[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Servermissbrauch

Date: Sat, 29 Dec 2001 20:31:13 +0100
From: Herbert Hirschfelder <Herbert.Hirschfelder _at__ bib.uni-erlangen.de>
Subject: Re: Servermissbrauch

Lieber Herr Roedding,

die Notleine (Strippe) ist gezogen; hier noch weitere Erkenntnisse aus privat
zugegeangenen Mails (Dank an H. Plate und H. Alpers):
- dsnx.exe und
- ncx99.exe
sind Trojaner, die eine Hintertuer (backdoor) installieren.
(dsnx.exe hat sich samt Directory mittlerweile aufgeloest, der EventViewer meldet
dazu:
"the script started from the URL '...\cmd.exe' with parameters
''c+c:\inetpub\scripts\tbg\su.exe' has not responded in the configured timeout
period. The HTTP server is terminating the script"
(das Directory c:\inetpub\scripts samt Unterdirectory tbg wurde geloescht.)

Ebenso wurde das Directory \inetpub\wwwroot\install geloescht (darin befand sich
sys.exe), und auch \inetpub\mysqrldir\ (enthielt vorher: server.exe und
mysqlprg.exe) ist verchwunden.

Es sind offenbar mehrere Eindringlinge am Werk gewesen (wir waren wohl ein
heisser Tip in der Szene?), denn ncx99.exe treibt sich noch herum.

Wie ich weiterhin feststellen konnte, sind unter
c:\winnt\profiles\administrator\recent
einschlaegige Shortcuts eingerichtet (z.B. server.dat, bentserv.dat,
serv-u.ini), wobei sich der Eindringling mehr Muehe gegeben hat (oder als
Administrator zu Werke ging), denn hier ist als Owner "Administrators"
eingetragen.

Ominoes ist noch, dass sich auf C: und E: im Directory \Recycler\S-1-5-...501\
ein scheinbar leeres Directory com1 befindet, beim Anklicken dieses Directories
lassen sich keine Eigenschaften mehr mit dem Explorer anzeigen (offenbar wird im
Hintergrund ein weiterer Explorer gestartet, denn beim Herunterfahren kommt dann
wiederholt die Meldung, dass der Explorer nicht mehr reagiert).

Einen Guten Rutsch wuenscht Ihnen und der Liste

Herbert Hirschfelder
(schon leicht am Boden ...)


Daniel Roedding schrieb:

> Hallo Herr Hirschfelder,
>
> > eher zufaellig habe ich festgestellt, dass unser CD-Rom-Server
> > (Festplattenserver = CDMAN1) via Internet missbraucht wurde.
>
> herzliches Beileid.
>
> > Kann mir jemand auf die Schnelle einen Tip geben, was zu befuerchten
>
> - Benutzung des Rechners für Angriffe auf Systeme Dritter (via Internet,
>   sehr wahrscheinlich)
> - Benutzung des Rechners zur Verbreitung rechtlich kritischer
>   Inhalte ("gekaperter Webserver", mäßig wahrscheinlich)
> - Ausspähen von Daten in Ihrer Organisation (mäßig wahrscheinlich)
> - Manipulation von Daten bei Ihnen im Hause (tendenziell eher
>   unwahrscheinlich)
>
> > bzw. wie dagegen vorzugehen ist (vom hiesigen Rechenzentrum ist erst
> > fruehestens Mittwoch Unterstuetzung zu erwarten)?
>
> 1. Strippe zum Netzwerk ziehen
> 2. Komplettsicherung des Rechners auf ein separates Backup-Band machen,
>    um den Zustand ggfs. später dokumentieren zu können
> 3. Kiste abschalten
>
> erst dann:
>
> 4. Anfangen zu recherchieren, was das gewesen sein könnte und wie man
>    dagegen nachhaltig vorgeht
>
> Viele Grüße,
> Daniel Rödding
>
> --
> Daniel Roedding                                       phone: +49 5252 9838 0
> daniel _at__ roedding.de                                      fax: +49 5252 9838 20

Prev by Date: Re: Servermissbrauch
Next by Date: Re: Servermissbrauch
Previous by thread: Re: Servermissbrauch
Next by thread: Re: Servermissbrauch
Index(es):
- Date
- Thread

Listeninformationen unter http://www.inetbib.de.