[Mats]

Fick via ftp'n se en fil som hade tillkommit i morse...

Filen heter "www.arplhmd.cjb" med filtillägget "net_023023"
När man söker på "arplhmd" på Google så står det ju helt klart att det handlar om hackers eller liknande.

Nån som har nån aning om vad det kan vara?
Är det en loggfil från något "kört program"?

// Mats

[Jevesus]

Ojsan, ja de är ju en hacker/cracker-grupp verkar det som. Bäst att byta alla lösenord, uppdatera alla program och tjänster till senaste versionen.

Dubbelkolla att servern inte tillåter HTTP PUT någonstans, det kan hända att det var så de skickade upp filen, med HTTP PUT.

Jag sökte lite och jag tror det fungerar såhär: någon lyckades använda HTTP PUT för att ladda upp ett program som gör det möjligt att accessa servern med de rättigheter som webbservern körs som.

[sweden2003]

Citat:

Originally posted by Lastbryggan@Dec 11 2003, 19:36
Fick via ftp'n se en fil som hade tillkommit i morse...

Filen heter "www.arplhmd.cjb" med filtillägget "net_023023"
När man söker på "arplhmd" på Google så står det ju helt klart att det handlar om hackers eller liknande.

Nån som har nån aning om vad det kan vara?
Är det en loggfil från något "kört program"?

// Mats

Hmm...skumt. Dock vet jag inget om sånt där. Däremot undrar jag hur man kan se om man råkat få in några skumma filer. I vilken mapp kan dessa då ligga?

[Martin]

Lastbryggan vad kör du för webbhotell? Eller kör du med egen server?

Det är ju webbhotellet som ska skydda dej mot sånt...

Vi hade en hacker/idiot för ett tag sedan som på något sätt lyckats komma åt vår mySQL-databas och lagt till en hel del otrevligheter där...usch...

Men som sagt börja med att byta lösenord osv...

[Mats]

Citat:

Ojsan, ja de är ju en hacker/cracker-grupp verkar det som. Bäst att byta alla lösenord, uppdatera alla program och tjänster till senaste versionen.

Så, då var lösenorden bytta till inloggningen på serven och ftp'n.
Har även kört en uppdate-runda så då är det i sin ordning.

Citat:

Dubbelkolla att servern inte tillåter HTTP PUT någonstans, det kan hända att det var så de skickade upp filen, med HTTP PUT.

Eftersom jag inte är så hemma på denna typ av termer och har låtit min server konfigureras av webhotellet som jag ligger på så kanske du kan tala om hur jag kollar detta.

Citat:

Lastbryggan vad kör du för webbhotell? Eller kör du med egen server?

Jag har min egen server placerad i Göteborg och den administreras av ett litet webhotell.

Citat:

Det är ju webbhotellet som ska skydda dej mot sånt...

Dom har en brandvägg installerad.
Jag har naturligtvis haft en dialog med dom där jag har berättat vad som har hänt.

Har tankat hem databasen och håller på med bilderna nu, 360mb bilder med en ADSL anslutning... :angry:

// Mats

[Jevesus]

Citat:

Citat:

Eftersom jag inte är så hemma på denna typ av termer och har låtit min server konfigureras av webhotellet som jag ligger på så kanske du kan tala om hur jag kollar detta.

Eftersökningar med google visade exempel på statistikloggar där filer med liknande filnamn (fast filändelse med annorlunda siffror (vilka verkar vara datum)) har laddats upp med HTTP PUT.

Andra sidor nämnde att det skulle röra sig om en trojan/applikation som ger hackaren tillgång till servern med de rättigheter som webbservern körs som (eftersom filen laddats upp av och genom webbservern och därmed sparats av (och körs som) webbservern).

HTTP PUT är ett av de s.k. "verben" i HTTP protokollen. De vanligast förekommande är HTTP GET som används för att göra en helt vanlig request av ett webbdokument. HTTP POST är även vanligt, det används när man "postar" formulärdata. HTTP PUT:s funktion är att ladda upp filer till webbservern, det och HTTP DELETE brukar vara avstängda eftersom de så gott som aldrig används. Detta verkar vara ett fall av ett ganska så grovt slarv av serveradministratören, eller så har HTTP PUT använts i kombination med en svaghet i webbservern, de är de enda möjligheterna som jag ser, spontant.

Baserat på vad jag förstår så fungerar trojanen/applikationen som så att en HTTP GET request av den ger hackaren möjlighet att kontrollera servern med webbserver-användarens rättigheter, förmodligen genom att utlösa en buffer overflow som resulterar i en telnet-session.

Citat:

Citat:

Dom har en brandvägg installerad.
Jag har naturligtvis haft en dialog med dom där jag har berättat vad som har hänt.

Oj oj, det är ju allvarligt. Det innebär ju att vad för typ av svaghet som hackarna än använde så finns den kvar! Om det är som jag tror, att HTTP PUT har använts (möjligen i kombination med en svaghet i webbservern), så skyddar ingen brandvägg mot dessa attacker, eftersom den öppna porten 80 som används för alla HTTP requests används.

Vad som måste göras är en rigorös inventering, versionskontroll och säkerhetskontroll av webbserverns konfiguration, dess moduler, osv. Hela webbmiljön. Att döma av svaret du fått av serveradministratören så är din server nu precis lika oskyddad/känslig som den var innan.

[Marcus]

Citat:

Originally posted by Lastbryggan@Dec 11 2003, 18:36
Fick via ftp'n se en fil som hade tillkommit i morse...

Filen heter "www.arplhmd.cjb" med filtillägget "net_023023"
När man söker på "arplhmd" på Google så står det ju helt klart att det handlar om hackers eller liknande.

Nån som har nån aning om vad det kan vara?
Är det en loggfil från något "kört program"?

// Mats

skulle vilja påstå att filen heter "www.arplhmd.cjb.net" med tillägget "_023023" isåfall. där www.arplhmd.cjb.net representerar Brasilianska "underground"-gruppen arplhmd:s officiella websida, som egentligen ligger på "gratiswebhotellet" Angelfire under adressen http://www.angelfire.com/pe2/arplhmd/ och tillägget "_023023" är en slumpad sträng som skapats i samband med att någon typ av script/program (förslagvis en exploit) gjord av arplhmd körts. med största sannolikhet alltså ingen från arplhmd som defacat er server utan möjligtvis någon scriptkiddie som tankat ner något av deras massexploit-scripts. (för övrigt listade bland Brasilianska sites hackers)

vad jag kan hitta i sammanhang som förknippas med den där typen av filer på olika sajter så ser det ut som om filen i samtliga fall har något att göra med "Microsoft Data Access Internet Publishing Provider DAV 1.1"

EDIT: Tittar man dessutom längst ner på en av deras websidor så hittar man en länk till ett exploit script vid namn iis5-WebDAV vilket möjligtvis skulle kunna vara något som är relaterat till det här.
Beskrivning av WebDAV-exploiten

en idé är att jämföra er uppsättning av programvara och se vilka deras senaste script är och på så sätt försöka närmare bekräfta vilken typ av exploit de användt sig av.

förslagsvis bör du behålla filen samt kolla i era överföringsloggar (både ftp- och webserver-loggar), kolla datum på filen och jämföra datumet (samt ev. tidpunkt) med andra filer i ert system för att försöka säkerhetsställa hur stor tillgång de (scriptet/ev hacker) lyckats komma över m.m

[Mats]

Citat:

skulle vilja påstå att filen heter "www.arplhmd.cjb.net" med tillägget "_023023" isåfall.

Stämmer nog bra det.
Filen är sparad och säkerhetskopiering är gjord, får ta tag i detta i morgon.

Tack för hjälp och tips så länge, måste säga att WN är otroligt bra att ha till hands, kul att se vilken kompetens och kunskap många av er besitter.

// Mats

[Marcus]

Citat:

Originally posted by Lastbryggan@Dec 12 2003, 00:09
Filen är sparad och säkerhetskopiering är gjord, får ta tag i detta i morgon.

vet inte riktigt hur mycket tid och tillgång till servern du har men ett förslag är att försöka ta itu med det så fort som möjligt. finns stora chanser att det är någon scriptkiddie i brasilien eftersom de valt just arplhmd:s exploit av alla som finns. där är klockan bara strax efter 21 på kvällen och dom kan hinna åstadkomma mycket otyg under en hel natt - speciellt om du lagrar kreditkorts-information på servern vilket ofta är vad de är ute efter då de ger sig på butiker online.

iofs är antagligen din server bara en i mängden av attackerade servrar då det antagligen är en massattack om man kikar lite närmare hur arplhmd:s färdiga scripts i allmänhet verkar vara utformade/används.

förslagsvis bör du som en första åtgärd installera en patch mot den exploit jag nämnde ovan. patchar finns att hämta från microsofts servrar på följande adresser:


IIS5/WEBDAV vulnerability patch

Windows NT
http://microsoft.com/downloads/details.asp...&displaylang=en

Windows NT Terminal Server
http://microsoft.com/downloads/details.asp...&displaylang=en

Windows XP 32 bit
http://microsoft.com/downloads/details.asp...&displaylang=en

Windows XP 64 bit
http://microsoft.com/downloads/details.asp...&displaylang=en


...dessutom bör du ju ha installerat patcher för "DCOM" och "RPC". Men de har du förhoppningsvis fått iomed windowsupdate

[Mats]

Tack Marcuss, tyvärr orkar jag inte med detta nu i kväll, får hoppas att inget händer i natt, får ta tag i det i morgon bitti.
Dax för några timmars sömn.

//Mats