---

Hej folkens, jeg kunne godt bruge et par kyndige øjne:

Vi har haft en udædvanlig høj upload-trafik på vores webserver, så jeg
monterede en Linux-box foran for at sniffe lidt på det. Den fandt ganske
interessant trafik fra div. tyske ip'er.
Der bliver lavet forespørgsler til mp3-filer i \winnt\system32\crc.tmp\.
Der ligger der godt nok ikke nogen mp3, men til gengæld ligger der nogle
meget mærkelige tekstfiler.
Jeg har søgt på google, men fandt ikke noget.
Jeg har lagt nogle screendumps fra ethereal, samt filerne fra crc.tmp på
denne url: http://80.63.98.217/cracked/
-Og nej det er ikke på den crackede server..

Håber i har mod på at give mig nogle hints.. Hvor langt inde i systemet
har de været?

Mvh.
Rune Z.

---

On Wed, 18 Sep 2002 17:19:40 +0200
Rune Zimmermann <rune@spiffer.dk> wrote:
> Hej folkens, jeg kunne godt bruge et par kyndige øjne:
>
> Vi har haft en udædvanlig høj upload-trafik på vores webserver, så jeg
> monterede en Linux-box foran for at sniffe lidt på det. Den fandt
> ganske interessant trafik fra div. tyske ip'er.
> Der bliver lavet forespørgsler til mp3-filer i
> \winnt\system32\crc.tmp\. Der ligger der godt nok ikke nogen mp3, men
> til gengæld ligger der nogle meget mærkelige tekstfiler.
> Jeg har søgt på google, men fandt ikke noget.
> Jeg har lagt nogle screendumps fra ethereal, samt filerne fra crc.tmp
> på denne url: http://80.63.98.217/cracked/
> -Og nej det er ikke på den crackede server..
>
> Håber i har mod på at give mig nogle hints.. Hvor langt inde i
> systemet har de været?


Du har så vidt jeg kan se været benyttet som fil buffer for et peer
network (ala kazaa og lignende). Mange af dem kræver at man har nogle
filer delt eller at man har noget plads som andre kan bruge som "buffer"
for hentninger.
Det betyder at de filer der ret sikkert indeholder mp3 filer eller
brudstykker heraf, og at programmet så henter de forskellige dele af
musikstykkerne (eller hvad det nu må være) via de forskellige buffere og
derved ikke belaster en enkelt host så meget.



--
Kim Schulz - Freelance Development | You will reach the highest
Email : kim @ schulz.dk | possible point in your business or
Tlf : 51904262 | profession.

---

On Wed, 18 Sep 2002 18:39:54 +0200, Kim Schulz wrote:

> Du har så vidt jeg kan se været benyttet som fil buffer for et peer
> network (ala kazaa og lignende). Mange af dem kræver at man har nogle
> filer delt eller at man har noget plads som andre kan bruge som "buffer"
> for hentninger.

Det havde jeg også overvejet, men hvordan forklarer du så de http-request
der kommer? En fildelings-klient der bruger port 80 og http protokollen?
HVordan kan det hele så være startet? Maskinen står som http, og ftp
server, men naturligvis ikke anomymt, og intet andet.

> Det betyder at de filer der ret sikkert indeholder mp3 filer eller
> brudstykker heraf, og at programmet så henter de forskellige dele af
> musikstykkerne (eller hvad det nu må være) via de forskellige buffere og
> derved ikke belaster en enkelt host så meget.
>
Men hvorfor lægge det i c:\winnt\system32\ ? er det default.?

jeg startede med at scanne i aftes og faldt over flere ip'er som
gengangere. Dvs de havde typisk 3-4 sessioner kørende samtidigt. Adr.lå
typisk tæt på hinnanden. Et eks. på adr. jeg fangede:
217.5.99.97 og op til 217.5.99.104.

Understøtter det den teori?

Mvh.
Rune Z.

---

Hej

Prøv at kigge på:

http://lists.insecure.org/incidents/2002/Jul/0064.html

Jeg har ikke nærlæst det, og ud fra de oplysninger du har givet, kan jeg
ikke helt se om det er det der har ramt dig.

Er det tilfældet har de installeret en eller anden FTP Daemon, sandsynligvis
med det formål, at maskinen kan bruges til distribution af warez.

Prøv bl.a. at se om du kan finde filer som:

JASFV.DLL
JASFV.EXE
JASFV.INI

Hvis det var mig ville jeg som minimum:

- pille serveren af netværket
- reinstallere fra en backup eller lave en total reinstallation
- patche serveren
- downloade og køre Microsoft Baseline Security Analyzer på maskinen for at
tjekke sikkerhedsindstillinger på maskinen *1
- downloade og køre ISSLockd.exe for at sikre IIS serveren på maskinen, som
garanteret er anvendt til indbruddet. *2

*1: Man kan godt scanne en NT (SP4+) med programmet, men det skal køre fra
en 2000 eller XP maskine
*2: Jeg har læst om folk der har opnået bizarre resultater med denne
utility. Jeg har dog aldrig oplevet problemer, så giv det et forsøg

Mvh

FM

Rune Zimmermann wrote:
:: Hej folkens, jeg kunne godt bruge et par kyndige øjne:
::
:: Vi har haft en udædvanlig høj upload-trafik på vores webserver, så
:: jeg monterede en Linux-box foran for at sniffe lidt på det. Den
:: fandt ganske interessant trafik fra div. tyske ip'er.
:: Der bliver lavet forespørgsler til mp3-filer i
:: \winnt\system32\crc.tmp\. Der ligger der godt nok ikke nogen mp3,
:: men til gengæld ligger der nogle meget mærkelige tekstfiler.
:: Jeg har søgt på google, men fandt ikke noget.
:: Jeg har lagt nogle screendumps fra ethereal, samt filerne fra
:: crc.tmp på denne url: http://80.63.98.217/cracked/
:: -Og nej det er ikke på den crackede server..
::
:: Håber i har mod på at give mig nogle hints.. Hvor langt inde i
:: systemet har de været?
::
:: Mvh.
:: Rune Z.

---

On Wed, 18 Sep 2002 19:01:25 +0200, FreeMan wrote:

> Prøv at kigge på:
>
> http://lists.insecure.org/incidents/2002/Jul/0064.html
>
> Jeg har ikke nærlæst det, og ud fra de oplysninger du har givet, kan jeg
> ikke helt se om det er det der har ramt dig.
>
Det kunne da ligne noget af det.

> Er det tilfældet har de installeret en eller anden FTP Daemon,
> sandsynligvis med det formål, at maskinen kan bruges til distribution af
> warez.
>
> Prøv bl.a. at se om du kan finde filer som:
>
> JASFV.DLL
> JASFV.EXE
> JASFV.INI
>
> Hvis det var mig ville jeg som minimum:

Will do..

> - pille serveren af netværket

done..

> - reinstallere fra en backup eller lave en total reinstallation - patche
> serveren

Ved at blive gjort. Den bliver ved same lejlighed opdateret til win2k

> - downloade og køre Microsoft Baseline Security Analyzer på maskinen for
> at tjekke sikkerhedsindstillinger på maskinen *1 - downloade og køre
> ISSLockd.exe for at sikre IIS serveren på maskinen, som garanteret er
> anvendt til indbruddet. *2
>
Det vil jeg se nærmere på.

> *1: Man kan godt scanne en NT (SP4+) med programmet, men det skal køre
> fra en 2000 eller XP maskine
> *2: Jeg har læst om folk der har opnået bizarre resultater med denne
> utility. Jeg har dog aldrig oplevet problemer, så giv det et forsøg
>
Tak for de mange gode tips..

Mvh.
Rune Z.

---

FreeMan wrote:
>
> Prøv bl.a. at se om du kan finde filer som:
>
> JASFV.DLL
> JASFV.EXE
> JASFV.INI
>
Jamen dem fandt jeg skam....eller..
Desuden fandt jeg programmet spsvc.exe, som også er kendt under navnet
serv-u ftp. Et kig på google fik mine alarmklokker til at ringe..
Filen ser ud til at være oprettet d. 6/1-2002.. Det er lidt længe siden.

Jeg har desuden prøvet at køre programmet FPORT for at se hvilke processor
der er tilknyttet hvilke porte, men den giver desværre intet output. Hvis
der er en der kender et tilsvarende program, vil jeg gerne høre om det.
Netstat på Win, kan mig bekendt ikke give mig den information.

Mvh.
Rune Z.

---

:: Jeg har desuden prøvet at køre programmet FPORT for at se hvilke
:: processor der er tilknyttet hvilke porte, men den giver desværre
:: intet output. Hvis der er en der kender et tilsvarende program, vil
:: jeg gerne høre om det. Netstat på Win, kan mig bekendt ikke give mig
:: den information.
::

Prøv ActivePorts

---

http://www.mike-tech.com/article.php?gif=winxp&article=183

Max

---

Max Andersen skrev:

> http://www.mike-tech.com/article.php?gif=winxp&article=183

Det er en ældre udgave mike-tech har liggende, her kan den hentes i
original og opdateret udgave (01.03.2002 - version 1.3:

<URL: http://www.ntutility.com/freeware.html >
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

Jeg har nu sporet en række programmer jeg fandt på serveren.
Det drejer sig bl.a. om identd-s.exe, lssvc.exe og spsvc.exe, men der er et
enkelt program jeg ikke har fundet noget information om. Det hedder
srvtsk.exe, og lytter på 3 porte på localhost IP'en 127.0.0.1. 2 af portene
er forbundet til hinanden, mens den 3. bare lytter. Har i nogen tips til at
finde ud af hvad det er? Jeg har søgt på adskellige søgemaskiner uden
resultat.

Mvh.
Rune Z.

---

On Sat, 21 Sep 2002 22:56:41 +0200, "Rune Zimmermann"
<rune@spiffer.dk> wrote:

>Jeg har nu sporet en række programmer jeg fandt på serveren.
>Det drejer sig bl.a. om identd-s.exe, lssvc.exe og spsvc.exe, men der er et
>enkelt program jeg ikke har fundet noget information om. Det hedder
>srvtsk.exe, og lytter på 3 porte på localhost IP'en 127.0.0.1. 2 af portene
>er forbundet til hinanden, mens den 3. bare lytter. Har i nogen tips til at
>finde ud af hvad det er? Jeg har søgt på adskellige søgemaskiner uden
>resultat.

Jeg følger med af nysgerrighed
Det eneste sted jeg har kunnet finde "srvtsk.exe", er her :
http://pdp-10.trailing-edge.com/bb-d868c-bm_tops20_v4_2020_distr/01/language-sources/oprnet.mac.html

Med venlig hilsen
J Hansen

Med venlig hilsen
Jimmy hansen

---

"J Hansen" <jimmyh@_world_online.dk> wrote in message
> Jeg følger med af nysgerrighed
> Det eneste sted jeg har kunnet finde "srvtsk.exe", er her :
>
http://pdp-10.trailing-edge.com/bb-d868c-bm_tops20_v4_2020_distr/01/language
-sources/oprnet.mac.html
>
Hej Jimmy, tak for din response, men hvor ser du linket mellem srvtsk.exe og
nævnte hjemmeside?
Har jeg overset noget?

Mvh.
Rune Z.

---

On Sun, 22 Sep 2002 11:26:26 +0200, "Rune Zimmermann"
<rune@spiffer.dk> wrote:

>Hej Jimmy, tak for din response, men hvor ser du linket mellem srvtsk.exe og
>nævnte hjemmeside?
>Har jeg overset noget?

jeg burde nok have præciseret at det kun var "srvtsk" jeg havde søgt
på

Her er linien det står (3. frame, ca. linie 17):
"MOVEI   S1,SRVTSK      ;GET SERVER NUMBER"

Hvordan, og om, det skulle have en sammenhæng med det du søger kan jeg
ikke gennemskue (Assembler er ikke det jeg er bedst til).

Jeg bruger et prg. til at søge på nettet, som kan tage flere
søgemaskiner på en gang. Og siden var det eneste hit, på 18
søgemaskiner (WiseNut).
Det var mere for at vise at srvtsk.exe, ikke er et prg. der er
dokumenteret nogen steder.

Har du prøvet at søge på inettet , efter portnumrene ?
http://www.iana.org/assignments/port-numbers
http://www.onctek.com/trojanports.html
http://www.glocksoft.com/trojan_port.htm

mvh
Jimmy


Med venlig hilsen
Jimmy hansen

---