Server gehackt
 

Einer unserer kundenserver wurde gehackt. Der arsch hat auf dem server den serv-u ftp server installiert. Wir habens erst gemerkt als kein plattenplatz mehr frei war, dann haben wir im inetpub verzeichnis diverse cd images gefunden (unreal tournament usw.) insgesamt 3,8GB. Sehr schlau kann der typ aber nicht gewesen sein weils 64kbit uplink gibt :p . Mich würde jetzt interssieren wie ich an den heini rann komme. Durch das erstellungsdatum der ordner konnte ich den zeitpunkt des angriffs feststellen und im firewall log gabs 10 minuten vorher ein paar von diesen einträgen:
| 07:20:57 |ICMP type:00011 code:00000 |vulnerability |
14|Aug 13 02 |From:193.110.28.35 To:62.xxx.xxx.xxx |attack icmp |block

Ich bin mir aber nicht sicher in wiefern diese alerts mit dem tatsächlichen angriff zusammenhängen.

Hat wer info über diese art angriff bzw. selber angriffe von oben genannter ip adresse gehabt?

Nochwas die ftp server programmdatei wurde in sede.exe umbenannt, ich weis aber nicht wie sie gestartet wurde. In der registry gibts nichts, die autostart sämtlicher benutzer sind auch leer :confused:

Was für eine schwache Firewall habt ihr?

Glaubst du nicht das der Angriff aus eurem Netz kam?

Sloter

die ip stammt von "Raiffeisen Informatik Zentrum GmbH at"

http://www.checkdomain.com/cgi-bin/c...193.110.28.35+

also ich glaub, dieser eintrag im fw-log hat nix mit dem hack zu tun ... ICMP 11 bedeutet 'Zeitüberschreitung der Anfrage'
http://www.cotse.com/icmptypes.html

In dem netz gibts 5 benutzer die allessamt nicht viel ahnung haben.
Als firewall dient eine zyxel zywall 10, allerdings steht ein terminalserver dahinter der von aussen zugänglich sein muss, und zwar von allen ip adressen. Ich hab öfters test portscans gemacht und da war alles dicht.

btw: welches server-os und welche firewall verwendet ihr?

firewall wurde schon beantwortet ;) zyxel zywall 10

server os kann da eigentlich nur nt4 oder w2k sein... :rolleyes:

Viel Ahnung braucht man ja nicht umbedingt für einen FTP-Server unter Win.
Doppelclick und fertig ist die Laube.

Ist jetzt Port 21 für FTP auf der Firewall offen?
Wenn ja, war er gut, wenn nein war es wer aus deinem Netz.

Loggt ihr den Traffic mit?

Ich würde alles so lassen und mich auf die Lauer legen :D

Sloter

Das thema weckt interesse wie man sieht, 5 antworten in weniger als 5 minuten :D .

Die benutzer kennwörter sind angeblich sicher, meine vermutung ist dass sich irgendein sohnemann bzw. tochterfrau :D eines mitarbeiters da ausgetobt hat. So wies aussieht wurde nicht mal ein autostart eintrag erstellt, dh nach dem ersten reboot wars eh vorbei. Ich bekomme täglich die firewall logs, und da sind pro tag maximal 20 einträge drinn, nie gabs einen portscan.

os: w2k server sp2

naja dann wird er wohl via terminal reingekommen sein, schau halt mal das logfile bezgl 3389 an. habts ein gutes pass+username vergeben? oder sowas wie test/test

Hier ist die konfig datei von ftp server:

[GLOBAL]
Version=3.0.0.17
RegistrationKey=6dYwuCzKYyiSYQm0Hlp0OmDivgW8pyxAM2 ZMLSpgg9Ywu+psehNIYwi0Ex4bTweO33ac5V4vRxJZXk8MhblF zGyrF1z1DWbWfzZaVAWW
LocalSetupPassword=462D130404
LocalSetupPortNo=777
ProcessID=2708
AntiHammer=1
AntiHammerWindow=60
AntiHammerTries=2
AntiHammerBlock=1800
PacketTimeOut=300

[DOMAINS]
Domain1=0.0.0.0||1967|666 Domain 666|1

[Domain1]
User1=admin|1|0
User2=leech|1|0
LogSystemMes=0
LogSecurityMes=0
LogGETs=0
LogPUTs=0
LogFileSystemMes=0
LogFileSecurityMes=0
LogFileGETs=0
LogFilePUTs=0
ReplyHello=Serv-U FTP Server for WinSock ready...
ReplyHelp=Direct comments or bugs to bug@bug.com.
User3=super|1|0




[USER=admin|1]
Password=lc60D3937FB1BAA17FC55EA86D0CED7B6D
HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub
RelPaths=1
HideHidden=1
MaxUsersLoginPerIP=3
TimeOut=3600
MaxNrUsers=3
Maintenance=System
Access1=\|RWAMELCDP
[USER=leech|1]
Password=qk7EFCD6E1E63F89A85BC02046E819025D
HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub
RelPaths=1
HideHidden=1
MaxUsersLoginPerIP=1
TimeOut=300
MaxNrUsers=10
Access1=\|RALP
[USER=super|1]
Password=to4F68CF541D5CB6B680687F0C7560B07C
HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub
TimeOut=1800
Maintenance=System
Access1=d:\|RWAMELCDP
Access2=c:\|RWAMELCDP



Nachdem war hier port 777 im spiel, nur verstehe ich nicht die die daten draufgekommen sind weil port 777 sowie port 21 waren immer zu. Die einzigen offenen ports waren 3389 und 80, wobei selbst die bei einem portscan nicht aufscheinen würden.