[Jevesus]

Jag var inne på att det var frågan om en Apache Webserver, men WEBDAV använder ju HTTP PUT för uppladdning så det förklarar ju saken.

Hur som helst så skyddar ingen brandvägg mot attackerna eftersom de utnyttjar samma port som vanliga webbsideförfrågningar gör.

Jag blir lite orolig när du fick svaret att "det inte finns något att göra åt saken", särskilt eftersom mycket tyder på att det just är frågan om dålig patchning/uppdatering av servern, vilket ju absolut går att åtgärda. Patcharna marcuss länkar till visar att de kom 4/23/2003... det verkar ju som att serveradministratörerna inte direkt ligger i för att se till att servern är uppdaterad ordentligt. Men men, det kommer ju väldigt mycket säkerhetsuppdateringar. Hur som helst bör du kunna kräva att de uppdaterar servern inom accepterbar tid.

Förövrigt läste jag i exploitbeskrivningen att trojanen/applikationen ger hackaren tillgång till ett kommandoradsfönster, dock verkar den kräva vissa hål i brandväggen, så där är du ju förmodligen safe iaf.

[Marcus]

Citat:

Originally posted by Lastbryggan@Dec 12 2003, 00:44
Tack Marcuss, tyvärr orkar jag inte med detta nu i kväll, får hoppas att inget händer i natt, får ta tag i det i morgon bitti.
Dax för några timmars sömn.

//Mats

okej, du har ju iaf tagit backup och begränsat maximala skadorna väsentligt - vilket bara det är bra.
men visst, ingen orsak. kul om man kan hjälpa. har du fler frågor är du välkommen.

[Mats]

Citat:

har du fler frågor är du välkommen.

Det gör jag säkert!, har mejlat webhotellet och klippt in vad du har skrivit och jag har bett honom att kolla om patcharna är installerade, återkommer i morgon.

// Mats

[Marcus]

Citat:

Originally posted by Lastbryggan@Dec 12 2003, 00:53

Citat:

Det gör jag säkert!, har mejlat webhotellet och klippt in vad du har skrivit och jag har bett honom att kolla om patcharna är installerade, återkommer i morgon.

// Mats

okej, visst. det blir nog bra!
Sov gott!

[Mats]

Följande kom från webhotellet i morse.
"Jag har patchat din server. Jag tror det är safe nu !"


//Mats

[Marcus]

Citat:

Originally posted by Lastbryggan@Dec 12 2003, 08:20
Följande kom från webhotellet i morse.
"Jag har patchat din server. Jag tror det är safe nu !"


//Mats

okej, det du skulle kunna göra för att bekräfta är ju att köra deras exploit mot din egen server och se resultatet. på så sätt kan du se att patchen verkligen är där utan större arbetsinsats. kör du din websajt på egen server är det ju heller ingen annan som har att göra med om du försöker 'hacka' din egna burk och är m.a.o. helt legitimt.

samtidigt bör du nog ta dig en koll så inga "konstiga filer" (exempelvis keyloggers/sniffers eller liknande) hamnat i startupen nånstans. isåfall kan de fortfarande göra en hel del skada genom att de då skulle komma över dina lösenord förr eller senare - detta alltså även om datorn nu är patchad.

har någon fått in en fil på din dator är det ju ganska stor risk att de även fått in flera. den där typen av sk. "remote exploits" brukar ofta i samma sväng, som de kontrollerar en mängd datorer om de är sårbara, vara utformade så att om de lyckas använda en bug nånstans, så försöker de då samtidigt öppna upp och möjliggöra framtida tillgång till datorn för hackaren.

[Mats]

Citat:

okej, det du skulle kunna göra för att bekräfta är ju att köra deras exploit mot din egen server och se resultatet. på så sätt kan du se att patchen verkligen är där utan större arbetsinsats. kör du din websajt på egen server är det ju heller ingen annan som har att göra med om du försöker 'hacka' din egna burk och är m.a.o. helt legitimt.

Korkad fråga kanske, men hur skulle det gå till rent praktiskt att köra den själv?

Citat:

samtidigt bör du nog ta dig en koll så inga "konstiga filer" (exempelvis keyloggers/sniffers eller liknande) hamnat i startupen nånstans. isåfall kan de fortfarande göra en hel del skada genom att de då skulle komma över dina lösenord förr eller senare - detta alltså även om datorn nu är patchad.

Har kollat runt på alla filler som ändrades eller lades till igår men hittar inget anmärkningsvärt.

Har du någon idé om vad jag skulle kunna söka efter för "ord/fil"?

// Mats

[Marcus]

Citat:

Originally posted by Lastbryggan@Dec 12 2003, 15:58
Korkad fråga kanske, men hur skulle det gå till rent praktiskt att köra den själv?

nejdå. för att köra den själv skulle du förslagsvis kompilera ett "program", som utnyttjar detta säkerhetshål, på en annan (unix-)dator och därefter köra den mot ("attackera") din dator (ip-adressen som din dator har) och se resultatet. borde antagligen ganska tydligt framgå om den lyckas med attacken eller ej lite beroende på vad du använder för script. attacken borde som du förstår inte lyckas nu om patchen täppt det vi önskat.

"attackerar" du dig själv har du då samtidigt möjligheter att exempelvis analysera all trafik till din dator just kring den tidpunkten och på så sätt se ganska tydligt vad scriptet tar sig till utan att du behöver sätta dig in i C-koden för liknande exploits, om du inte så gärna gör det.

observera dock att om du väljer att utnyttja något färdigskrivet program som utnyttjar exploiten, så bör du kika igenom det lite snabbt så det inte ser ut att göra något dumt OCH absolut inte köra det från någon priviligerad användare då den där typen av script även -kan- ha inbyggda backdoors om det skulle vilja sig illa.

problemet när man blivit utsatt för intrång är ofta att "absolut" försäkra sig om att inga bakdörrar installerats som gör att hackaren har fortsatt tillgång till datorn även efter att man täppt till de säkerhetshål som utnyttjades vid själva intrånget. många administratörer väljer att installera om datorn helt på nytt eftersom de anser att genomsökningen av datorn är alltför kostsamt i tid och att en ominstallation ger "absolut" garanti att inga bakdörrar finns kvar efter själva intrånget. en absolut försäkran om att man hittat alla ev. bakdörrar eller åtminstone försäkrat sig om att det inte finns några, är ofta mycket tidskrävande men ändå att föredra i vissa fall.

gäller att försöka hitta så mycket information som möjligt om själva intrånget för att försöka fastställa vad som egentligen hände -efter- att hackaren tagit sig in. i många fall hände inget annat än just att scriptet/programmet kontrollerade om din dator var sårbar genom t.ex. att skriva en fil till din hårddisk och sedan se om skrivningen lyckades eller ej. hackaren som "scannar" igenom många datorer får då t.ex. ip-adressen till din dator lagrad i en speciell lista för "sårbara datorer" - tillsammans med ett antal andra datorer där scriptet också lyckades utnyttja säkerhetshålet. när hackaren sedan går igenom sin lista med "lyckade" intrångsförsök försöker denne då vidare utnyttja din dator. om en av de filer som eventuellt skrevs till din hårddisk vid det lyckade intrångsförsöket skulle innehålla en bakdörr kan den alltså ge hackaren tillgång till din dator trots att det ursprungliga säkerhetshålet säkrats/patchats mot.

Citat:

Har kollat runt på alla filler som ändrades eller lades till igår men hittar inget anmärkningsvärt.

Har du någon idé om vad jag skulle kunna söka efter för "ord/fil"?

// Mats

det är ganska lätt för ett program att även byta datum (datera tillbaka) en fil som de inte vill ska väcka misstankar - så man bör vara medveten om att det inte är någon absolut garanti för att en fil inte var modifierad igår. (blev lite dubbla negationer men hoppas du förstod)

har inte satt mig in exakt i hur exploiten fungerar i detalj (och vet dessutom inte exakt hur det program de använde för att dra nytta av exploiten ser ut) så jag kan inte ge något detaljerat förslag på någon ord eller fil. men förslagsvis kikar du igenom de allra vanligaste platserna på hårddisken och ser till att inget hamnat i de olika platserna för "autostartade" program för datorn (program som exekveras vid uppstart av windows, t.ex. efter reboot). kan även kanske vara idé att kika igenom de program som redan körs eftersom då den som installerade patchen antagligen bootade om datorn vilket gör att ev. program i autostarten redan kan vara igång/exekverats.

Några enkla tips för höjd säkerhet
det man bör göra på en dator (server) för att uppnå relativt hög säkerhet är blandannat att konfigurera firewallen på så sätt att man stänger all in- och utgående trafik och därefter endast öppnar de portar som är absolut nödvändiga för att önskade tjänster ska fungera. (tänk på att om man konfigurerar firewallen remote så är det inte så bra att stänga all ingående trafik utan att i förväg öppnat för den ingående trafik du behöver för att få tillgång till den eftersom då tappar även du din remote-anslutning och måste vara på plats rent fysiskt för att ordna detta).

även om man kör firewall bör man dessutom stänga de services i Windows som man inte har någon användning av eftersom varje program/service mer eller mindre ökar chansen till en bug och därmed kan möjliggöra en kryphål att utnyttjas för intrång.