyte hinauf, wenn nur 64 KBit Uplink vorhanden sind. Wenn ich mich nicht verrechnet habe müßte der Upload vorgang ca. 6 Tage gedauert haben. (Wenn 6 Tage der WAN Zugang voll im Einsatz ist, sollte man das schon merken ?) Ohne deine Mitarbeiter zu verdächtigen, ich würde mal überprüfen ob der Angriff nicht von drinnen kam. Hast du WLAN ? (Das könnte ein Sicherheitsloch sein!) |
Zitat:
|
-64kbit uplink d.h. von server ins internet (adsl), um daten auf dem server zu schicken sind eh 512kbit vorhanden.
-kein wlan -sniffer kann ich mir nicht vorstellen weil der müsste ja zwischen server und router, bzw. router und dsl modem oder beim provider hängen. Ein sniffer kann ja nur sniffen was direkt an ihm vorbeigeht, ausserdem sind die clients über einen switch verbunden was einem sniffer auch nicht wirklich hilft. -sämtliche passwörter wurden heute bereits geändert. -den ersteller erkennt daran dass er der eigentümer der datei ist. Für mich gibts nur 3 lösungen, entweder kams von drinnen, da gibts allerdings ein problem, der ftp server hätte ohne routerkennwort nie funktionieren können, und dass konnte dort niemand kennen. Ob er tatsächlich gefunkt hat kann ich leider nicht feststellen, weil wenn jemand das router passwort kennt kann er auch die spuren verwischen. Die 2. lösung wäre ein mitarbeiter vom ISP, was ich mir zwar auch nicht wirklich vorstellen kann, aber eine andere erklärung hab ich nicht, schliesslich müsste der angreifer 2 kennwörter kennen und wissen was auf dem server los ist ohne portscan (weil die gabs nämlich nicht). Die 3. der angreifer weis, woher auch immer dass unter der ip ein terminal server läuft. Er nützt irgendein sicherheitsleck am IIS welcher aktiv war um adminrechte zu bekommen, auch wenn sicherheitsupdatemässig alles ziemlich up-to-date war. Erstellt ein benutzerkonto mit adminrechten, steigt via terminal client ein und saugt sich ein paar warez und die ftp software vom eigenen ftp server und startet die software. Dann müsste er noch die firewall öffnen damit man von draussen rein kann, das schafft er aber nicht weil er das passwort nicht kennt, gibt auf, löscht das konto und vertschüsst sich. Der 4 GB download währe dann eine erklärung für die langen pings, allerdings hätte der provider mitarbeiter der relativ kompetent gewirkt hat dass doch merken müssen dass da mit vollgas daten über die leitung sausen während wir beide nach der ursache für die schlechte verbindung gesucht haben. |
Hab was neues entdeckt:
im inetpub\scripts ordener sind 2 dateien: -ftpcom -servdaemon.ini die ini ist leer, bei der ersten steht: open 195.127.122.130 1967 stro stro get sede.exe get servudaemon.ini das drin. Eigentümer sämtlicher dateien ist das internet gast konto die ip sagt schon ein bisschen mehr, ich vermute das ist noch so ein unfreiwilliger server :D . Ich würds dem Dietmar ja sagen aber hat keine email :p .Da hat sich schon wer etwas mühe gegeben. |
Seit stunden versucht jemand mit der ip 80.129.58.97 auf meinen port 1967 zuzugreifen. Ich glaub dass ist er, kommt wer rein bei ihm :hammer:
Senatoren bitte warnen falls diese hexenjagd zu weit geht! |
die ip gehört zumindest zum deutsche telekom ip range die sie wahrscheinlich für die dynamischen ip's verwenden...
naja, das kann bei jeder einwahl von wo anders kommen... :confused: |
Aber am port 1967 läuft ein ftp server nur lässt er mich nicht rein und am 80 ein web server, gibs mal im browser ein. Hab jedenfalls an die abuse adresse geschrieben, bin neugierig was passiert, schliesslich könnte der ja auch nur ein opfer sein.
|
Zitat:
Zumindest der Seitentitel schaut sehr nach "Warez-Szene" aus. Der Web-Server is OmniHTTPd/2.09 - falls dir das was bringt. ;) Naja, ich bin schon gespannt ob da was raus kommt. PS: ich hab jetzt ftp://80.129.58.97:1967 nix gefunden - oder hast du böser einen Portscan gemacht? :ms: |
Gescannt hab ich noch nicht, vorher hats mit der port nummer gefunkt jetzt gehts ohne, einfach ftp://80.129.58.97 leider funzen die pw von unten ned.
|
also warez szene ich weiss ned wenn man sowas macht is das das erste was man macht einen speed test weil zuerst 4gb uploaden auch wenns schnell geht und das san 54kb auch ned sich ned auszahlt über 6kb up dann zu verteilen
also gibts eigentlich nur 2 möglichkeiten 1. Einer aus der Firma wer auch immer... 2. Irgendwer der sich einen spass draus macht die unsicher einstellung des netzwerks auszunutzen... schade is das du gleich alles unterbunden hast weil sunst hättest erm gleich ghabt weil zugreifen muss er ja mal drauf... btw: wenn du XP hast die remoteverbindung war/ist fehlerhaft und angreifbar |
Kleines newsupdate
Mittlerweilen hat wieder wer versucht zuzugreifen diesmal mit der ip 216.23.51.84, dies scheint der 2. von den 3 benutzern den ftp server zu sein, einer fehlt noch. @james: wenns mein rechner wer hätte ich schon fallen ausgelegt, schliesslich macht sowas viel mehr spass als das ganze 0815 admin zeug aber beim kunden wollte ich nichts riskieren ;) Neben dem unterhaltungswert hat das ganze noch was gutes, ich kann Unreal Tournament 2003 testen :D sonst würd ich dass ja nie tun aber irgendwer muss ja die beweise sichten. |
Zitat:
Und, wie is es? ;) |
Um so richtig nett zu sein, sollte man den Server offen lassen, die warez Dateien mit lauter Einsen beschreiben - und den Dateinamen natürlich gleich lassen :ms:
|
Weis noch nicht, muss nochmal vorbeischauen und mir das zeug aufs notebook saugen, is immerhin 1,3 gb groß.
|
ich glaub so hat ers gemacht:
http://www.infosecuritymag.com/artic...security.shtml |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 22:40 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag