win2003 tores
Takács László
lacyc3 at gmail.com
2010. Ápr. 4., V, 00:38:28 CEST
Hello!
Szerintem egy botnetet szeretett volna csinálni, ezért nem rombolt. A
program végignézi a megadott tartományban az IP-ket majd megnézi hogy milyen
webszerver fut rajtuk. Ahogy látom ő csak a Windows-os áldozatokra kíváncsi.
Tipp, de szerintem egész jó.
Előfordulhat hogy egy 0day sebezhetőségen mászott be a jóakaró a Windows-ba,
hiába van minden frissítés telepítve, de az is lehet hogy a XAMPP valamelyik
modulján.
Arra tippelek, hogy azért a 80-as portot keresi, mert ahova webszervert
telepítenek, ott nagy a rendelkezésre álló sávszélesség -> újabb érv a
botnet mellett.
Az apache-ból 2.2.11-es van neked, ugyanakkor a legfrissebb xampp már a
2.2.14-est tartalmazza. Végignézve az eltelt időt és a sebezhetőségeket,
lehet hogy megúsztad volna az újratelepítést ha hamarabb frissítesz.
Ha nincs energiád / időd minden nap a szerverrel foglalkozni, akkor inkább
tegyél fel IIS-t. Az a Windows-al együtt frissül. Tudom, hogy nem egy
Apache, de jobb ma egy friss IIS mint holnap egy régi, tört Apache.
Megvan esetleg a buherált svchost? Ha igen, akkor örülnék ha csatolmányban
elküldenéd nekem a novir kuk at c lacyc3 p0nt eu címre, nekiesnék hogy pontosan
mi is ez és hogyan működik (és persze közreadnám az eredményeket).
Szerintem - ha megfogadsz egy jó tanácsot - nem szerencsés, ha egyetlen,
minden az egyben géped van, ami fél lábbal lóg kint az interneten. Legalább
virtualizálni kellene, de külön gép lenne az igazi megoldás, így nem
vesztesz mindent ha vesztesz. No meg nem ártana ha memória rezidens
víruskereső is lenne a gépen. Tudom, egy szerverre nem egyszerű ingyenes
alternatívát sem szerezni, de ha nincs kielégítő megoldás, akkor ki kell
csengetni a pénzt sajnos. Ha felismeri a víruskereső, hogy trójai akar
települni, akkor alapból nem kerülsz ilyen helyzetbe.
--
Üdvözlettel,
Takács László
lacyc3 at gmail.com
2010/4/3 Hunyak Gabor <hagelistak at gmail.com>
> Sziasztok!
>
> Lehet, hogy hosszú lesz, elnézésetek kérem érte...
> Összefutottam egy gyögyörűséggel, de nem tudom pontosan, mi ez.
>
> Újra akartam egy frissítés miatt indítani egy win2003-as szervert rdp
> ablakból és közölte, hogy rajtam kívül más is be van rá jelentkezve...
>
> Kiváncsi lettem rá és lám, tényleg volt egy user123 nevű user. Átvettem a
> képernyőjét és volt ott az asztalon egy svchost.exe meg egy dfind.txt fájl.
> Belenéztem utóbbiba és ezt láttam:
>
>
> ----------------------------------------------------------------------------
> COMMAND: svchost.exe -web 80 175.0.0.0 255.255.255.255 1000 -spy Win32
>
> ----------------------------------------------------------------------------
> 175.16.49.21:80 Server: Oracle HTTP Server Powered by Apache/1.3.22
> (Win32) mod_plsql/3.0.9.8.3b mod_ssl/2.8.5 OpenSSL/0.9.6b
> mod_fastcgi/2.2.12
> mod_oprocmgr/1.0 mod_perl/1.25
> 175.16.60.171:80 Server: Apache/1.3.27 (Win32)
> 175.16.75.91:80 Server: Apache/2.0.63 (Win32) PHP/5.2.10
> 175.17.3.125:80 Server: Abyss/2.0.6-X1-Win32 AbyssLib/2.0.6
> 175.17.64.11:80 Server: Apache/2.2.10 (Win32)
> 175.17.74.160:80 Server: Apache/2.2.6 (Win32)
> 175.28.12.44:80 Server: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11
> OpenSSL/0.9.8i PHP/5.2.9
> 175.28.12.42:80 Server: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11
> OpenSSL/0.9.8i PHP/5.2.9
> 175.28.12.111:80 Server: Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0
> OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1
> 175.28.158.12:80 Server: Apache/2.2.11 (Win32) PHP/5.2.9-2
> 175.28.168.44:80 Server: Apache/1.3.31 (Win32)
> 175.28.180.161:80 Server: Apache/2.2.14 (Win32)
> ..
> ..
> 95.247.196.90:80 Server: Apache/2.2.14 (Win32) DAV/2 mod_autoindex_color
> PHP/5.3.1
> 95.247.242.228:80 Server: Apache/2.2.14 (Win32) mod_ssl/2.2.14
> OpenSSL/0.9.8l PHP/5.3.2RC1 DAV/2
>
> ----------------------------------------------------------------------------
> Scan complete: 2793 / 16711680 IP(s) (open:472183)
> ------------------------------------------------[class101.org2004-2005]----
>
> Igazándiból csak sejtem, hogy feltörték a drágát, de vajon hogy?
>
> A szerveren az összes win frissítés folyamatosan töltve van, ez nem lehet.
> Nem webeznek rajta, csak fájl szerverként működik és fut rajta egy xampp,
> amiben az Apache 2.2.11, MySQL 5.1.33, PHP 5.2.9
>
> Simán lehet, hogy ezen jöttek be, de nem igazán értem a dolgot.Nem
> romboltak, nem töröltek semmit, se az AD-ben létrehoztak egy user123 és egy
> support nevű usert. Az alapértelmezett nyelvet pedig lengyelre állították
> át...
>
> A szervert most rakom újra, viszont a netes dolgait addig nem akarom
> rátenni, amíg nem tudom mi ez valójában.
> A víruskereső az svchost.exe-t trójainak azonosítja, de többet nem árul el
> róla. Kerestem a dfind.txt-re, de nem találtam róla semmit. Valami rootkit
> lehet, de hogy pontosan mit tesz, erre lennék kiváncsi. Találkoztatok már
> vele? :)
>
> köszi
> hg
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: http://lista.sulinet.hu/pipermail/techinfo/attachments/20100404/b8dd1ed2/attachment.html
További információk a(z) Techinfo levelezőlistáról