Fick via ftp'n se en fil som hade tillkommit i morse...

Filen heter "www.arplhmd.cjb" med filtillägget "net_023023"
När man söker på "arplhmd" på Google så står det ju helt klart att det handlar om hackers eller liknande.

Nån som har nån aning om vad det kan vara?
Är det en loggfil från något "kört program"?

// Mats

Ojsan, ja de är ju en hacker/cracker-grupp verkar det som. Bäst att byta alla lösenord, uppdatera alla program och tjänster till senaste versionen.

Dubbelkolla att servern inte tillåter HTTP PUT någonstans, det kan hända att det var så de skickade upp filen, med HTTP PUT.

Jag sökte lite och jag tror det fungerar såhär: någon lyckades använda HTTP PUT för att ladda upp ett program som gör det möjligt att accessa servern med de rättigheter som webbservern körs som.

Hmm...skumt. Dock vet jag inget om sånt där. Däremot undrar jag hur man kan se om man råkat få in några skumma filer. I vilken mapp kan dessa då ligga?

Lastbryggan vad kör du för webbhotell? Eller kör du med egen server?

Det är ju webbhotellet som ska skydda dej mot sånt...

Vi hade en hacker/idiot för ett tag sedan som på något sätt lyckats komma åt vår mySQL-databas och lagt till en hel del otrevligheter där...usch... ;)

Men som sagt börja med att byta lösenord osv...

Så, då var lösenorden bytta till inloggningen på serven och ftp'n.
Har även kört en uppdate-runda så då är det i sin ordning.

Eftersom jag inte är så hemma på denna typ av termer och har låtit min server konfigureras av webhotellet som jag ligger på så kanske du kan tala om hur jag kollar detta.

Jag har min egen server placerad i Göteborg och den administreras av ett litet webhotell.

Dom har en brandvägg installerad.
Jag har naturligtvis haft en dialog med dom där jag har berättat vad som har hänt.

Har tankat hem databasen och håller på med bilderna nu, 360mb bilder med en ADSL anslutning... :angry:

// Mats

Eftersökningar med google visade exempel på statistikloggar där filer med liknande filnamn (fast filändelse med annorlunda siffror (vilka verkar vara datum)) har laddats upp med HTTP PUT.

Andra sidor nämnde att det skulle röra sig om en trojan/applikation som ger hackaren tillgång till servern med de rättigheter som webbservern körs som (eftersom filen laddats upp av och genom webbservern och därmed sparats av (och körs som) webbservern).

HTTP PUT är ett av de s.k. "verben" i HTTP protokollen. De vanligast förekommande är HTTP GET som används för att göra en helt vanlig request av ett webbdokument. HTTP POST är även vanligt, det används när man "postar" formulärdata. HTTP PUT:s funktion är att ladda upp filer till webbservern, det och HTTP DELETE brukar vara avstängda eftersom de så gott som aldrig används. Detta verkar vara ett fall av ett ganska så grovt slarv av serveradministratören, eller så har HTTP PUT använts i kombination med en svaghet i webbservern, de är de enda möjligheterna som jag ser, spontant.

Baserat på vad jag förstår så fungerar trojanen/applikationen som så att en HTTP GET request av den ger hackaren möjlighet att kontrollera servern med webbserver-användarens rättigheter, förmodligen genom att utlösa en buffer overflow som resulterar i en telnet-session.

Oj oj, det är ju allvarligt. Det innebär ju att vad för typ av svaghet som hackarna än använde så finns den kvar! Om det är som jag tror, att HTTP PUT har använts (möjligen i kombination med en svaghet i webbservern), så skyddar ingen brandvägg mot dessa attacker, eftersom den öppna porten 80 som används för alla HTTP requests används.

Vad som måste göras är en rigorös inventering, versionskontroll och säkerhetskontroll av webbserverns konfiguration, dess moduler, osv. Hela webbmiljön. Att döma av svaret du fått av serveradministratören så är din server nu precis lika oskyddad/känslig som den var innan.

skulle vilja påstå att filen heter "www.arplhmd.cjb.net" med tillägget "_023023" isåfall. där www.arplhmd.cjb.net representerar Brasilianska "underground"-gruppen arplhmd:s officiella websida, som egentligen ligger på "gratiswebhotellet" Angelfire under adressen http://www.angelfire.com/pe2/arplhmd/ och tillägget "_023023" är en slumpad sträng som skapats i samband med att någon typ av script/program (förslagvis en exploit) gjord av arplhmd körts. med största sannolikhet alltså ingen från arplhmd som defacat er server utan möjligtvis någon scriptkiddie som tankat ner något av deras massexploit-scripts. (för övrigt listade bland Brasilianska sites hackers)

vad jag kan hitta i sammanhang som förknippas med den där typen av filer på olika sajter så ser det ut som om filen i samtliga fall har något att göra med "Microsoft Data Access Internet Publishing Provider DAV 1.1"

EDIT: Tittar man dessutom längst ner på en av deras websidor så hittar man en länk till ett exploit script vid namn iis5-WebDAV vilket möjligtvis skulle kunna vara något som är relaterat till det här.
Beskrivning av WebDAV-exploiten

en idé är att jämföra er uppsättning av programvara och se vilka deras senaste script är och på så sätt försöka närmare bekräfta vilken typ av exploit de användt sig av.

förslagsvis bör du behålla filen samt kolla i era överföringsloggar (både ftp- och webserver-loggar), kolla datum på filen och jämföra datumet (samt ev. tidpunkt) med andra filer i ert system för att försöka säkerhetsställa hur stor tillgång de (scriptet/ev hacker) lyckats komma över m.m

Stämmer nog bra det.
Filen är sparad och säkerhetskopiering är gjord, får ta tag i detta i morgon.

Tack för hjälp och tips så länge, måste säga att WN är otroligt bra att ha till hands, kul att se vilken kompetens och kunskap många av er besitter.

// Mats

vet inte riktigt hur mycket tid och tillgång till servern du har men ett förslag är att försöka ta itu med det så fort som möjligt. finns stora chanser att det är någon scriptkiddie i brasilien eftersom de valt just arplhmd:s exploit av alla som finns. där är klockan bara strax efter 21 på kvällen och dom kan hinna åstadkomma mycket otyg under en hel natt - speciellt om du lagrar kreditkorts-information på servern vilket ofta är vad de är ute efter då de ger sig på butiker online.

iofs är antagligen din server bara en i mängden av attackerade servrar då det antagligen är en massattack om man kikar lite närmare hur arplhmd:s färdiga scripts i allmänhet verkar vara utformade/används.

förslagsvis bör du som en första åtgärd installera en patch mot den exploit jag nämnde ovan. patchar finns att hämta från microsofts servrar på följande adresser:


IIS5/WEBDAV vulnerability patch

Windows NT
http://microsoft.com/downloads/details.asp...&displaylang=en

Windows NT Terminal Server
http://microsoft.com/downloads/details.asp...&displaylang=en

Windows XP 32 bit
http://microsoft.com/downloads/details.asp...&displaylang=en

Windows XP 64 bit
http://microsoft.com/downloads/details.asp...&displaylang=en


...dessutom bör du ju ha installerat patcher för "DCOM" och "RPC". Men de har du förhoppningsvis fått iomed windowsupdate

Tack Marcuss, tyvärr orkar jag inte med detta nu i kväll, får hoppas att inget händer i natt, får ta tag i det i morgon bitti.
Dax för några timmars sömn.

//Mats

Jag var inne på att det var frågan om en Apache Webserver, men WEBDAV använder ju HTTP PUT för uppladdning så det förklarar ju saken.

Hur som helst så skyddar ingen brandvägg mot attackerna eftersom de utnyttjar samma port som vanliga webbsideförfrågningar gör.

Jag blir lite orolig när du fick svaret att "det inte finns något att göra åt saken", särskilt eftersom mycket tyder på att det just är frågan om dålig patchning/uppdatering av servern, vilket ju absolut går att åtgärda. Patcharna marcuss länkar till visar att de kom 4/23/2003... det verkar ju som att serveradministratörerna inte direkt ligger i för att se till att servern är uppdaterad ordentligt. Men men, det kommer ju väldigt mycket säkerhetsuppdateringar. Hur som helst bör du kunna kräva att de uppdaterar servern inom accepterbar tid.

Förövrigt läste jag i exploitbeskrivningen att trojanen/applikationen ger hackaren tillgång till ett kommandoradsfönster, dock verkar den kräva vissa hål i brandväggen, så där är du ju förmodligen safe iaf.

okej, du har ju iaf tagit backup och begränsat maximala skadorna väsentligt - vilket bara det är bra.
men visst, ingen orsak. kul om man kan hjälpa. har du fler frågor är du välkommen.

Det gör jag säkert!, har mejlat webhotellet och klippt in vad du har skrivit och jag har bett honom att kolla om patcharna är installerade, återkommer i morgon.

// Mats

okej, visst. det blir nog bra!
Sov gott!

Följande kom från webhotellet i morse.
"Jag har patchat din server. Jag tror det är safe nu !"


//Mats

okej, det du skulle kunna göra för att bekräfta är ju att köra deras exploit mot din egen server och se resultatet. på så sätt kan du se att patchen verkligen är där utan större arbetsinsats. kör du din websajt på egen server är det ju heller ingen annan som har att göra med om du försöker 'hacka' din egna burk och är m.a.o. helt legitimt.

samtidigt bör du nog ta dig en koll så inga "konstiga filer" (exempelvis keyloggers/sniffers eller liknande) hamnat i startupen nånstans. isåfall kan de fortfarande göra en hel del skada genom att de då skulle komma över dina lösenord förr eller senare - detta alltså även om datorn nu är patchad.

har någon fått in en fil på din dator är det ju ganska stor risk att de även fått in flera. den där typen av sk. "remote exploits" brukar ofta i samma sväng, som de kontrollerar en mängd datorer om de är sårbara, vara utformade så att om de lyckas använda en bug nånstans, så försöker de då samtidigt öppna upp och möjliggöra framtida tillgång till datorn för hackaren.

Korkad fråga kanske, men hur skulle det gå till rent praktiskt att köra den själv?

Har kollat runt på alla filler som ändrades eller lades till igår men hittar inget anmärkningsvärt.

Har du någon idé om vad jag skulle kunna söka efter för "ord/fil"?

// Mats

nejdå. för att köra den själv skulle du förslagsvis kompilera ett "program", som utnyttjar detta säkerhetshål, på en annan (unix-)dator och därefter köra den mot ("attackera") din dator (ip-adressen som din dator har) och se resultatet. borde antagligen ganska tydligt framgå om den lyckas med attacken eller ej lite beroende på vad du använder för script. attacken borde som du förstår inte lyckas nu om patchen täppt det vi önskat.

"attackerar" du dig själv har du då samtidigt möjligheter att exempelvis analysera all trafik till din dator just kring den tidpunkten och på så sätt se ganska tydligt vad scriptet tar sig till utan att du behöver sätta dig in i C-koden för liknande exploits, om du inte så gärna gör det.

observera dock att om du väljer att utnyttja något färdigskrivet program som utnyttjar exploiten, så bör du kika igenom det lite snabbt så det inte ser ut att göra något dumt OCH absolut inte köra det från någon priviligerad användare då den där typen av script även -kan- ha inbyggda backdoors om det skulle vilja sig illa.

problemet när man blivit utsatt för intrång är ofta att "absolut" försäkra sig om att inga bakdörrar installerats som gör att hackaren har fortsatt tillgång till datorn även efter att man täppt till de säkerhetshål som utnyttjades vid själva intrånget. många administratörer väljer att installera om datorn helt på nytt eftersom de anser att genomsökningen av datorn är alltför kostsamt i tid och att en ominstallation ger "absolut" garanti att inga bakdörrar finns kvar efter själva intrånget. en absolut försäkran om att man hittat alla ev. bakdörrar eller åtminstone försäkrat sig om att det inte finns några, är ofta mycket tidskrävande men ändå att föredra i vissa fall.

gäller att försöka hitta så mycket information som möjligt om själva intrånget för att försöka fastställa vad som egentligen hände -efter- att hackaren tagit sig in. i många fall hände inget annat än just att scriptet/programmet kontrollerade om din dator var sårbar genom t.ex. att skriva en fil till din hårddisk och sedan se om skrivningen lyckades eller ej. hackaren som "scannar" igenom många datorer får då t.ex. ip-adressen till din dator lagrad i en speciell lista för "sårbara datorer" - tillsammans med ett antal andra datorer där scriptet också lyckades utnyttja säkerhetshålet. när hackaren sedan går igenom sin lista med "lyckade" intrångsförsök försöker denne då vidare utnyttja din dator. om en av de filer som eventuellt skrevs till din hårddisk vid det lyckade intrångsförsöket skulle innehålla en bakdörr kan den alltså ge hackaren tillgång till din dator trots att det ursprungliga säkerhetshålet säkrats/patchats mot.

det är ganska lätt för ett program att även byta datum (datera tillbaka) en fil som de inte vill ska väcka misstankar - så man bör vara medveten om att det inte är någon absolut garanti för att en fil inte var modifierad igår. (blev lite dubbla negationer men hoppas du förstod)

har inte satt mig in exakt i hur exploiten fungerar i detalj (och vet dessutom inte exakt hur det program de använde för att dra nytta av exploiten ser ut) så jag kan inte ge något detaljerat förslag på någon ord eller fil. men förslagsvis kikar du igenom de allra vanligaste platserna på hårddisken och ser till att inget hamnat i de olika platserna för "autostartade" program för datorn (program som exekveras vid uppstart av windows, t.ex. efter reboot). kan även kanske vara idé att kika igenom de program som redan körs eftersom då den som installerade patchen antagligen bootade om datorn vilket gör att ev. program i autostarten redan kan vara igång/exekverats.

Några enkla tips för höjd säkerhet
det man bör göra på en dator (server) för att uppnå relativt hög säkerhet är blandannat att konfigurera firewallen på så sätt att man stänger all in- och utgående trafik och därefter endast öppnar de portar som är absolut nödvändiga för att önskade tjänster ska fungera. (tänk på att om man konfigurerar firewallen remote så är det inte så bra att stänga all ingående trafik utan att i förväg öppnat för den ingående trafik du behöver för att få tillgång till den eftersom då tappar även du din remote-anslutning och måste vara på plats rent fysiskt för att ordna detta).

även om man kör firewall bör man dessutom stänga de services i Windows som man inte har någon användning av eftersom varje program/service mer eller mindre ökar chansen till en bug och därmed kan möjliggöra en kryphål att utnyttjas för intrång.