Notifikationer

Markér alle som læst Log ud

odie Nybegynder

10. oktober 2006 - 22:27 Der er 4 kommentarer og
1 løsning

Har haft besøg på min private www-server

Hejsa

Håber at det er den rigtige kategori jeg har oprettet mit spørgsmål i. Kunne ikke lige finde anet der kunne bruges "korrekt".

Jeg fandt i dag ud af at der lå flg. default.htm fil på min server:

-----------------------
<html>

<head>
<title>core-project is back.</title>
</head>

<body bgcolor="#000000" text="#FFFFFF" link="#FFFFFF" vlink="#FFFFFF"

alink="#FFFFFF" topmargin="0" leftmargin="0">

<img border="0"

src="http://imagecabi.com/pfiles/989/cerebro.jpg">
we are: 
J0shua - Zetha - blah - Huri 

 
Thankz to: 

h4rv3st, L0rd_Byr0n, hellsink, losjack, gridrunk. 
all guys of core-project past. 
 ShoutZ: Garibay, odz, sfin, ZEROCOOL, S4P0, SegFault, SPYKIDS, Outlaw, and everyone else


</body>

</html>
-----------------------

Jeg har pt. løst problemet ved at slå anonymous access fra. Det er vel godtnok lige pt. ? Men vil meget gerne have fundet hullet de har brugt.

Det er en win2000 server.

Jeg har fundet flg. i min logfil:
2006-10-10 13:46:14 85.25.135.60 - 192.168.100.10 80 HEAD /Default.asp - 200 -
2006-10-10 13:46:15 85.25.135.60 - 192.168.100.10 80 POST /_vti_bin/_vti_aut/author.dll - 200 core-project/1.0
2006-10-10 13:46:15 85.25.135.60 - 192.168.100.10 80 GET /Default.asp - 200 core-project/1.0
2006-10-10 13:46:15 85.25.135.60 - 192.168.100.10 80 POST /_vti_bin/_vti_aut/author.dll - 200 core-project/1.0
2006-10-10 13:46:15 85.25.135.60 - 192.168.100.10 80 GET /Default.asp - 200 core-project/1.0
2006-10-10 13:46:15 85.25.135.60 - 192.168.100.10 80 POST /_vti_bin/_vti_aut/author.dll - 200 core-project/1.0
2006-10-10 13:46:15 85.25.135.60 - 192.168.100.10 80 GET /Default.asp - 200 core-project/1.0
2006-10-10 13:46:16 85.25.135.60 - 192.168.100.10 80 POST /_vti_bin/_vti_aut/author.dll - 200 core-project/1.0
2006-10-10 13:46:16 85.25.135.60 - 192.168.100.10 80 GET /Default.asp - 200 core-project/1.0
2006-10-10 13:46:16 85.25.135.60 - 192.168.100.10 80 POST /_vti_bin/_vti_aut/author.dll - 200 core-project/1.0
2006-10-10 13:46:16 85.25.135.60 - 192.168.100.10 80 GET /Default.htm - 200 core-project/1.0

Det er sikkert ikke nok information til jer. I er selvf. mere end velkommen til at spørge om flere detaljer. Men i er så nød til at fortælle mig helt præcist, hvor jeg skal kikke henne efter de informationer i vil have.

Jeg har ikke nogen upload funktion på min side, så de må være kommet på en anden måde. Dog har jeg en gæstebog som indsætter i min mysql database, men bruger flg. til at fjerne ' tegn:
kommentar = Trim(Replace(Replace(Replace(Request.Form("kommentar"),"\","\"),vbCrLf," "),"'","''"))

Og kan de have lavet andre ting ?

Mvh.
Odie

Synes godt om

odie Nybegynder

10. oktober 2006 - 22:42 #1

Det ser ud til at dette var deres første besøg: (iflg www-loggen)
2006-10-08 21:47:26 212.227.64.191 - 192.168.100.10 80 POST /_vti_bin/_vti_aut/author.dll - 200 core-project/1.0
2006-10-08 21:47:26 212.227.64.191 - 192.168.100.10 80 GET /m - 200 core-project/1.0

Er ikke klar over om deres side lå der imellem 2006-10-08 21:47:26 og nu.

Mvh.
Odie

Synes godt om

bufferzone Praktikant

11. oktober 2006 - 08:32 #2

der er ingen tvivl det er et exploit der bruger author.dll

http://www.foofus.net/jmk/iis.html se værktøjet fp-checker.pl script
http://packetstormsecurity.org/9910-exploits/webfolders.txt her er hacket forklaret nogenlunde.

Det er frontpage serveretentions derer problemet. Du kan overveje fjerne disse. du bør også gennemkontrollerer dine servere for opdateringer og patches.

Prøv også at hente IIS Lockdown tool og kør dette

Synes godt om

odie Nybegynder

11. oktober 2006 - 10:10 #3

Hey Bufferzone

Jeg mener nu ellers at jeg har fravalgt frontpage under installationen af min server, men det checker jeg når jeg kommer hjem fra arbejde i aften.

Jeg har kørt opdateringer fra windowsupdate og der var ikke nye.
Jeg henter også IIS Lockdown tool i aften.

Jeg vender tilbage i aften..

/Odie

Synes godt om

bufferzone Praktikant

11. oktober 2006 - 10:35 #4

Du er meget velkommen og er der mere kikker jeg gerne på tingene. Der er masser af muligheder, men man skal side med disken får at kunne lave dem

Synes godt om

odie Nybegynder

11. oktober 2006 - 19:33 #5

Jeg kan ikke finde FrontPage nogen steder :S

Men nu har jeg hentet IIS Lockdown tool og kørt det med standard installation. Så prøver jeg at åbne igen og holder med om der sker noget igen.

tak for hjælpen.

/Odie

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus	22	26/11/202510:42	23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus	8	31/08/202519:08	01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus	10	03/02/202514:20	04/02/202511:05
mulig ukendt virus Af jackie18 i Virus	3	18/01/202514:07	18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus	13	18/01/202511:40	20/01/202517:53

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS