---

Hej gruppe.

En webserver på mit arbejde er blevet misbrugt af folk udefra.

De har lagt mapper og filer ind med specialnavne - bl.a. " "
(dobbelt mellemrum) og mapper som "tagged" og "tagged by xxxx". Der
er tilsyneladende ikke slettet/ændret i filerne i webroden, men i
tre mappehierarkier under webroden (der ligger et niveau over ftp-
roden) er der oploadet små 2 GB data - tilsyneladende mp3-filer.

Jeg har forsøgt at slette mapperne, men det har kun været muligt
med nogle få af dem.

Hvad skal jeg gøre her og nu? Jeg kan se i OSS'en at I anbefaler at
koble serveren af, men jeg er ikke meget for at lukke helt for alle
websider uden at vide hvornår vi kan komme online igen.

Gode råd modtages.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

"Jens Gyldenkærne Clausen" <jens@gyros.invalid> wrote in message
news:Xns94ED82BFDD754jcdmfdk@gyrosmod.dtext.news.tele.dk...
> Hej gruppe.
>
> En webserver på mit arbejde er blevet misbrugt af folk udefra.
>
> De har lagt mapper og filer ind med specialnavne - bl.a. " "
> (dobbelt mellemrum) og mapper som "tagged" og "tagged by xxxx".

Jeg gætter - da du ikke har skrevet noget om det - at det er en Windows
server.

Det er vel det typiske Frontpage Extensions attack, hvor alle kan uploade
filer via browseren og linke til dem fra warez-sites.

Mvh
Jimmy

---

Næppe - du har sikkert FTP servicen kørende - måske endda med anonymt
login... tagged by [nick] - refererer til at en eller andet har
portscannet et IP range hvor du er med og har konstateret at du (igen
formodentligt) har en anonym ftp kørende.

Misbrugeren beskytter sine data ved at give mapperne filnavne som er
ulovlige i Windows men som kan laves via en ftp client.

Hvis jeg var dig ville jeg 1) lukke for ftp servicen 2) sletter filerne
i mapperne 3) _flytte_ mapperne over på en diskette (ja jeg ved det
lyder åndsvagt men det virker faktisk ofte med filer og mapper som ikke
kan slettes).

mvh.

Uffe Callesen.

Jimmy wrote:
> "Jens Gyldenkærne Clausen" <jens@gyros.invalid> wrote in message
> news:Xns94ED82BFDD754jcdmfdk@gyrosmod.dtext.news.tele.dk...
>
>>Hej gruppe.
>>
>>En webserver på mit arbejde er blevet misbrugt af folk udefra.
>>
>>De har lagt mapper og filer ind med specialnavne - bl.a. " "
>>(dobbelt mellemrum) og mapper som "tagged" og "tagged by xxxx".
>
>
> Jeg gætter - da du ikke har skrevet noget om det - at det er en Windows
> server.
>
> Det er vel det typiske Frontpage Extensions attack, hvor alle kan uploade
> filer via browseren og linke til dem fra warez-sites.
>
> Mvh
> Jimmy
>
>

---

Jimmy skrev:

> Jeg gætter - da du ikke har skrevet noget om det - at det er
> en Windows server.

Åh ja, beklager.

Det er en Windows2000-server (IIS5).


> Det er vel det typiske Frontpage Extensions attack, hvor alle
> kan uploade filer via browseren og linke til dem fra
> warez-sites.

Det tror jeg faktisk ikke. Webroden er ikke rørt, de oploadede
filer er placeret i ftp-roden.

Jeg kan se i loggen at der er benyttet anonym ftp-adgang til at
oploade med. Hvornår og hvordan den anonyme ftp-adgang er blevet
tilladt kan jeg ikke umiddelbart se.

Jeg har fjernet skrive-tilladelsen for IUSR-kontoen nu og lukket
ftp-servicen helt ned. Er det en brugbar løsning eller skal
serveren kobles helt af?

Mulige angrebsmetoder kunne være via nogle filer lagt i webroden
(se tilsvarende filer fra et andet site her:
<http://kortlink.dk/5eh>)

- eller måske via filen msusys.exe (der ser ud til at være en form
for ftp-utility). Jeg har flyttet ovenstående filer væk fra
webserveren for en sikkerheds skyld. Jeg kan ikke afgøre om det er
harmløse filer lagt ind af en ansat i firmaet eller om det er filer
brugt til at hacke serveren med.
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Det er en amatør der har lavet det - en 'professionel' ville have lagt
en ny ftp server på serveren (typisk serv-u omdøbt til et mindre
opsigtvækkende navn)

Jeg er alt andet end ekpert i IIS men jeg tror roligt jeg kan anbefale
Microsofts eget værktøj til 'hardening' af IIS'en - den bør lukke alle
de gængse sikkerhedsbrister.

mvh.

Uffe


Jens Gyldenkærne Clausen wrote:
> Jimmy skrev:
>
>
>>Jeg gætter - da du ikke har skrevet noget om det - at det er
>>en Windows server.
>
>
> Åh ja, beklager.
>
> Det er en Windows2000-server (IIS5).
>
>
>
>>Det er vel det typiske Frontpage Extensions attack, hvor alle
>>kan uploade filer via browseren og linke til dem fra
>>warez-sites.
>
>
> Det tror jeg faktisk ikke. Webroden er ikke rørt, de oploadede
> filer er placeret i ftp-roden.
>
> Jeg kan se i loggen at der er benyttet anonym ftp-adgang til at
> oploade med. Hvornår og hvordan den anonyme ftp-adgang er blevet
> tilladt kan jeg ikke umiddelbart se.
>
> Jeg har fjernet skrive-tilladelsen for IUSR-kontoen nu og lukket
> ftp-servicen helt ned. Er det en brugbar løsning eller skal
> serveren kobles helt af?
>
> Mulige angrebsmetoder kunne være via nogle filer lagt i webroden
> (se tilsvarende filer fra et andet site her:
> <http://kortlink.dk/5eh>)
>
> - eller måske via filen msusys.exe (der ser ud til at være en form
> for ftp-utility). Jeg har flyttet ovenstående filer væk fra
> webserveren for en sikkerheds skyld. Jeg kan ikke afgøre om det er
> harmløse filer lagt ind af en ansat i firmaet eller om det er filer
> brugt til at hacke serveren med.

---

Uffe S. Callesen skrev:

> Næppe - du har sikkert FTP servicen kørende - måske endda med
> anonymt login...

Den er lukket nu, men du har ret i at den har kørt med anonymt
login. Den anonyme tilladelse må være oprettet af en hacker - der
har ikke været anonym adgang til serveren før angrebet.

> Misbrugeren beskytter sine data ved at give mapperne filnavne
> som er ulovlige i Windows men som kan laves via en ftp client.

Kan de så også slettes via ftp? I så fald kan jeg måske få dem
flyttet på den måde.

> Hvis jeg var dig ville jeg 1) lukke for ftp servicen

Done.


> 2) sletter filerne i mapperne

Ikke muligt - "Det er ikke muligt at slette fil: Kildefilen eller -
disken kan ikke læses"

> 3) _flytte_ mapperne over på en
> diskette (ja jeg ved det lyder åndsvagt men det virker faktisk
> ofte med filer og mapper som ikke kan slettes).

Nogle mapper kan flyttes, men de fleste giver samme fejl som
ovenfor (med "flytte" i stedet for "slette").
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Uffe S. Callesen skrev:

> Jeg er alt andet end ekpert i IIS men jeg tror roligt jeg kan
> anbefale Microsofts eget værktøj til 'hardening' af IIS'en -
> den bør lukke alle de gængse sikkerhedsbrister.

Har du et link til det?

Når jeg er i gang - jeg kan se at Frontpage Server Extensions
(FE) har været aktive på det ramte site. I modsætning til hvad jeg
tidligere skrev kan indbruddet sikkert sagtens være sket gennem FE.

Jeg har her og nu koblet FE fra, men en del af redaktørerne til
dele af sitet benytter Frontpage - og dermed FE - til at redigere
siderne. Jeg er helt klar over at FE har mange sikkerhedshuller,
men er det muligt at lave en sikker server med FE aktiveret, eller
skal man helt undgå udvidelserne?
--
Jens Gyldenkærne Clausen
Svar venligst under det du citerer, og citer kun det der er
nødvendigt for at forstå dit svar i sammenhængen. Se hvorfor og
hvordan på http://usenet.dk/netikette/citatteknik.html

---

Jens Gyldenkærne Clausen wrote:

> Har du et link til det?

IIS Lockdown Tool & URL Scan.

--
Speaker : "And here we are at the start of the second semifinale of the
100 yards for people without any sense of direction."

---

Kim Noer skrev:

> IIS Lockdown Tool & URL Scan.

Takker - jeg fandt frem til følgende side:
<http://www.mvps.org/marksxp/WindowsXP/IIS/iis4.php>


--
Jens Gyldenkærne Clausen
»Diplomatiet består netop i, at de gamle kommatister kan få lov til
at tro, at de har vundet. Men i virkeligheden har de tabt.«
Ole Togeby i Information

---

Jens Gyldenkærne Clausen wrote:
> Hvad skal jeg gøre her og nu? Jeg kan se i OSS'en at I anbefaler at
> koble serveren af, men jeg er ikke meget for at lukke helt for alle
> websider uden at vide hvornår vi kan komme online igen.
>
> Gode råd modtages.

Tak fordi du har laest det relevante afsnit i OSS'en.

Jeg ville helt klart bruge tiden paa at geninstallere. Hvad er grunden
til at du ikke har lyst til det? Er det en maskine som benyttes af
kunder eller er det kun internt?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst skrev:

> Jeg ville helt klart bruge tiden paa at geninstallere. Hvad er
> grunden til at du ikke har lyst til det?

Det er ikke "min" server - men den serveransvarlige havde fri da
indbruddet blev opdaget.

> Er det en maskine som benyttes af kunder eller er det kun
> internt?

Det er desværre firmaets primære webserver - der trækker flere
forskellige sites.

--
Jens Gyldenkærne Clausen
»Diplomatiet består netop i, at de gamle kommatister kan få lov til
at tro, at de har vundet. Men i virkeligheden har de tabt.«
Ole Togeby i Information

---

In article <Xns94EDBADBC5280jcdmfdk@gyrosmod.cybercity.dk>, Jens Gyldenkærne Clausen wrote:
>> Jeg ville helt klart bruge tiden paa at geninstallere. Hvad er
>> grunden til at du ikke har lyst til det?
>
> Det er ikke "min" server - men den serveransvarlige havde fri da
> indbruddet blev opdaget.

Kan du ikke reinstallere en ny server på ny hardware
udfra backupen?

Derefter kan du lade den server ansvarlige finde ud af hvad der
er forgået med den oprindelige server.

Du kan evt. også nøjes med at skifte diskene.


Det største problem bør ligge i at finde ud af hvilken
backup der ikke indeholder angrebet.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On Tue, 18 May 2004 12:51:11 +0200, Jens Gyldenkærne Clausen
<jens@gyros.invalid> wrote:

>Jeg har forsøgt at slette mapperne, men det har kun været muligt
>med nogle få af dem.
>
>Hvad skal jeg gøre her og nu? Jeg kan se i OSS'en at I anbefaler at
>koble serveren af, men jeg er ikke meget for at lukke helt for alle
>websider uden at vide hvornår vi kan komme online igen.

DIR /X giver navnene på mapperne i 8.3 format, Brug dette navn når du
sletter mapperne i en kommandoprompt. Det er typisk mapper med
systemnavne der ikke kan slettes (LPT1, COM1 o.s.v) De hedder noget
andet i 8.3 format.

Mvh
Allan Jul Woer
Denmark

---

Allan Jul Woer skrev:

> DIR /X giver navnene på mapperne i 8.3 format, Brug dette navn
> når du sletter mapperne i en kommandoprompt.

Takker - det vil jeg prøve.

--
Jens Gyldenkærne Clausen
»Diplomatiet består netop i, at de gamle kommatister kan få lov til
at tro, at de har vundet. Men i virkeligheden har de tabt.«
Ole Togeby i Information

---

On Tue, 18 May 2004 18:14:59 +0200, Allan Jul Woer
<awoer[AT]get2net[DOT]dk> wrote:

>On Tue, 18 May 2004 12:51:11 +0200, Jens Gyldenkærne Clausen
><jens@gyros.invalid> wrote:
>
>>Jeg har forsøgt at slette mapperne, men det har kun været muligt
>>med nogle få af dem.

"RD" eller "RMDIR" med "/S /Q", sletter ganske effektivt mapperne med
de ulovlige navne.
*** Hold tungen lige i munden når du skriver den!***
Skriv evt. "rd /?" i kommandoprompt.

hvis du ikke kan slette en mappe, med det "ulovlige" navn, med "rd /s
/q mappenavn", så slet den overoednede mappe.

Tag backup af de mapper du ønsker at beholde, INDEN du bruger "rd"
kommandoen, da den sletter alle undermapper når man skriver "/S /Q"

Med venlig hilsen
Jimmy hansen

---

On Wed, 19 May 2004 09:10:16 +0200, J Hansen <jimmy hansen> wrote:

Glemte at tilføje:

Du opretter så manuelt den overordenede mappe, du lige slettede, og
kopierer så dine mapper tilbage i den.

Med venlig hilsen
Jimmy hansen