Supportnet / Forum / WindowsNT
Hacker auf mein Webserver
Frage
Hallo,
Ich habe folgendes problem:
62.251.156.3 - - [24/Jun/2003:10:03:13 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 302 254 "-" "-"
62.251.156.3 - - [24/Jun/2003:10:03:18 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 254 "-" "-"
62.251.156.3 - - [24/Jun/2003:10:03:22 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 254 "-" "-"
62.251.156.3 - - [24/Jun/2003:10:03:22 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 254 "-" "-"
62.251.156.3 - - [24/Jun/2003:10:03:26 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 254 "-" "-"
62.251.156.3 - - [24/Jun/2003:10:03:27 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 254 "-" "-"
62.251.156.3 - - [24/Jun/2003:10:03:31 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 254 "-" "-"
62.251.156.3 - - [24/Jun/2003:10:03:32 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 254 "-" "-"
ist das Logdatei eintrag.
Jetzt will ich wissen, ob der hacker in mein System erfolgreich eingedrungen ist, was er für Sachen gemacht hat.
Ich habe alle exe dateien auf veränderung in dieser Zeitpunkt überprüft: NtDetect.com wurde geändert.
Was kann ich machen um heraus zu finden ob ich ein potenzieller Troyaner habe?
Danke für eueren Antwort.
Sincerely
Antwort 1 von MacGyver031
Aufwärts
Antwort 2 von Limbius
ich würde sagen das da jemand 5 MAL !!!! eine shell mit root Rechten ausgeführt hat und insg. 9!!! Minuten minimum Zeit hatte.....
Ich der Zeit habe ich 10 Trojaner untergebracht... Also zumindest meine ich kann ich mir vorstellen das es Leute gint, die das können..
Ich der Zeit habe ich 10 Trojaner untergebracht... Also zumindest meine ich kann ich mir vorstellen das es Leute gint, die das können..
Antwort 3 von Limbius
und..... es war ein Franzose ;-) !!! :-)
Antwort 4 von MacGyver031
Also, wie finde ich heraus ob und wo ein Trojaner ist? Kann ich Sygatetech.com trauen? und scannen lassen?
Wenn jemand ein Trojaner installiert hat, sollte sich nicht eine EXE od COM datei geändert worden sein?
Danke.
Sincerely
Wenn jemand ein Trojaner installiert hat, sollte sich nicht eine EXE od COM datei geändert worden sein?
Danke.
Sincerely
Antwort 5 von Tuxchen
Das System neu aufsetzen, und zwar komplett. Einem System das Z wurde kannst du nicht mehr vertrauen. Und wenn du den Server neu installierst achte darauf ihn sauber zu konfigurieren und nicht nur die Konfiguration zu "überfliegen". Auserdem wäre ganz gut wenn du alle Updates installieren würdest, vor allem für den IIS. Und evtl. dabei nicht auf Windows-Update verlassen ;-)
kind regards
kind regards
Antwort 6 von MacGyver031
Hallo Tuxchen,
GENAU hier liegt der Haken:
Der Server Eingang ist nur für Port 80 Zulässig. Es ist kein IIS installiert sondern Apache. Ist es nicht möglich dass dieser Protokoll nur sagt was der Hacker versucht hat aber vielleicht KEIN erfolg hatte? Denn, ich denke dass wenn ein Trojaner installiert wurde, müsste eine EXE od. COM geändert worden sein, oder im Registry eingetragen sein.
ALSO, damit ich die Integrität überprüfen kann, muss ich wissen mit was für ein Programm man solche skripts ausführt (IE ist es nicht ;-) ).
Danke euch fürs Antwort.
Sincerely
GENAU hier liegt der Haken:
Der Server Eingang ist nur für Port 80 Zulässig. Es ist kein IIS installiert sondern Apache. Ist es nicht möglich dass dieser Protokoll nur sagt was der Hacker versucht hat aber vielleicht KEIN erfolg hatte? Denn, ich denke dass wenn ein Trojaner installiert wurde, müsste eine EXE od. COM geändert worden sein, oder im Registry eingetragen sein.
ALSO, damit ich die Integrität überprüfen kann, muss ich wissen mit was für ein Programm man solche skripts ausführt (IE ist es nicht ;-) ).
Danke euch fürs Antwort.
Sincerely
Antwort 7 von MacGyver031
Hoch damit....