» »

Vdor na strežnik

Vdor na strežnik

bzagozen ::

Se še spomnite vdora na www.ljubljana.si? Seveda se. No, danes sem slučajno našel na svojem računalniku (strežniku) na disku kjer so win2000 4 datoteke, ki niso moje (index.htm, index.asp, default.htm in default.asp). Iste datoteke so se pojavile tudi v mapi Inetpub na več koncih (scripts, adminscripts, iissamples, ftproot). Vsebina le teh datotek je na sliki.



;((;((;((;((

Mislim, da vsi vemo kaj je to! Vdor je bil izveden 8.5.2001 ob 23:46!
Na srečo ni imel dostopa do mape kjer je shranjena "taprava" spletna stran, če ne bi se reklo, da je bila uspešno skrekana. Pa ni bila. Treba se bo mal bolj potrudit, če hočeš skrekat mojo stran. ;((

Mislim, da je ta hecker eden izmed obiskovalcev tega foruma, ker drugje dvomim, da je dobil naslov moje strani (v mojem podpisu).

Zatorej sprašujem in opozarjam. Ali je kdo drug tudi opazil kakršno koli sumljivo dogajanje na njihovem strežniku. Seveda velja to za uporabnike s svojim lastnim strežnikom doma.

No na koncu pa še; kapo dol, na disk je pa le nekaj posnel. Kako????
Moja konfiguracija:
MS Windows 2000 Pro SP1 (NTFS)
MS IIS 5.0
G6 FTP Server 2.0 (najbolj sumljiv)
www.alkoma.si
  • spremenil: bzagozen ()

Mr.B ::

Popravek za ISS 5 si si že dal gor , prav tako pa je MS dal malo morje security popravkov na razne svoje probleme , ki jih včasih ne povdarja.
Samo SP1 ni dovolj , popravki za vse ostalo rabis.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

bzagozen ::

Ma, mam vse popravke. Čeprav sem sedaj naknadno ugotovil, da so bile datoteke ustvarjene z internetnim računom na NTFS. To je tisti "Internet Guest Account (ALKOMA\IUSR_ALKOMA)". :O
www.alkoma.si

sasox ::

Jst imam:
MS Windows 2000 advanced server
MS IIS 5.0
MS FTP Service 5.0
+ vsi možni popravki
+ firewall, ki mi vse sumljive zadeve (kot so spodnje copy/paste) avtomatsko zablokira :)

2001-05-03 11:27:56 206.196.146.1 - IP SERVERJA 80 GET /winnt/system32/cmd.exe /c+dir 404 -

Zaenkrat ni blo nix hujšega8-)

bzagozen ::

Mam jaz tudi ZoneAlarm firewall. Pa ni nič pomagal. To pa zato, ker je bil napad izveden preko IIS, ta pa je že po defaultu dovoljen na firewallu. :|
www.alkoma.si

Tjulenj ::

ne biti tako preprican da je s tega foruma... imam eno domeno sveze registrirano, sploh se nikjer ni bila kakorkoli omenjena, pa je isto gor natresel.

sasox ::

Hmn men je ZoneAlarm čist breez veze >:D

Uporabi BlackIce, pa se mau poigraj z nastavitvam. Pa posebaj moraš določit da spusti čez 21 in 80 port, sam filtrira ga pa še vedno........

bzagozen ::

Kaj ti pomaga, če spusti čez samo 80 in 21 druge pa ne, zadost je samo eden, če je ta tapravi. Pri IIS je dovolj že 80 pa je. Če pa nimaš odprtega, pa serverja ne moreš imeti. :|
Zaenkrat vidim samo eno rešitev; narediš si virtual directory nekje drugje na disku. Tja pa ne more direktno dostopat. Samo ostaja pa spet druga zadeva, če ti lahko piše na disk, ti lahko pa gor posname tudi kake resnejše težave, kot le index.htm. Mater! ;((
www.alkoma.si

sasox ::

Sej ti pravim da filtrira tudi 80 port, da se ne da kaj čudnega izvajat! Sicer bom pa raje tiho, naj si vsak svoje lukne ščiti na svoj način >:D

Avenger ::

Jaz mam tud Blackice, pa sem precej zadovoljen z njim. Čeprav je prava zadeva hardverski firewall + en softverski....8-)
It is better to be hated for what you are than to be loved for something you are not.

andrej ::

bzagozen: a si cisto ziher, da si instaliral ta zadnji varnostni patch? tole?

bzagozen ::

No, sem bil prepozen. Kot vidim je izšel 1.maja, no napadel me je pa ta tip že kar 8. maja. :8)

Hvala za pomoč. Ampak, še vedno ne morem vedeti, a je bilo to krivo, ali kaj drugega. Pizda, tip je lahko snemal po mojem disku, mater mu. ;((
www.alkoma.si

Primoz ::

bzagozen: ce bi malo pogledal na cert.org bi opazil, da je to pravzaprav en samorazsirjajoci se worm.... :D
There can be no real freedom without the freedom to fail.

Koci ::

meni se tud tko zdi

bzagozen ::

Drži. Totalno. Bil je črv "CA-2001-11 sadmind/IIS Worm".
Hvala za informacije. :8)
www.alkoma.si

poweroff ::

A je kdo skusal poslati mail na tisti naslov ki je bil objavljen na ljubljana.si?

No, jaz sem poiskusil... in čez 1 dan dobil nazaj mail z attachmentom, posiljatelj sem bil pa kao jaz.

V Outlooku sem mail izbral (select), nisem nicesar poganjal da bi ga zbrisal in takoj se je aktiviral en virus. Ki ga je NAV lepo prestregel. Samo, mater mu...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kateri firewall? (strani: 1 2 3 4 5 6 7 8 9 )

Oddelek: Informacijska varnost
413130449 (19936) Qushaak
»

kateri firewall v sožitju z P2P??

Oddelek: Programska oprema
292093 (1561) Jst
»

Postavitev lastne www strani

Oddelek: Izdelava spletišč
432654 (1935) flipflop
»

ZoneAlarm in Apache

Oddelek: Omrežja in internet
81237 (1142) govno
»

Firewall???

Oddelek: Omrežja in internet
201385 (1148) andrej

Več podobnih tem