Re: Servermissbrauch

[Herbert Hirschfelder <Herbert.Hirschfelder _at__ bib.uni-erlangen.de>]

Lieber Herr Roedding,


> > die Notleine (Strippe) ist gezogen; hier noch weitere Erkenntnisse aus privat
> > zugegeangenen Mails (Dank an H. Plate und H. Alpers):
> > - dsnx.exe und
> > - ncx99.exe
> > sind Trojaner, die eine Hintertuer (backdoor) installieren.
>
> sowas wird gerne gemacht. Populärster Einsatzzweck derart aufgehackter
> Rechner ist z. Zt. die Verwendung als "Sprungbrett" für weitere
> Angriffe, entweder um eine schwer rückverfolgbare Kette zu erzeugen
> oder in der Geschmacksrichtung "distributed denial of service", oder
> im Fachjargon kurz DDoS genannt.

Wir wurden offenbar als FTP-Server fuer Raubkopien (Videoclips u.ae.) missbraucht.
Die Saeuberung hat u.a. 35,5 GB freien Festplattenplatz gebracht ...
Wahrscheinlich sitzt der Verursacher in den Niederlanden (Directorynamen wie DUTCH
oder Dateiendungen wie .nl legen das nahe). Da die Dateien auf der Festplatte
abgelegt waren, die das Image-Directory fuer die Fast-CDs enthaelt, war das auf den
ersten Blick nicht so auffallend ...

Die Angelegenheit mit dem Virenscanner ist etwas komplex. Unser standardmaessiger
Scanner (Sophos) laeuft nicht staendig im Hintergrund und haette wohl auch nicht
angeschlagen (auf der Sophos-Homepage suchte ich jedenfalls vergeblich nach
ncx99.exe).

Da in letzter Zeit haeufiger zu lesen war, dass Virenangriffe nur bei IIS 4.0 oder
hoeher erfolgreich sind, haben wir uns (zu Unrecht) auf der sicheren Seite
gefuehlt, da wir noch mit IIS 3.0 fahren. Wie sich herausstellte, gibt es fuer den
genannten Trojaner jetzt zwar ein Patch fuer IIS 4.0 und 5.0, aber nicht fuer 3.0
...

Mit besten Gruessen aus Erlangen (eiskalt ...)

Herbert Hirschfelder



>
>
> Das traurige ist, daß durch die doch recht gute Verfügbarkeit solcher
> und ähnlicher Werkzeuge jedes Skriptkiddie plötzlich ernsthaften
> Schaden anrichten kann. Früher mußte man noch nächtelang Datenberge
> analysieren, viel ausprobieren und sehr umsichtig agieren, um auf
> anderer Leute Kisten durchgreifende Ergebnisse zu erzielen...
>
> In den Niederlanden ist übrigens vor ein paar Monaten das erste Mal
> ein Nicht-Techniker vor Gericht wg. Wurmbau und -verbreitung verurteilt
> worden. Er wollte der ganzen Welt seine Bewunderung einer Sportlerin
> mitteilen und hat wohl nicht bedacht, daß die Verbreitung per Wurm nicht
> nur die Informationsweitergabe beschleunigt, sondern auch negative
> Folgen haben könnte...
>
> Traurig ist auch, daß durch die "root kits" (so werden diese Trojaner-
> baukästen im Unix-Bereich genannt) Software mit so vielen Wiederhaken
> tief ins Fleisch des Systems reingepiekst wird, daß man eine derart
> verwundete Maschine eigentlich nur durch Neuinstallation wieder auf
> einen verläßlichen Stand bekommt.
>
> > Es sind offenbar mehrere Eindringlinge am Werk gewesen (wir waren wohl ein
> > heisser Tip in der Szene?), denn ncx99.exe treibt sich noch herum.
>
> Naja, der "heiße Tip in der Szene" ist mittlerweile auch schon voll
> durchautomatisiert. Die ein oder andere "Standard-Trojanersoftware"
> meldet ihre Instanz an einer zentralen Stelle, damit gibt es "irgendwo"
> quasi eine vollautomatisch geführte Liste der offenen Systeme.
>
> > Einen Guten Rutsch wuenscht Ihnen und der Liste
>
> Wünsche ich ebenfalls.