22. juni 2003 - 01:02Der er
22 kommentarer og 1 løsning
Hjælp efter angreb fra ROADRUNNER-SOUTHWEST
Min ftp server (IIS 4.0) er blevet angrebet fra 66.69.2.109 (ROADRUNNER-SOUTHWEST) og der er blevet lagt en masse skrammel ind, som jeg ikke kan slette.
Enten får jeg "Access denied", "Directory does not exist", "File does not exist" eller en kombination.
Directories hedder noget i stil med : D:\InetPub\ftproot__\ \ \com1.%20 %5_Tag%ge%d_%5 .
Jeg har lavet et program, der forsøger at slette dem, og logger ASCII-værdierne på tegnene i path. De eneste tegn, der ikke er alfanumeriske er (decimalt) #32, #37, #46, #58, #92 og #95. (Tanken var, at hvis der var (dec.) #3, #4, #27 e.l. ville det naturligvis skabe problemer.)
Jeg kan ikke se, at der skulle være nogen services eller programmer, der har snablen ned i bibliotekerne, men det er konstateret ved manuel gennemgang og kan derfor være ukorrekt.
Jeg kan konstatere, at jeg har to udgaver af cideamon kørende med hver sin PID, men ellers ser det hele meget korrrekt ud.
Er der nogen, der ved hvad filerne er for nogen, hvordan jeg får slettet dem, eller kender nogle værktøjer til det? (Eventuelt ved hvad ROADRUNNER-SOUTHWEST er for noget)
Hvis jeg ikke finder en løsning, er alternativet (da jeg ikke aner, hvad filerne gør, og de tilsyneladende bliver brugt...) at formattere drevet, der bl.a. indeholder ca 27 MB source, dokumenter o.m.a.
dit problem er at du har anonym adgang til din ftp med skrive rettigheder .. det vil jeg ihvertfald skyde på jeg kan ikke huske hvordan man fjerner dem fra windows .. prøv i en konsol men ellers ved jeg hvordan man gør det med en ftp client rnfr rnto/clone m.m .. jeg kan gøre det for dig hvis du vil ... sig til ..
game_tracker > det er folk der bruger hans public ftp til at uploade warez i locked/hidden dirs ... 66.69.2.109 er bare der hvor det er foretaget fra .. det man gør er at scanne ip ranges efter port 21 der har skrive rettigheder og så laver man locked dirs og kommer warez i dem .. det er normalt ikke for at sysadmin ikke skal komme ind at man laver de mærkelige dirs men for andre warez folk der også vil udnytte serveren ..
det er flere år siden jeg selv har rodet med sådan noget .. og jeg vil ikke bryde ekspertens regler ved at poste et link til en tutorial her .. men jeg kan paste mit status vindue her når jeg har gjordt det. for at bevare din anonymitet her kan du maile din ip og så kan jeg forsøge at connecte til dig og klare det skriv til mail@gbit.dk
loaded jeg har prøvet at sende en mail til dig, men jeg fik den lige tilbage i hovedet.(Jeg ved ikke, om du bruger et filter, der ikke kan lide min mail?)
nå du er kommet af med dem ? hvis ikke så ser det mere ud til at du er hacket .. og de har fået adgang til mere end public. for det er alt hvad jeg kan se
Nej, de ligger de lige så fint endnu. Når du ser på den med en ftp-client, kan du se ., .., public og een mere, der ikke hedder noget. Det er den, der ikke hedder noget, der er problemet.
når du på et tidspunkt får det op at køre vil jeg anbefale dig at du slår anonymous ftp fra .. eller opretter ftpen så man kun kan uploade til en mappe og downloade fra en anden .. det vil gøre den langt mindre interresant at smide warez på ;) -- men du vil ikke kunne slippe for forsøg medmindre du sætter password på.
Jep, men det var det første jeg prøvede, da jeg ikke kunne slette med Windows Explorer, inden jeg skrev programmet, der heller ikke kunne slettet det. :-(
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
