win2003 tores
Kuszko Antal
koos at server.aranyj-bp.sulinet.hu
2010. Ápr. 4., V, 07:21:16 CEST
Hello Hunyak,
Saturday, April 3, 2010, 5:40:21 PM, you wrote:
HG> Sziasztok!
HG> Lehet, hogy hosszú lesz, elnézésetek kérem érte...
HG> Összefutottam egy gyögyörűséggel, de nem tudom pontosan, mi ez.
HG> Újra akartam egy frissítés miatt indítani egy win2003-as szervert rdp
HG> ablakból és közölte, hogy rajtam kívül más is be van rá jelentkezve...
HG> Kiváncsi lettem rá és lám, tényleg volt egy user123 nevű user. Átvettem a
HG> képernyőjét és volt ott az asztalon egy svchost.exe meg egy dfind.txt fájl.
HG> Belenéztem utóbbiba és ezt láttam:
HG> ----------------------------------------------------------------------------
HG> COMMAND: svchost.exe -web 80 175.0.0.0 255.255.255.255 1000 -spy Win32
HG> ----------------------------------------------------------------------------
HG> 175.16.49.21:80 Server: Oracle HTTP Server Powered by Apache/1.3.22
HG> (Win32) mod_plsql/3.0.9.8.3b mod_ssl/2.8.5 OpenSSL/0.9.6b mod_fastcgi/2.2.12
HG> mod_oprocmgr/1.0 mod_perl/1.25
HG> 175.16.60.171:80 Server: Apache/1.3.27 (Win32)
HG> 175.16.75.91:80 Server: Apache/2.0.63 (Win32) PHP/5.2.10
HG> 175.17.3.125:80 Server: Abyss/2.0.6-X1-Win32 AbyssLib/2.0.6
HG> 175.17.64.11:80 Server: Apache/2.2.10 (Win32)
HG> 175.17.74.160:80 Server: Apache/2.2.6 (Win32)
HG> 175.28.12.44:80 Server: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11
HG> OpenSSL/0.9.8i PHP/5.2.9
HG> 175.28.12.42:80 Server: Apache/2.2.11 (Win32) DAV/2 mod_ssl/2.2.11
HG> OpenSSL/0.9.8i PHP/5.2.9
HG> 175.28.12.111:80 Server: Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0
HG> OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1
HG> 175.28.158.12:80 Server: Apache/2.2.11 (Win32) PHP/5.2.9-2
HG> 175.28.168.44:80 Server: Apache/1.3.31 (Win32)
HG> 175.28.180.161:80 Server: Apache/2.2.14 (Win32)
HG> ..
HG> ..
HG> 95.247.196.90:80 Server: Apache/2.2.14 (Win32) DAV/2 mod_autoindex_color
HG> PHP/5.3.1
HG> 95.247.242.228:80 Server: Apache/2.2.14 (Win32) mod_ssl/2.2.14
HG> OpenSSL/0.9.8l PHP/5.3.2RC1 DAV/2
HG> ----------------------------------------------------------------------------
HG> Scan complete: 2793 / 16711680 IP(s) (open:472183)
HG> ------------------------------------------------[class101.org 2004-2005]----
HG> Igazándiból csak sejtem, hogy feltörték a drágát, de vajon hogy?
HG> A szerveren az összes win frissítés folyamatosan töltve van, ez nem lehet.
HG> Nem webeznek rajta, csak fájl szerverként működik és fut rajta egy xampp,
HG> amiben az Apache 2.2.11, MySQL 5.1.33, PHP 5.2.9
HG> Simán lehet, hogy ezen jöttek be, de nem igazán értem a dolgot.Nem
HG> romboltak, nem töröltek semmit, se az AD-ben létrehoztak egy user123 és egy
HG> support nevű usert. Az alapértelmezett nyelvet pedig lengyelre állították
HG> át...
HG> A szervert most rakom újra, viszont a netes dolgait addig nem akarom
HG> rátenni, amíg nem tudom mi ez valójában.
HG> A víruskereső az svchost.exe-t trójainak azonosítja, de többet nem árul el
HG> róla. Kerestem a dfind.txt-re, de nem találtam róla semmit. Valami rootkit
HG> lehet, de hogy pontosan mit tesz, erre lennék kiváncsi. Találkoztatok már
HG> vele? :)
HG> köszi
HG> hg
HG> _______________________________________________
HG> Techinfo mailing list
HG> Techinfo at lista.sulinet.hu
HG> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
HG> Illemtan: http://www.szag.hu/illemtan.html
HG> Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
HG> __________ Information from ESET NOD32 Antivirus, version of
HG> virus signature database 4997 (20100403) __________
HG> The message was checked by ESET NOD32 Antivirus.
HG> http://www.eset.com
Szia!
Ez lesz:
http://heapoverflow.com/f0rums/projects/tools/20-dfind-port-scanner/
Talán ezzel:
http://74.125.77.132/search?q=cache:coJ7SueYh8gJ:www.megasecurity.org/trojans/b/brainbot/Brainbot1.5.html+brainbots+dfind&cd=1&hl=en&ct=clnk&gl=uk
Üdv,
Antal
--
Best regards,
Kuszko mailto:koos at server.aranyj-bp.sulinet.hu
További információk a(z) Techinfo levelezőlistáról