[HaBo]

fatality · 10.11.03, 13:29

Moin

Ich habe im moment leider ein SEHR großes Problem mit dem FTP bzw Webserver in meiner Firma, da jemand diesen wohl gehackt haben muß!

Obwohl es kein Konto mit Gust Zugang gibt, sind sehr viele Leute Anonymous auf dem ftp eingelogt!
Ich hab jetzt erstmal den Ftp-Dienst deaktiviert, wo ich auch gleich zu meinem nächsten Problem komme, denn die Jungs haben auf meinem Ftp Ordner angelegt wie lpt usw, die ich weder öffnen noch löschen kann, auch in dos nicht. Teilweise gibt es auch ordner die keinen Namen haben...

WIE BEKOMME ICH DIE DATEIEN VON DER PLATTE ???????

und wie kann ich rausfinde was die mit dem Rechner angestellt haben ?

gruß & DANKE fatality

Darkmind · 10.11.03, 14:09

hast du die benutzerüberwachung und di W3C logs für den FTP Server aktiviert ?

Anzeige

- Anzeige -

fatality · 10.11.03, 14:16

sorry aber ich kenne mich mit dem IIS noch nicht so gut aus...

wo genau finde ich denn die benutzerüberwachung bzw die einstellung dazu?

zu den w3c logs kann ich nur sagen das logs im verzeichnis c:\winnt\system32\logfile\w3svc1\... vorhanden sind ( nehme mal an das diese gemeint waren.. )

gruß fatality

fatality · 10.11.03, 14:19

Hier nochmal ein eintrag aus einer der logs

sent /r+92045+/com3+/lpt2+/aux0+/com2+/+/aux+/com3+/lpt1+/com2+/lpt1+/Scan+By+====+eaglewhite+===/Tagg+By+===++++eaglewhite+++===/Up+By+eaglewhite------/For+ct4ever/Here/Solaris2.rar.008+ 226

Darkmind · 10.11.03, 14:32

hattest du den anoymous zugriff aktiviert ?

wenn ja.. ist es möglich falls du keine sicherheitsupdates geladen hast, über einen gewissen Exploit dir zugriff auf das ftp root verzeichnis zu gelangen.

du kannst die benutzer überwachung doch aktivieren. Dann wird jedfer schritt im eventlog eingetragen.
Wenn du das hättest wüsstest du jetzt genau was die jungs angestellt haben.

Wegen deinem ordner:

versuche den besitz zu übernehmen und das lösche ihn am besten.

sorry hab grasde sctress.. schreibe später wieder..

hoffe konnte ein wenig helfen

w3S log

sollte glaub heissen w3cFTPVC oder soo.. weiss es auch nicht.. hehe setze auch nicht den MS FTP Server ein

ok.. bye.. bis später vielleicht

fatality · 10.11.03, 14:34

Kannste mir auch sagen wie genau ich den bzw die Ordner löschen kann ?

gruß fatality

Darkmind · 10.11.03, 15:18

klick auf den ornder... rechte maustaste.. eigenschaften,
Reiter "Sicherheitseinstellungen"

klicke dort auf Erweitert, danach Reiter "Besitzer" und dort unten das häkchen "Besitzer für untergeordnete Container und Objekte ersetzen.

Dies geht aber nur wenn es ein Berechtinungs problem ist. sottle das nicht gehen kannst dus noch im command modus versuchen.

Gruss

darkmind

fatality · 10.11.03, 15:35

D A N K E erstemal!!!

werde es gleich mal versuchen!

ps: die event log sehe ich mir auch gerade an...

gruß fatality

Darkmind · 10.11.03, 16:05

Zitat:

Original von fatality
Kannste mir auch sagen wie genau ich den bzw die Ordner löschen kann ?

gruß fatality

hallo fatality

sorry.. das ich etwas.. naja.. unfreundlich geschrieben habe, doch ich war recht im stress.. und machte wieder mal 10 sachen gleichzeitig

falls es nicht klappt...

hat der ordner eine Bezeichung ?

gruss

Darkmind

fatality · 10.11.03, 16:15

Hab es leider noch nicht geschaft das verzeichnis so zu löschen!

bin auch schon in die eingabeaufforderung gegangen und hab versucht die ordner von dort zu löschen was aber auch nicht geht.

es sind halt immer sehr viele leerschritte vor und nach dem Ordnernamen

Darkmind · 10.11.03, 16:16

hmm..huiui... kannst du da mal einen scrennshot machen wie das in der commano zeile aussieht ?

Darkmind · 10.11.03, 16:33

hmm.. hab noch gar nicht gefragt.. aber mit welchen OS arbeitest du ?

server ? wenn ja.. wie konfiguriert ?

kannst du mir mal schreiben wo sich der ordner befindet ?

c:\bla\bla\bla

was passiert eigentlich wenn du del drückst ? welche fehlermeldung kommt?! hast du mir da etwas genauere angaben. kannst mir die auch per pm senden. ich werde dann da ohne viel zu verraten einfach hier weiter posten.

fatality · 10.11.03, 16:58

Ich werde mich gleich morgen früh nochmal melden!!!

Danke für deine Hilfe

gruß fatality

Ray · 10.11.03, 20:33

Das Problem dürften weniger die Rechte seien, als daß es sich hierbei um locked dirs handelt. Diese Verzeichnisse werden so angelegt, daß sie zwar im Listing erscheinen, aber so nicht gelöscht werden können. Dies geschieht so :

Hast du z.B. im Listing ein Verzeichnis "com1 ", dann wurde das so angelegt :

MKDIR "com1 / "

Jetzt erscheint es im Listing nur als "com1 ", du kannst nicht einfach so reingucken und es auch nicht einfach so löschen.

Wenn du jetzt z.B. das Verzeichnis "D:\home\anonymous\com1 " aus der Konsole löschen willst, musst Du das so machen :

1. Du wechselst nach "D:\home\anonymous"

2. Du gibst ein "RMDIR "com1 / "

Dann sollte das Verzeichnis verschwunden sein. Es gibt noch andere Möglichkeiten, Verzeichnisse zu sperren, auch unter Linux. Mit ein wenig gesundem Menschenverstand kann man aber alle locked dirs betreten, anschauen und auch löschen.

Darkmind · 10.11.03, 20:44

hallo damien

hmm.. kann lesen schreiben und auch im Verzeichnis löschen..

hehe aber trotzdem.. krass

gibt keine sicherheitseinstellungen usw

cool

gruss

Darkmind

Anzeige

- Anzeige -

10.11.03, 13:29	#1 (permalink)
fatality Registriert seit: 10.11.03 Likes: 0	IIS FTP wurde gehackt Anzeige Moin Ich habe im moment leider ein SEHR großes Problem mit dem FTP bzw Webserver in meiner Firma, da jemand diesen wohl gehackt haben muß! Obwohl es kein Konto mit Gust Zugang gibt, sind sehr viele Leute Anonymous auf dem ftp eingelogt! Ich hab jetzt erstmal den Ftp-Dienst deaktiviert, wo ich auch gleich zu meinem nächsten Problem komme, denn die Jungs haben auf meinem Ftp Ordner angelegt wie lpt usw, die ich weder öffnen noch löschen kann, auch in dos nicht. Teilweise gibt es auch ordner die keinen Namen haben... WIE BEKOMME ICH DIE DATEIEN VON DER PLATTE ??????? und wie kann ich rausfinde was die mit dem Rechner angestellt haben ? gruß & DANKE fatality

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Mein ICQ wurde gehackt!	Joiseppe	Applikationen	4	12.03.08 21:58
Wurde gehackt	ladygirly	(In)security allgemein	6	30.09.07 20:50
E-Mail Account wurde gehackt	Tscheck	Doppelte Beiträge	2	01.07.07 15:09
Mein Msn wurde gehackt	Fenerbahce	Virenschutz · Tools & Aggressive Software	13	18.03.06 21:15

10.11.03, 14:09	#2 (permalink)
Darkmind Registriert seit: 01.05.03 Likes: 0	hast du die benutzerüberwachung und di W3C logs für den FTP Server aktiviert ?

10.11.03, 14:16	#3 (permalink)
fatality Themenstarter Registriert seit: 10.11.03 Likes: 0	sorry aber ich kenne mich mit dem IIS noch nicht so gut aus... wo genau finde ich denn die benutzerüberwachung bzw die einstellung dazu? zu den w3c logs kann ich nur sagen das logs im verzeichnis c:\winnt\system32\logfile\w3svc1\... vorhanden sind ( nehme mal an das diese gemeint waren.. ) gruß fatality

10.11.03, 14:19	#4 (permalink)
fatality Themenstarter Registriert seit: 10.11.03 Likes: 0	Hier nochmal ein eintrag aus einer der logs sent /r+92045+/com3+/lpt2+/aux0+/com2+/+/aux+/com3+/lpt1+/com2+/lpt1+/Scan+By+====+eaglewhite+===/Tagg+By+===++++eaglewhite+++===/Up+By+eaglewhite------/For+ct4ever/Here/Solaris2.rar.008+ 226

10.11.03, 14:32	#5 (permalink)
Darkmind Registriert seit: 01.05.03 Likes: 0	hattest du den anoymous zugriff aktiviert ? wenn ja.. ist es möglich falls du keine sicherheitsupdates geladen hast, über einen gewissen Exploit dir zugriff auf das ftp root verzeichnis zu gelangen. du kannst die benutzer überwachung doch aktivieren. Dann wird jedfer schritt im eventlog eingetragen. Wenn du das hättest wüsstest du jetzt genau was die jungs angestellt haben. Wegen deinem ordner: versuche den besitz zu übernehmen und das lösche ihn am besten. sorry hab grasde sctress.. schreibe später wieder.. hoffe konnte ein wenig helfen w3S log sollte glaub heissen w3cFTPVC oder soo.. weiss es auch nicht.. hehe setze auch nicht den MS FTP Server ein ok.. bye.. bis später vielleicht

10.11.03, 14:34	#6 (permalink)
fatality Themenstarter Registriert seit: 10.11.03 Likes: 0	Kannste mir auch sagen wie genau ich den bzw die Ordner löschen kann ? gruß fatality

10.11.03, 15:18	#7 (permalink)
Darkmind Registriert seit: 01.05.03 Likes: 0	klick auf den ornder... rechte maustaste.. eigenschaften, Reiter "Sicherheitseinstellungen" klicke dort auf Erweitert, danach Reiter "Besitzer" und dort unten das häkchen "Besitzer für untergeordnete Container und Objekte ersetzen. Dies geht aber nur wenn es ein Berechtinungs problem ist. sottle das nicht gehen kannst dus noch im command modus versuchen. Gruss darkmind

10.11.03, 15:35	#8 (permalink)
fatality Themenstarter Registriert seit: 10.11.03 Likes: 0	D A N K E erstemal!!! werde es gleich mal versuchen! ps: die event log sehe ich mir auch gerade an... gruß fatality

10.11.03, 16:15	#10 (permalink)
fatality Themenstarter Registriert seit: 10.11.03 Likes: 0	Hab es leider noch nicht geschaft das verzeichnis so zu löschen! bin auch schon in die eingabeaufforderung gegangen und hab versucht die ordner von dort zu löschen was aber auch nicht geht. es sind halt immer sehr viele leerschritte vor und nach dem Ordnernamen

10.11.03, 16:16	#11 (permalink)
Darkmind Registriert seit: 01.05.03 Likes: 0	hmm..huiui... kannst du da mal einen scrennshot machen wie das in der commano zeile aussieht ?

10.11.03, 16:33	#12 (permalink)
Darkmind Registriert seit: 01.05.03 Likes: 0	hmm.. hab noch gar nicht gefragt.. aber mit welchen OS arbeitest du ? server ? wenn ja.. wie konfiguriert ? kannst du mir mal schreiben wo sich der ordner befindet ? c:\bla\bla\bla was passiert eigentlich wenn du del drückst ? welche fehlermeldung kommt?! hast du mir da etwas genauere angaben. kannst mir die auch per pm senden. ich werde dann da ohne viel zu verraten einfach hier weiter posten.

10.11.03, 16:58	#13 (permalink)
fatality Themenstarter Registriert seit: 10.11.03 Likes: 0	Ich werde mich gleich morgen früh nochmal melden!!! Danke für deine Hilfe gruß fatality

10.11.03, 20:33	#14 (permalink)
Ray Registriert seit: 06.08.02 Likes: 0	Das Problem dürften weniger die Rechte seien, als daß es sich hierbei um locked dirs handelt. Diese Verzeichnisse werden so angelegt, daß sie zwar im Listing erscheinen, aber so nicht gelöscht werden können. Dies geschieht so : Hast du z.B. im Listing ein Verzeichnis "com1 ", dann wurde das so angelegt : MKDIR "com1 / " Jetzt erscheint es im Listing nur als "com1 ", du kannst nicht einfach so reingucken und es auch nicht einfach so löschen. Wenn du jetzt z.B. das Verzeichnis "D:\home\anonymous\com1 " aus der Konsole löschen willst, musst Du das so machen : 1. Du wechselst nach "D:\home\anonymous" 2. Du gibst ein "RMDIR "com1 / " Dann sollte das Verzeichnis verschwunden sein. Es gibt noch andere Möglichkeiten, Verzeichnisse zu sperren, auch unter Linux. Mit ein wenig gesundem Menschenverstand kann man aber alle locked dirs betreten, anschauen und auch löschen.

10.11.03, 20:44	#15 (permalink)
Darkmind Registriert seit: 01.05.03 Likes: 0	hallo damien hmm.. kann lesen schreiben und auch im Verzeichnis löschen.. hehe aber trotzdem.. krass gibt keine sicherheitseinstellungen usw cool gruss Darkmind

[HaBo]

IIS FTP wurde gehackt