Avatar billede kullebo Nybegynder
26. marts 2005 - 19:26 Der er 11 kommentarer og
3 løsninger

hvem og hvad hacker mig, hvordan slipper jeg??

jeg har en lille server med et par mindre betydende sider kørende.
jeg bliver med jævne mellemrum hacket, og ville gerne finde svaret på hvad jeg gør galt.
for tiden kommer der nogle txt filer med mailadresser og et lille program ind.
andre gange er det bare index.php der bliver overskrevet.
jeg kører nyeste MySql, IIS, på wn win 2000 server med alle opdateringer

her et udsnit af logfilen på iis:

2005-03-26 15:56:39 200.204.44.55 - 192.168.1.33 80 OPTIONS / - 200 Microsoft+Data+Access+Internet+Publishing+Provider+Protocol+Discovery
2005-03-26 15:56:39 200.204.44.55 - 192.168.1.33 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 15:57:09 200.204.44.55 - 192.168.1.33 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 15:57:09 200.204.44.55 - 192.168.1.33 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 15:57:20 200.204.44.55 - 192.168.1.33 80 HEAD /envia.txt - 404 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 15:57:28 200.204.44.55 - 192.168.1.33 80 PUT /envia.txt - 201 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 15:57:36 200.204.44.55 - 192.168.1.33 80 GET /envia.txt - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0)
2005-03-26 15:57:51 200.204.44.55 - 192.168.1.33 80 HEAD /carte.htm - 404 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 15:57:52 200.204.44.55 - 192.168.1.33 80 PUT /carte.htm - 201 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 15:59:03 200.204.44.55 - 192.168.1.33 80 HEAD /email.txt - 404 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 15:59:11 200.204.44.55 - 192.168.1.33 80 PUT /email.txt - 201 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 16:00:01 81.92.211.3 - 192.168.1.33 80 GET /carte.htm - 200 Wget/1.8.2
2005-03-26 16:00:34 81.92.211.3 - 192.168.1.33 80 GET /envia.txt - 200 Wget/1.8.2
2005-03-26 16:01:47 200.204.44.55 - 192.168.1.33 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 16:01:47 200.204.44.55 - 192.168.1.33 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 16:02:32 81.92.211.3 - 192.168.1.33 80 GET /carte.htm - 200 Wget/1.8.2

2005-03-26 17:28:49 200.204.44.55 - 192.168.1.33 80 OPTIONS / - 200 Microsoft+Data+Access+Internet+Publishing+Provider+Protocol+Discovery
2005-03-26 17:29:00 200.204.44.55 - 192.168.1.33 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 17:30:07 200.204.44.55 - 192.168.1.33 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 17:30:07 200.204.44.55 - 192.168.1.33 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 17:30:34 200.204.44.55 - 192.168.1.33 80 HEAD /AWS.exe - 404 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 17:31:56 200.204.44.55 - 192.168.1.33 80 PUT /AWS.exe - 201 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 17:32:20 200.204.44.55 - 192.168.1.33 80 GET /aws.exe - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0)
2005-03-26 17:33:04 200.204.44.55 - 192.168.1.33 80 HEAD /txspam.jpg - 404 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 17:35:55 200.101.63.84 - 192.168.1.33 80 GET /aws.exe - 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98)
2005-03-26 17:36:06 200.204.44.55 - 192.168.1.33 80 HEAD /txspam.jpg - 423 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 17:36:54 200.204.44.55 - 192.168.1.33 80 HEAD /txspam.jpg - 423 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 17:37:01 200.204.44.55 - 192.168.1.33 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
2005-03-26 17:37:01 200.204.44.55 - 192.168.1.33 80 PROPFIND / - 207 Microsoft+Data+Access+Internet+Publishing+Provider+DAV
Avatar billede bufferzone Praktikant
26. marts 2005 - 19:34 #1
VEd et meget hurtigt gennemsyn kunne det se ud som om hackeren udnytter en sårbarhed i frontpage server extentions for at uploade disse filer

du bør kontrollere om alle systemer er updateret og patched, herunder:

Styresystem (windows update)
IIS
MYSql
Frontpage server extentions
Outlook Web access
Officepakke
Alle andre programmer der måtte være installeret på maskinen

Prøv derefter at downloade og køre IIS lockdown tool fra www.microsoft.com
prøv også at scanne med Microsoft baseline analyser

E.v.t en sårbarhedsanalyse med Nessus hvis du har mulighed for atgennemføre en sådan
Avatar billede bufferzone Praktikant
26. marts 2005 - 19:42 #2
Du kunne selvfølgelig også sætte en firewall i drift, hvor du udelukker de IP adresser der forekommer. Dette vil kun filtrere noget fra da man ret let kan få en ny IP adresse. Du vil dog med lidt omtanke kunne gøre det en del svære at ligge noget op.

Overvej også at fjerne frontpage server extentions, eller begrænds deres brug til validerede brugere
Avatar billede kullebo Nybegynder
26. marts 2005 - 22:48 #3
Øhh, kørte både en IIS Lockdown... nu kører det ikke helt.

ved fx en login på website vi indbygget login (mambo) kommer der en http 404 frem, det samme sker ved alle andre formularer og lign.. aaargh hvad er nu det?
Avatar billede kullebo Nybegynder
26. marts 2005 - 22:49 #4
ikke både! bare kun
Avatar billede kullebo Nybegynder
27. marts 2005 - 11:40 #5
jeg er ved at have styr på IIS lockdown, men det ser ud til at den strammer så meget op at cms siderne får problemer med nogle af funktionerne.
jeg er ikke klar over om det er de nye rettigheder for den anonyme web user til mapperne. eller noget med scripts. nogen hjælp?
Avatar billede bufferzone Praktikant
27. marts 2005 - 14:49 #6
IIS lockdown håndtere slet ikke selve web delen, og jeg tror heller ikke at det er den vej de er kommet ind.
Det er klart at du også skal have strammet op på selve koderne og helt afhængig af hvilket cms system du anvender kan der også være kommet patches til det..

I første omgang ville jeg koncventrere mig om systemerne, patching og opsætning. Når det er i orden ville jeg kikke
Avatar billede kullebo Nybegynder
27. marts 2005 - 18:19 #7
jeg ved med sikkerhed at selve win 2000 serveren er helt opdateret, det samme med sql 4.1 eren og php. cms systemerne er henholdsvis mambo og e-107 som begge er patched.

når jeg kigger på loggen ligner det (for mig) at de overfører en række txt dokumenter og en exe fil. 10.000 kroner spørgsmålet for for mig er hvordan de gør?
er det noget med  DAV eller PROPFIND, og hvad er det.

jeg ved også at det standser når jeg ikke giver WRITE rettighedder til Iuser på serveren, men så virker portalerne ikke mere.
Avatar billede bufferzone Praktikant
27. marts 2005 - 22:47 #8
Har du Frontpage Server Extentions på din server?
Avatar billede kullebo Nybegynder
27. marts 2005 - 23:01 #9
Nej ikke mere, den har jeg lige fjernet
Avatar billede bufferzone Praktikant
27. marts 2005 - 23:12 #10
PROPFIND og DAV hinter til WebDav som er en del af IIS og frontpage server extentions. Det at du har fjernet disse server extentions skulle klare problemet. prøv at se hvad der sker og vend tilbage med det samme der sker noget. Du vil sikkert kunne se forsøgene i din log. og kommer de ikke ind så er du dermed sikret
Avatar billede kullebo Nybegynder
28. marts 2005 - 09:58 #11
jeg har nu kørt de lockdowns som jeg kunne uden at nødvendige ting blev stoppet.
i første linje kan man se at lovlig trafik (mig selv) blev standset når urlscan var aktiv, den er nu slået fra, men kan man ændre på dens opsætning?. jeg går ud fra det er et godt værktøj at have kørende.

i de næste linjer kan man se at samme hacker prøver igen, men jeg kan ikke se på filen om han kommer ind (hvad betyder 404 og 405) (der er ingen filer på serveren, som før).

det er mit indtryk at hackeren bliver bremset og vi er tæt på et svar :-)

jeg er heller ikke klar over om han har adgang til /_vti_bin/shtml.exe/_vti_rpc osv. jeg mener det er virtuelle biblioteker på default websted, men ikke sikker

2005-03-27 06:48:19 83.90.255.184 - 192.168.1.33 80 GET /<Rejected-By-UrlScan> ~/e107_themes/samara.theme.v3/images/bar.jpg 404 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1)

2005-03-27 17:33:33 200.158.79.122 - 192.168.1.33 80 GET /symantec/SymantecSpy-Remover.exe - 404 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)

2005-03-27 22:01:59 200.204.44.55 - 192.168.1.33 80 GET /_vti_inf.html - 404 Mozilla/4.0+(compatible;+MS+FrontPage+6.0)

2005-03-28 00:04:16 200.204.44.55 - 192.168.1.33 80 OPTIONS / - 200 Microsoft+Data+Access+Internet+Publishing+Provider+Protocol+Discovery
2005-03-28 00:04:19 200.204.44.55 - 192.168.1.33 80 GET /_vti_inf.html - 404 Mozilla/4.0+(compatible;+MS+FrontPage+6.0)
2005-03-28 00:04:19 200.204.44.55 - 192.168.1.33 80 POST /_vti_bin/shtml.exe/_vti_rpc - 405 MSFrontPage/6.0
2005-03-28 00:04:20 200.204.44.55 - 192.168.1.33 80 GET /_vti_inf.html - 404 Mozilla/4.0+(compatible;+MS+FrontPage+6.0)
2005-03-28 00:04:20 200.204.44.55 - 192.168.1.33 80 POST /_vti_bin/shtml.exe/_vti_rpc - 405 MSFrontPage/6.0
2005-03-28 00:04:22 200.204.44.55 - 192.168.1.33 80 OPTIONS / - 200 Microsoft+Data+Access+Internet+Publishing+Provider+Protocol+Discovery
Avatar billede bufferzone Praktikant
28. marts 2005 - 12:28 #12
URL scanneren er meget værsntlig, det er den der fanger de fleste af disse angrab, der jo gennemføres ved at sende en craftet url forespørgsel til din web server.

404.htm er den "side" du får op nor du forespørger en side der ikke findes på web serveren og 205 er noget af detsamme. Dette betyder at hackeren ikke har success.

Mht /_vti_bin/shtml.exe/_vti_rpc osv.  er jeg ikke helt sikker på at den "kun" er virtuel.

Du bør nu gøre følgende:

Find ud af hvorfor urlscanneren standser din lovlige trafik, og ændre e.v.t. dine url'er m.m. så din lovlige trafik for lov til at passere og du kan kører med ursscanneren slået til.

Hold øje med updates og patches

Overvej en firewall, gerne en ordentlig bastions firewall der er application aware. F.eks. en netfilter med squid og jeanna oven på. Dette er nok en lidt står mundfuld, men hvis du mener sikkerhed alvorligt kan du lige så godt kikke nøje på dette område.

Overvej et Intrition detection system, så du bliver advaret når der sker noget, F.eks. Snort der også er linus (ligesom netfilter, squid og jeanna) og som arbejder fint sammen med de tre andre.

Bliv ved med at gennemse din log og gem gamle logfiler så du kan kikke tilbage
Avatar billede kullebo Nybegynder
28. marts 2005 - 20:49 #13
jammen dog, jeg fik en åbenbaring og kiggede i logfilen til urlscanneren ( godt tænkt ik) grunden til at en af siderne ikke kørte med den aktiv var at templaten indeholdt . (punktum)så nu er den ændret og scanneren kører :-)

alle de filtre du nævner siger mig intet, men jeg sætter mig ind i sagerne snarest.
jeg har i øjeblikket en router med firewall som jeg tror tager en del, og så ligger der en symantec antivirus til at snuppe noget fra mailserversoftwaren.

jeg tror nu at jeg har lukket langt de største huller, og accepterer her. tak for hjælpen
Avatar billede bufferzone Praktikant
28. marts 2005 - 20:52 #14
Velbekommen, det har da været en af de mere spændende opgaver. Du vender bare tilbage hvis der er mere.

og jo det var godt tænkt, logfiler er en guldgruppe hvis man forstår at læse dem
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester