Avatar billede kustoden Nybegynder
22. juni 2003 - 01:02 Der er 22 kommentarer og
1 løsning

Hjælp efter angreb fra ROADRUNNER-SOUTHWEST

Min ftp server (IIS 4.0) er blevet angrebet fra 66.69.2.109 (ROADRUNNER-SOUTHWEST) og der er blevet lagt en masse skrammel ind, som jeg ikke kan slette.

Enten får jeg "Access denied", "Directory does not exist", "File does not exist" eller en kombination.

Directories hedder noget i stil med : D:\InetPub\ftproot__\ \        \com1.%20 %5_Tag%ge%d_%5 .

Jeg har lavet et program, der forsøger at slette dem, og logger ASCII-værdierne på tegnene i path. De eneste tegn, der ikke er alfanumeriske er (decimalt) #32, #37, #46, #58, #92 og #95.
(Tanken var, at hvis der var (dec.) #3, #4, #27 e.l. ville det naturligvis skabe problemer.)

Jeg kan ikke se, at der skulle være nogen services eller programmer, der har snablen ned i bibliotekerne, men det er konstateret ved manuel gennemgang og kan derfor være ukorrekt.

Jeg kan konstatere, at jeg har to udgaver af cideamon kørende med hver sin PID, men ellers ser det hele meget korrrekt ud.

Er der nogen, der ved hvad filerne er for nogen, hvordan jeg får slettet dem, eller kender nogle værktøjer til det?
(Eventuelt ved hvad ROADRUNNER-SOUTHWEST er for noget)

Hvis jeg ikke finder en løsning, er alternativet (da jeg ikke aner, hvad filerne gør, og de tilsyneladende bliver brugt...) at formattere drevet, der bl.a. indeholder ca 27 MB source, dokumenter o.m.a.
Avatar billede simonvalter Praktikant
22. juni 2003 - 01:29 #1
dit problem er at du har anonym adgang til din ftp med skrive rettigheder ..
det vil jeg ihvertfald skyde på
jeg kan ikke huske hvordan man fjerner dem fra windows .. prøv i en konsol
men ellers ved jeg hvordan man gør det med en ftp client
rnfr rnto/clone m.m .. jeg kan gøre det for dig hvis du vil ...
sig til ..
Avatar billede simonvalter Praktikant
22. juni 2003 - 01:33 #3
game_tracker > det er folk der bruger hans public ftp til at uploade warez i locked/hidden dirs ...
66.69.2.109  er bare der hvor det er foretaget fra ..
det man gør er at scanne ip ranges efter port 21 der har skrive rettigheder og så laver man locked dirs og kommer warez i dem .. det er normalt ikke for at sysadmin ikke skal komme ind at man laver de mærkelige dirs men for andre warez folk der også vil udnytte serveren ..
Avatar billede kustoden Nybegynder
22. juni 2003 - 01:51 #4
loadet, det ville være meget fint, hvis du kunne slette skidtet, eller endnu bedre forklare, hvordan du gør over FTP.
Avatar billede simonvalter Praktikant
22. juni 2003 - 01:53 #5
det er flere år siden jeg selv har rodet med sådan noget .. og jeg vil ikke bryde ekspertens regler ved at poste et link til en tutorial her .. men jeg kan paste mit status vindue her når jeg har gjordt det.
for at bevare din anonymitet her kan du maile din ip og så kan jeg forsøge at connecte til dig og klare det
skriv til mail@gbit.dk
Avatar billede simonvalter Praktikant
22. juni 2003 - 01:53 #6
hvis de ikke bruger alt for svær dirlocking ;)
Avatar billede kustoden Nybegynder
22. juni 2003 - 16:41 #7
loaded jeg har prøvet at sende en mail til dig, men jeg fik den lige tilbage i hovedet.(Jeg ved ikke, om du bruger et filter, der ikke kan lide min mail?)

Jeg prøver at sende fra en anden adresse.
Avatar billede simonvalter Praktikant
22. juni 2003 - 19:38 #8
jo nu har jeg fået den ...
prøver lige
Avatar billede simonvalter Praktikant
22. juni 2003 - 19:40 #9
nå du er kommet af med dem ?
hvis ikke så ser det mere ud til at du er hacket .. og de har fået adgang til mere end public. for det er alt hvad jeg kan se
Avatar billede kustoden Nybegynder
22. juni 2003 - 20:25 #10
Nej, de ligger de lige så fint endnu. Når du ser på den med en ftp-client, kan du se ., .., public og een mere, der ikke hedder noget.
Det er den, der ikke hedder noget, der er problemet.
Avatar billede simonvalter Praktikant
22. juni 2003 - 20:32 #11
nå det ser ikke ud til at virke .. :/

jeg har snakket med nogen om det og de siger at du skal kunne fjerne dem i dos
Avatar billede simonvalter Praktikant
22. juni 2003 - 20:38 #12
når du på et tidspunkt får det op at køre vil jeg anbefale dig at du slår anonymous ftp fra .. eller opretter ftpen så man kun kan uploade til en mappe og downloade fra en anden .. det vil gøre den langt mindre interresant at smide warez på ;) -- men du vil ikke kunne slippe for forsøg medmindre du sætter password på.
Avatar billede kustoden Nybegynder
22. juni 2003 - 22:00 #13
loaded, Det sidste er jeg helt med på :-). Der bliver lukket.

Ja, jeg skulle kunne fjerne dem fra en commandolinieprompt, men der kan ikke lade sig gøre.
(Hvis det er DOS, du mener, så forstår DOS ikke NTFS)

Det gør Linux da, nu jeg skriver det. Gad vide, om det kunne være en mulighed at pille disken ud og smide den i en Linux-maskine? Det prøver jeg lige.
Avatar billede simonvalter Praktikant
22. juni 2003 - 22:02 #14
jep .. det var en mulighed .. hvis du har enabled support for ntfs i kernel.
Avatar billede simonvalter Praktikant
22. juni 2003 - 22:03 #15
men jeg tænkte bare på den cmd.exe  eller command.exe .. den kan da godt se mit ntfs ..
Avatar billede kustoden Nybegynder
22. juni 2003 - 22:06 #16
Jep, men det var det første jeg prøvede, da jeg ikke kunne slette med Windows Explorer, inden jeg skrev programmet, der heller ikke kunne slettet det. :-(
Avatar billede kustoden Nybegynder
07. juli 2003 - 00:06 #17
Har selv løst problemet.
Avatar billede stefan_jensen Nybegynder
07. juli 2003 - 00:10 #18
HVordan?
Avatar billede kustoden Nybegynder
07. juli 2003 - 09:02 #19
Helt idiotisk simpelt : RD /s ftproot
Avatar billede stefan_jensen Nybegynder
07. juli 2003 - 11:33 #20
Heheh
Avatar billede kustoden Nybegynder
07. juli 2003 - 11:38 #21
Ja, sådan en lille "/s" kan gøre underværker :-)
Avatar billede stefan_jensen Nybegynder
07. juli 2003 - 11:48 #22
Heh :)
Avatar billede game_tracker Nybegynder
07. juli 2003 - 14:16 #23
lol :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester