IIS FTP wurde gehackt

Moin

Ich habe im moment leider ein SEHR großes Problem mit dem FTP bzw Webserver in meiner Firma, da jemand diesen wohl gehackt haben muß!

Obwohl es kein Konto mit Gust Zugang gibt, sind sehr viele Leute Anonymous auf dem ftp eingelogt!
Ich hab jetzt erstmal den Ftp-Dienst deaktiviert, wo ich auch gleich zu meinem nächsten Problem komme, denn die Jungs haben auf meinem Ftp Ordner angelegt wie lpt usw, die ich weder öffnen noch löschen kann, auch in dos nicht. Teilweise gibt es auch ordner die keinen Namen haben...


WIE BEKOMME ICH DIE DATEIEN VON DER PLATTE ???????

und wie kann ich rausfinde was die mit dem Rechner angestellt haben ?

gruß & DANKE fatality
 
hast du die benutzerüberwachung und di W3C logs für den FTP Server aktiviert ?
 
sorry aber ich kenne mich mit dem IIS noch nicht so gut aus...

wo genau finde ich denn die benutzerüberwachung bzw die einstellung dazu?

zu den w3c logs kann ich nur sagen das logs im verzeichnis c:\winnt\system32\logfile\w3svc1\... vorhanden sind ( nehme mal an das diese gemeint waren.. )

gruß fatality
 
Hier nochmal ein eintrag aus einer der logs

sent /r+92045+/com3+/lpt2+/aux0+/com2+/+/aux+/com3+/lpt1+/com2+/lpt1+/Scan+By+====+eaglewhite+===/Tagg+By+===++++eaglewhite+++===/Up+By+eaglewhite------/For+ct4ever/Here/Solaris2.rar.008+ 226
 
hattest du den anoymous zugriff aktiviert ?

wenn ja.. ist es möglich falls du keine sicherheitsupdates geladen hast, über einen gewissen Exploit dir zugriff auf das ftp root verzeichnis zu gelangen.

du kannst die benutzer überwachung doch aktivieren. Dann wird jedfer schritt im eventlog eingetragen.
Wenn du das hättest wüsstest du jetzt genau was die jungs angestellt haben.

Wegen deinem ordner:

versuche den besitz zu übernehmen und das lösche ihn am besten.

sorry hab grasde sctress.. schreibe später wieder..

hoffe konnte ein wenig helfen

w3S log

sollte glaub heissen w3cFTPVC oder soo.. weiss es auch nicht.. hehe setze auch nicht den MS FTP Server ein :)

ok.. bye.. bis später vielleicht
 
klick auf den ornder... rechte maustaste.. eigenschaften,
Reiter "Sicherheitseinstellungen"

klicke dort auf Erweitert, danach Reiter "Besitzer" und dort unten das häkchen "Besitzer für untergeordnete Container und Objekte ersetzen.

Dies geht aber nur wenn es ein Berechtinungs problem ist. sottle das nicht gehen kannst dus noch im command modus versuchen.

Gruss

darkmind
 
D A N K E erstemal!!!

werde es gleich mal versuchen!

ps: die event log sehe ich mir auch gerade an...


gruß fatality
 
Original von fatality
Kannste mir auch sagen wie genau ich den bzw die Ordner löschen kann ?

gruß fatality

hallo fatality

sorry.. das ich etwas.. naja.. unfreundlich geschrieben habe, doch ich war recht im stress.. und machte wieder mal 10 sachen gleichzeitig :)

falls es nicht klappt...

hat der ordner eine Bezeichung ?


gruss

Darkmind
 
Hab es leider noch nicht geschaft das verzeichnis so zu löschen!

bin auch schon in die eingabeaufforderung gegangen und hab versucht die ordner von dort zu löschen was aber auch nicht geht.

es sind halt immer sehr viele leerschritte vor und nach dem Ordnernamen
 
hmm.. hab noch gar nicht gefragt.. aber mit welchen OS arbeitest du ?

server ? wenn ja.. wie konfiguriert ?

kannst du mir mal schreiben wo sich der ordner befindet ?

c:\bla\bla\bla

was passiert eigentlich wenn du del drückst ? welche fehlermeldung kommt?! hast du mir da etwas genauere angaben. kannst mir die auch per pm senden. ich werde dann da ohne viel zu verraten einfach hier weiter posten.
 
Das Problem dürften weniger die Rechte seien, als daß es sich hierbei um locked dirs handelt. Diese Verzeichnisse werden so angelegt, daß sie zwar im Listing erscheinen, aber so nicht gelöscht werden können. Dies geschieht so :

Hast du z.B. im Listing ein Verzeichnis "com1 ", dann wurde das so angelegt :

MKDIR "com1 / "

Jetzt erscheint es im Listing nur als "com1 ", du kannst nicht einfach so reingucken und es auch nicht einfach so löschen.

Wenn du jetzt z.B. das Verzeichnis "D:\home\anonymous\com1 " aus der Konsole löschen willst, musst Du das so machen :

1. Du wechselst nach "D:\home\anonymous"

2. Du gibst ein "RMDIR "com1 / "

Dann sollte das Verzeichnis verschwunden sein. Es gibt noch andere Möglichkeiten, Verzeichnisse zu sperren, auch unter Linux. Mit ein wenig gesundem Menschenverstand kann man aber alle locked dirs betreten, anschauen und auch löschen.
 
hallo damien

hmm.. kann lesen schreiben und auch im Verzeichnis löschen..

hehe aber trotzdem.. krass :) 8o

gibt keine sicherheitseinstellungen usw 8o :)


cool

gruss

Darkmind
 
also das sieht aus wie wenn das von ner fxp crew kommt!
so was nennt man taggen. man macht die ordner mit com1 und lpt und so das man sie nicht mehr einfach löschen kann! aber ich hab mal gelesen die kann der admin löschen!
hm ?(

aber es gibt auch irgend ne möglich keit das sie undeletable gemacht werden! aber solche sind in der fxp szene nicht gut angesehen ^^ diese verzeichnisse kann man meines wissens nach gar nicht mehr löschen!

mich wunderts das ne crew auf deutsche ftp server uppt ?(

auf jeden fall würd ich sowas anzeigen! oder es wenigstens versuchen :D aber....

naja egal. aber sonst hab ich keine ahnung wie man die ordner löschen kann!
ich versuch mal was rauszufinden ob bzw. wie es geht!

bis dann
MfG aafreak
 
Falls die o.g Tips nicht helfen dann boote von CD (Knopix, ERD, Win2k Rescue Console) und hau die scheisse so weg. Dann überlege Dir, bevor Du den FTP Service wieder aktivierst, was und wo du noch tighter konfigurieren kannst.
Mit ansicherheit grenzender Wahrscheinlichkeit wirst Du hier ein paar gute Tips bekommen wie du Deinen FTP Server vor solchen Angriffen in Zukunft besser schützen kannst.

Viel Erfolg
 
jo... gast konto aus

IUSR_SERVER volle überwachung für laufwerk c:

und ANONYMOUS zugriff für ftp zugriffe deaktivieren.

dann sollte nichts passieren


gruss

Darkmind
 
Erstmal Danke an euch alle für die schnelle Hilfe!!!!

ich habe eben mal getestet die verzeichnisse via rmdir "com1 /" zu löschne geht auch wunderbar!

allerdings geht es nur wenn es nicht noch unterverzeichnisse gibt und davon wurden SEHR viele erstellt..

kann man die verzeichnisse auch irgendwie betreten ?

und was ist mit verzeichnissen die mehr als einen leerschritt im namen haben ?

nochmal D A N K E!!!

gruß fatality
 
Zurück
Oben