Server gehackt

LouCypher · 22.08.2002, 12:15

Einer unserer kundenserver wurde gehackt. Der arsch hat auf dem server den serv-u ftp server installiert. Wir habens erst gemerkt als kein plattenplatz mehr frei war, dann haben wir im inetpub verzeichnis diverse cd images gefunden (unreal tournament usw.) insgesamt 3,8GB. Sehr schlau kann der typ aber nicht gewesen sein weils 64kbit uplink gibt

. Mich würde jetzt interssieren wie ich an den heini rann komme. Durch das erstellungsdatum der ordner konnte ich den zeitpunkt des angriffs feststellen und im firewall log gabs 10 minuten vorher ein paar von diesen einträgen:
| 07:20:57 |ICMP type:00011 code:00000 |vulnerability |
14|Aug 13 02 |From:193.110.28.35 To:62.xxx.xxx.xxx |attack icmp |block

Ich bin mir aber nicht sicher in wiefern diese alerts mit dem tatsächlichen angriff zusammenhängen.

Hat wer info über diese art angriff bzw. selber angriffe von oben genannter ip adresse gehabt?

Nochwas die ftp server programmdatei wurde in sede.exe umbenannt, ich weis aber nicht wie sie gestartet wurde. In der registry gibts nichts, die autostart sämtlicher benutzer sind auch leer

Sloter · 22.08.2002, 12:21

Was für eine schwache Firewall habt ihr?

Glaubst du nicht das der Angriff aus eurem Netz kam?

Sloter

pc.net · 22.08.2002, 12:24

die ip stammt von "Raiffeisen Informatik Zentrum GmbH at"

http://www.checkdomain.com/cgi-bin/c...193.110.28.35+

also ich glaub, dieser eintrag im fw-log hat nix mit dem hack zu tun ... ICMP 11 bedeutet 'Zeitüberschreitung der Anfrage'
http://www.cotse.com/icmptypes.html

LouCypher · 22.08.2002, 12:25

In dem netz gibts 5 benutzer die allessamt nicht viel ahnung haben.
Als firewall dient eine zyxel zywall 10, allerdings steht ein terminalserver dahinter der von aussen zugänglich sein muss, und zwar von allen ip adressen. Ich hab öfters test portscans gemacht und da war alles dicht.

pc.net · 22.08.2002, 12:25

btw: welches server-os und welche firewall verwendet ihr?

valo · 22.08.2002, 12:31

Zitat:

Original geschrieben von pc.net
btw: welches server-os und welche firewall verwendet ihr?

firewall wurde schon beantwortet

zyxel zywall 10

server os kann da eigentlich nur nt4 oder w2k sein...

Sloter · 22.08.2002, 12:31

Viel Ahnung braucht man ja nicht umbedingt für einen FTP-Server unter Win.
Doppelclick und fertig ist die Laube.

Ist jetzt Port 21 für FTP auf der Firewall offen?
Wenn ja, war er gut, wenn nein war es wer aus deinem Netz.

Loggt ihr den Traffic mit?

Ich würde alles so lassen und mich auf die Lauer legen

Sloter

LouCypher · 22.08.2002, 12:32

Das thema weckt interesse wie man sieht, 5 antworten in weniger als 5 minuten

.

Die benutzer kennwörter sind angeblich sicher, meine vermutung ist dass sich irgendein sohnemann bzw. tochterfrau

eines mitarbeiters da ausgetobt hat. So wies aussieht wurde nicht mal ein autostart eintrag erstellt, dh nach dem ersten reboot wars eh vorbei. Ich bekomme täglich die firewall logs, und da sind pro tag maximal 20 einträge drinn, nie gabs einen portscan.

os: w2k server sp2

hans friedmann · 22.08.2002, 12:34

Zitat:

Original geschrieben von LouCypher
In dem netz gibts 5 benutzer die allessamt nicht viel ahnung haben.
Als firewall dient eine zyxel zywall 10, allerdings steht ein terminalserver dahinter der von aussen zugänglich sein muss, und zwar von allen ip adressen. Ich hab öfters test portscans gemacht und da war alles dicht.

naja dann wird er wohl via terminal reingekommen sein, schau halt mal das logfile bezgl 3389 an. habts ein gutes pass+username vergeben? oder sowas wie test/test

LouCypher · 22.08.2002, 12:42

Hier ist die konfig datei von ftp server:

[GLOBAL]
Version=3.0.0.17
RegistrationKey=6dYwuCzKYyiSYQm0Hlp0OmDivgW8pyxAM2 ZMLSpgg9Ywu+psehNIYwi0Ex4bTweO33ac5V4vRxJZXk8MhblF zGyrF1z1DWbWfzZaVAWW
LocalSetupPassword=462D130404
LocalSetupPortNo=777
ProcessID=2708
AntiHammer=1
AntiHammerWindow=60
AntiHammerTries=2
AntiHammerBlock=1800
PacketTimeOut=300

[DOMAINS]
Domain1=0.0.0.0||1967|666 Domain 666|1

[Domain1]
User1=admin|1|0
User2=leech|1|0
LogSystemMes=0
LogSecurityMes=0
LogGETs=0
LogPUTs=0
LogFileSystemMes=0
LogFileSecurityMes=0
LogFileGETs=0
LogFilePUTs=0
ReplyHello=Serv-U FTP Server for WinSock ready...
ReplyHelp=Direct comments or bugs to bug@bug.com.
User3=super|1|0

[USER=admin|1]
Password=lc60D3937FB1BAA17FC55EA86D0CED7B6D
HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub
RelPaths=1
HideHidden=1
MaxUsersLoginPerIP=3
TimeOut=3600
MaxNrUsers=3
Maintenance=System
Access1=\|RWAMELCDP
[USER=leech|1]
Password=qk7EFCD6E1E63F89A85BC02046E819025D
HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub
RelPaths=1
HideHidden=1
MaxUsersLoginPerIP=1
TimeOut=300
MaxNrUsers=10
Access1=\|RALP
[USER=super|1]
Password=to4F68CF541D5CB6B680687F0C7560B07C
HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub
TimeOut=1800
Maintenance=System
Access1=d:\|RWAMELCDP
Access2=c:\|RWAMELCDP

Nachdem war hier port 777 im spiel, nur verstehe ich nicht die die daten draufgekommen sind weil port 777 sowie port 21 waren immer zu. Die einzigen offenen ports waren 3389 und 80, wobei selbst die bei einem portscan nicht aufscheinen würden.

22.08.2002, 12:15	#1
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Server gehackt Einer unserer kundenserver wurde gehackt. Der arsch hat auf dem server den serv-u ftp server installiert. Wir habens erst gemerkt als kein plattenplatz mehr frei war, dann haben wir im inetpub verzeichnis diverse cd images gefunden (unreal tournament usw.) insgesamt 3,8GB. Sehr schlau kann der typ aber nicht gewesen sein weils 64kbit uplink gibt . Mich würde jetzt interssieren wie ich an den heini rann komme. Durch das erstellungsdatum der ordner konnte ich den zeitpunkt des angriffs feststellen und im firewall log gabs 10 minuten vorher ein paar von diesen einträgen: \| 07:20:57 \|ICMP type:00011 code:00000 \|vulnerability \| 14\|Aug 13 02 \|From:193.110.28.35 To:62.xxx.xxx.xxx \|attack icmp \|block Ich bin mir aber nicht sicher in wiefern diese alerts mit dem tatsächlichen angriff zusammenhängen. Hat wer info über diese art angriff bzw. selber angriffe von oben genannter ip adresse gehabt? Nochwas die ftp server programmdatei wurde in sede.exe umbenannt, ich weis aber nicht wie sie gestartet wurde. In der registry gibts nichts, die autostart sämtlicher benutzer sind auch leer ____________________________________ Greetings LouCypher

22.08.2002, 12:24	#3
pc.net Aussteiger Registriert seit: 07.10.2001 Ort: Nettistan Beiträge: 12.997 Mein Computer	die ip stammt von "Raiffeisen Informatik Zentrum GmbH at" http://www.checkdomain.com/cgi-bin/c...193.110.28.35+ also ich glaub, dieser eintrag im fw-log hat nix mit dem hack zu tun ... ICMP 11 bedeutet 'Zeitüberschreitung der Anfrage' http://www.cotse.com/icmptypes.html ____________________________________ Praktizierender Eristiker No hace falta ser un genio para saber quién dijo eso. Der wirklich faule Mensch ist oft extrem fleißig, denn er will möglichst schnell wieder faul sein.

22.08.2002, 12:25	#4
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	In dem netz gibts 5 benutzer die allessamt nicht viel ahnung haben. Als firewall dient eine zyxel zywall 10, allerdings steht ein terminalserver dahinter der von aussen zugänglich sein muss, und zwar von allen ip adressen. Ich hab öfters test portscans gemacht und da war alles dicht. ____________________________________ Greetings LouCypher

22.08.2002, 12:25	#5
pc.net Aussteiger Registriert seit: 07.10.2001 Ort: Nettistan Beiträge: 12.997 Mein Computer	btw: welches server-os und welche firewall verwendet ihr? ____________________________________ Praktizierender Eristiker No hace falta ser un genio para saber quién dijo eso. Der wirklich faule Mensch ist oft extrem fleißig, denn er will möglichst schnell wieder faul sein.

22.08.2002, 12:32	#8
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Das thema weckt interesse wie man sieht, 5 antworten in weniger als 5 minuten . Die benutzer kennwörter sind angeblich sicher, meine vermutung ist dass sich irgendein sohnemann bzw. tochterfrau eines mitarbeiters da ausgetobt hat. So wies aussieht wurde nicht mal ein autostart eintrag erstellt, dh nach dem ersten reboot wars eh vorbei. Ich bekomme täglich die firewall logs, und da sind pro tag maximal 20 einträge drinn, nie gabs einen portscan. os: w2k server sp2 ____________________________________ Greetings LouCypher

22.08.2002, 12:21	#2
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Was für eine schwache Firewall habt ihr? Glaubst du nicht das der Angriff aus eurem Netz kam? Sloter

22.08.2002, 12:31	#7
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Viel Ahnung braucht man ja nicht umbedingt für einen FTP-Server unter Win. Doppelclick und fertig ist die Laube. Ist jetzt Port 21 für FTP auf der Firewall offen? Wenn ja, war er gut, wenn nein war es wer aus deinem Netz. Loggt ihr den Traffic mit? Ich würde alles so lassen und mich auf die Lauer legen Sloter

22.08.2002, 12:42	#10
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	Hier ist die konfig datei von ftp server: [GLOBAL] Version=3.0.0.17 RegistrationKey=6dYwuCzKYyiSYQm0Hlp0OmDivgW8pyxAM2 ZMLSpgg9Ywu+psehNIYwi0Ex4bTweO33ac5V4vRxJZXk8MhblF zGyrF1z1DWbWfzZaVAWW LocalSetupPassword=462D130404 LocalSetupPortNo=777 ProcessID=2708 AntiHammer=1 AntiHammerWindow=60 AntiHammerTries=2 AntiHammerBlock=1800 PacketTimeOut=300 [DOMAINS] Domain1=0.0.0.0\|\|1967\|666 Domain 666\|1 [Domain1] User1=admin\|1\|0 User2=leech\|1\|0 LogSystemMes=0 LogSecurityMes=0 LogGETs=0 LogPUTs=0 LogFileSystemMes=0 LogFileSecurityMes=0 LogFileGETs=0 LogFilePUTs=0 ReplyHello=Serv-U FTP Server for WinSock ready... ReplyHelp=Direct comments or bugs to bug@bug.com. User3=super\|1\|0 [USER=admin\|1] Password=lc60D3937FB1BAA17FC55EA86D0CED7B6D HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub RelPaths=1 HideHidden=1 MaxUsersLoginPerIP=3 TimeOut=3600 MaxNrUsers=3 Maintenance=System Access1=\\|RWAMELCDP [USER=leech\|1] Password=qk7EFCD6E1E63F89A85BC02046E819025D HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub RelPaths=1 HideHidden=1 MaxUsersLoginPerIP=1 TimeOut=300 MaxNrUsers=10 Access1=\\|RALP [USER=super\|1] Password=to4F68CF541D5CB6B680687F0C7560B07C HomeDir=c:\Inetpub\iissamples\sdk\fgt\temp\pub TimeOut=1800 Maintenance=System Access1=d:\\|RWAMELCDP Access2=c:\\|RWAMELCDP Nachdem war hier port 777 im spiel, nur verstehe ich nicht die die daten draufgekommen sind weil port 777 sowie port 21 waren immer zu. Die einzigen offenen ports waren 3389 und 80, wobei selbst die bei einem portscan nicht aufscheinen würden. ____________________________________ Greetings LouCypher

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)