FAQ |
Kalender |
2003-12-11, 21:36 | #1 | |||
|
||||
Supermoderator
|
Fick via ftp'n se en fil som hade tillkommit i morse...
Filen heter "www.arplhmd.cjb" med filtillägget "net_023023" När man söker på "arplhmd" på Google så står det ju helt klart att det handlar om hackers eller liknande. Nån som har nån aning om vad det kan vara? Är det en loggfil från något "kört program"? // Mats |
|||
Svara med citat |
2003-12-11, 21:58 | #2 | ||
|
|||
Medlem
|
Ojsan, ja de är ju en hacker/cracker-grupp verkar det som. Bäst att byta alla lösenord, uppdatera alla program och tjänster till senaste versionen.
Dubbelkolla att servern inte tillåter HTTP PUT någonstans, det kan hända att det var så de skickade upp filen, med HTTP PUT. Jag sökte lite och jag tror det fungerar såhär: någon lyckades använda HTTP PUT för att ladda upp ett program som gör det möjligt att accessa servern med de rättigheter som webbservern körs som. |
||
Svara med citat |
2003-12-11, 21:58 | #3 | ||
|
|||
Nykomling
|
Citat:
|
||
Svara med citat |
2003-12-11, 22:54 | #4 | ||
|
|||
Medlem
|
Lastbryggan vad kör du för webbhotell? Eller kör du med egen server?
Det är ju webbhotellet som ska skydda dej mot sånt... Vi hade en hacker/idiot för ett tag sedan som på något sätt lyckats komma åt vår mySQL-databas och lagt till en hel del otrevligheter där...usch... Men som sagt börja med att byta lösenord osv... |
||
Svara med citat |
2003-12-12, 02:01 | #5 | ||||
|
|||||
Supermoderator
|
Citat:
Har även kört en uppdate-runda så då är det i sin ordning. Citat:
Citat:
Citat:
Jag har naturligtvis haft en dialog med dom där jag har berättat vad som har hänt. Har tankat hem databasen och håller på med bilderna nu, 360mb bilder med en ADSL anslutning... :angry: // Mats |
||||
Svara med citat |
2003-12-12, 02:26 | #6 | ||||
|
|||||
Medlem
|
Citat:
Andra sidor nämnde att det skulle röra sig om en trojan/applikation som ger hackaren tillgång till servern med de rättigheter som webbservern körs som (eftersom filen laddats upp av och genom webbservern och därmed sparats av (och körs som) webbservern). HTTP PUT är ett av de s.k. "verben" i HTTP protokollen. De vanligast förekommande är HTTP GET som används för att göra en helt vanlig request av ett webbdokument. HTTP POST är även vanligt, det används när man "postar" formulärdata. HTTP PUT:s funktion är att ladda upp filer till webbservern, det och HTTP DELETE brukar vara avstängda eftersom de så gott som aldrig används. Detta verkar vara ett fall av ett ganska så grovt slarv av serveradministratören, eller så har HTTP PUT använts i kombination med en svaghet i webbservern, de är de enda möjligheterna som jag ser, spontant. Baserat på vad jag förstår så fungerar trojanen/applikationen som så att en HTTP GET request av den ger hackaren möjlighet att kontrollera servern med webbserver-användarens rättigheter, förmodligen genom att utlösa en buffer overflow som resulterar i en telnet-session. Citat:
Vad som måste göras är en rigorös inventering, versionskontroll och säkerhetskontroll av webbserverns konfiguration, dess moduler, osv. Hela webbmiljön. Att döma av svaret du fått av serveradministratören så är din server nu precis lika oskyddad/känslig som den var innan. |
||||
Svara med citat |
2003-12-12, 02:46 | #7 | |||
|
||||
Supermoderator
|
Citat:
vad jag kan hitta i sammanhang som förknippas med den där typen av filer på olika sajter så ser det ut som om filen i samtliga fall har något att göra med "Microsoft Data Access Internet Publishing Provider DAV 1.1" EDIT: Tittar man dessutom längst ner på en av deras websidor så hittar man en länk till ett exploit script vid namn iis5-WebDAV vilket möjligtvis skulle kunna vara något som är relaterat till det här. Beskrivning av WebDAV-exploiten en idé är att jämföra er uppsättning av programvara och se vilka deras senaste script är och på så sätt försöka närmare bekräfta vilken typ av exploit de användt sig av. förslagsvis bör du behålla filen samt kolla i era överföringsloggar (både ftp- och webserver-loggar), kolla datum på filen och jämföra datumet (samt ev. tidpunkt) med andra filer i ert system för att försöka säkerhetsställa hur stor tillgång de (scriptet/ev hacker) lyckats komma över m.m
__________________
[ Finanstips.se | Riktnummer.se | Väderlek.se | 3W.se | WWWW.se ]
. [ Marbella.se | ValutaGraf.se | Virusprogram.se | Malta Bolag.se | Växlingskontor.se ] . |
|||
Svara med citat |
2003-12-12, 03:09 | #8 | |||
|
||||
Supermoderator
|
Citat:
Filen är sparad och säkerhetskopiering är gjord, får ta tag i detta i morgon. Tack för hjälp och tips så länge, måste säga att WN är otroligt bra att ha till hands, kul att se vilken kompetens och kunskap många av er besitter. // Mats |
|||
Svara med citat |
2003-12-12, 03:21 | #9 | |||
|
||||
Supermoderator
|
Citat:
iofs är antagligen din server bara en i mängden av attackerade servrar då det antagligen är en massattack om man kikar lite närmare hur arplhmd:s färdiga scripts i allmänhet verkar vara utformade/används. förslagsvis bör du som en första åtgärd installera en patch mot den exploit jag nämnde ovan. patchar finns att hämta från microsofts servrar på följande adresser: IIS5/WEBDAV vulnerability patch Windows NT http://microsoft.com/downloads/details.asp...&displaylang=en Windows NT Terminal Server http://microsoft.com/downloads/details.asp...&displaylang=en Windows XP 32 bit http://microsoft.com/downloads/details.asp...&displaylang=en Windows XP 64 bit http://microsoft.com/downloads/details.asp...&displaylang=en ...dessutom bör du ju ha installerat patcher för "DCOM" och "RPC". Men de har du förhoppningsvis fått iomed windowsupdate
__________________
[ Finanstips.se | Riktnummer.se | Väderlek.se | 3W.se | WWWW.se ]
. [ Marbella.se | ValutaGraf.se | Virusprogram.se | Malta Bolag.se | Växlingskontor.se ] . |
|||
Svara med citat |
2003-12-12, 03:44 | #10 | |||
|
||||
Supermoderator
|
Tack Marcuss, tyvärr orkar jag inte med detta nu i kväll, får hoppas att inget händer i natt, får ta tag i det i morgon bitti.
Dax för några timmars sömn. //Mats |
|||
Svara med citat |
Svara |
|
|