win2003 tores
Hunyak Gabor
hagelistak at gmail.com
2010. Ápr. 3., Szo, 17:40:21 CEST
Sziasztok!
Lehet, hogy hosszú lesz, elnézésetek kérem érte...
Összefutottam egy gyögyörűséggel, de nem tudom pontosan, mi ez.
Újra akartam egy frissítés miatt indítani egy win2003-as szervert rdp
ablakból és közölte, hogy rajtam kívül más is be van rá jelentkezve...
Kiváncsi lettem rá és lám, tényleg volt egy user123 nevű user. Átvettem a
képernyőjét és volt ott az asztalon egy svchost.exe meg egy dfind.txt fájl.
Belenéztem utóbbiba és ezt láttam:
----------------------------------------------------------------------------
COMMAND: svchost.exe -web 80 175.0.0.0 255.255.255.255 1000 -spy Win32
----------------------------------------------------------------------------
175.16.49.21:80 Server: Oracle HTTP Server Powered by Apache/1.3.22
(Win32) mod_plsql/3.0.9.8.3b mod_ssl/2.8.5 OpenSSL/0.9.6b mod_fastcgi/2.2.12
mod_oprocmgr/1.0 mod_perl/1.25
175.16.60.171:80 Server: Apache/1.3.27 (Win32)
175.16.75.91:80 Server: Apache/2.0.63 (Win32) PHP/5.2.10
175.17.3.125:80 Server: Abyss/2.0.6-X1-Win32 AbyssLib/2.0.6
175.17.64.11:80 Server: Apache/2.2.10 (Win32)
175.17.74.160:80 Server: Apache/2.2.6 (Win32)
175.28.12.44:80 Server: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11
OpenSSL/0.9.8i PHP/5.2.9
175.28.12.42:80 Server: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11
OpenSSL/0.9.8i PHP/5.2.9
175.28.12.111:80 Server: Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0
OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1
175.28.158.12:80 Server: Apache/2.2.11 (Win32) PHP/5.2.9-2
175.28.168.44:80 Server: Apache/1.3.31 (Win32)
175.28.180.161:80 Server: Apache/2.2.14 (Win32)
..
..
95.247.196.90:80 Server: Apache/2.2.14 (Win32) DAV/2 mod_autoindex_color
PHP/5.3.1
95.247.242.228:80 Server: Apache/2.2.14 (Win32) mod_ssl/2.2.14
OpenSSL/0.9.8l PHP/5.3.2RC1 DAV/2
----------------------------------------------------------------------------
Scan complete: 2793 / 16711680 IP(s) (open:472183)
------------------------------------------------[class101.org 2004-2005]----
Igazándiból csak sejtem, hogy feltörték a drágát, de vajon hogy?
A szerveren az összes win frissítés folyamatosan töltve van, ez nem lehet.
Nem webeznek rajta, csak fájl szerverként működik és fut rajta egy xampp,
amiben az Apache 2.2.11, MySQL 5.1.33, PHP 5.2.9
Simán lehet, hogy ezen jöttek be, de nem igazán értem a dolgot.Nem
romboltak, nem töröltek semmit, se az AD-ben létrehoztak egy user123 és egy
support nevű usert. Az alapértelmezett nyelvet pedig lengyelre állították
át...
A szervert most rakom újra, viszont a netes dolgait addig nem akarom
rátenni, amíg nem tudom mi ez valójában.
A víruskereső az svchost.exe-t trójainak azonosítja, de többet nem árul el
róla. Kerestem a dfind.txt-re, de nem találtam róla semmit. Valami rootkit
lehet, de hogy pontosan mit tesz, erre lennék kiváncsi. Találkoztatok már
vele? :)
köszi
hg
További információk a(z) Techinfo levelezőlistáról