Windows Server gehaked (Vmware Server) ;)

VirtualBox, VMWare, KVM, XEN, OpenVZ, Virtuozzo, etc.
pillul
Posts: 5
Joined: 2004-10-06 12:50

Windows Server gehaked (Vmware Server) ;)

Post by pillul » 2006-11-14 13:48

Ohja ich finds ja echt klasse kurz Grundkonzept:

Suse 9.3 Host System aktueller Kernel und Patches

Windows Server 2003 Gast System mit allen Patches über Bridging und eigene IP angebunden. Hinter einer Routing und Ras firewall die alle Ports ausser die benötigen schließt.

Aufgesetzt hab ich den eimer vor 2 Tagen, heute schlägt der Antivirus Alarm.

Was ich bis jetzt festgestellt habe --> Injektion über phpmyadmin.
(war die aktuell Version die bei xampp dabei ist).
Darüber dann die sam.txt oder wie sie heißt gezogen. Die weiter schritte sind mir nicht ganz klar aber was ich noch gefunden habe :

Neuer BEnutzer der nicht mir gehört.
Ein Ftp Proggi das auch nicht mir gehört
Logs von Windows --> Müll (ich will meine messages )

Sodala was meint ihr Mülle gleich neu aufsetzen ? Wenn ja ohne phpmyadmin ^^

Oder gibts noch Möglichkeiten den Pösewicht auszusperren.

Die ganz Erfahrung zeigt mal wieder Windows als Server --> ******e ^^

mfg

Andreas

PS hier der Virusbefund:

C:ProgrammexamppphpMyAdminb.vbs: Exploit.ADODB.Stream.Gen FOUND
C:ProgrammexamppphpMyAdminwinback.exe: Trojan.Servu.1 FOUND
C:RECYCLERh.exe: Virtool.HideRun.B FOUND
C:WINDOWSsystem32winback.exe: Trojan.Servu.1 FOUND

User avatar
Joe User
Project Manager
Project Manager
Posts: 11580
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Windows Server gehaked (Vmware Server) ;)

Post by Joe User » 2006-11-14 14:27

Sobald ich xammp oder nuke lese wird mir grundsätzlich schlecht, wenn dann auch noch Windows dazu kommt benötige ich einen Arzt ;)

Ersthaft: Wenn man schon einen WinNT-Server nutzt, dann bitte auch konsequent, sprich inklusive IIS, .NET und MS-SQL...

Zu xammp: http://www.rootforum.org/forum/viewtopic.php?t=21051

Kiste/VM plätten und neu/richtig aufsetzen...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

pillul
Posts: 5
Joined: 2004-10-06 12:50

Re: Windows Server gehaked (Vmware Server) ;)

Post by pillul » 2006-11-14 15:15

Ich geb dir vom Prinzip recht.

Leider benötigen wir diesen Windows Server da einfach Anwenundgen nur auf WIn laufen :(

Und ich denke bzw bin bis gestern davon ausgegangen, dass der ISS noch ein größere Humbug ist als Xampp ?

Werd mir deinen Link mal zu Gemüe führen danke hierfür.

Heute nacht lass ich ihn mal laufen mal sehen ;)

djcrackman
RSAC
Posts: 208
Joined: 2005-06-02 11:58

Re: Windows Server gehaked (Vmware Server) ;)

Post by djcrackman » 2006-11-14 15:41

@pillul Was hindert dich daran Apache und Co selbst (und anständig) zu installieren? XAMPP kann nie den Releasezyklen von phpMyAdmin folgen, etc.

tommbutu
Posts: 70
Joined: 2005-11-23 00:56

Re: Windows Server gehaked (Vmware Server) ;)

Post by tommbutu » 2006-11-14 16:50

djcrackman wrote:@pillul Was hindert dich daran Apache und Co selbst (und anständig) zu installieren? XAMPP kann nie den Releasezyklen von phpMyAdmin folgen, etc.
mal ganz davon abgesehen das man phpmyadmin auch nur dann einschalten könnte wenn man es auch wirklich braucht, was der sicherheit wohl in den kram passen könnte ;)

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Windows Server gehaked (Vmware Server) ;)

Post by rootsvr » 2006-11-14 17:35

Du hast die Sicherheitshinweise von xampp gelesen (von wegen default Passwörtern etc?)

tommbutu
Posts: 70
Joined: 2005-11-23 00:56

Re: Windows Server gehaked (Vmware Server) ;)

Post by tommbutu » 2006-11-14 17:49

naja ich glaube an den passwörtern scheitert der xampp eigentlich weniger...das alles zusammengepackt ist...und alles aktiviert ist...daran sollte man sich wohl eher stören

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: Windows Server gehaked (Vmware Server) ;)

Post by danu » 2006-11-14 18:42

Bei mir ist vor ein paar Wochen ein Kunde mit 24 Domains zur Konkurenz auf einen Win Server gewchselt. Seit 2 Tagen ist er offline :-({|=

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Windows Server gehaked (Vmware Server) ;)

Post by nyxus » 2006-11-14 18:49

danu wrote:Bei mir ist vor ein paar Wochen ein Kunde mit 24 Domains zur Konkurenz auf einen Win Server gewchselt. Seit 2 Tagen ist er offline :-({|=
Das muss aber nicht an Windows liegen ...

pillul
Posts: 5
Joined: 2004-10-06 12:50

Re: Windows Server gehaked (Vmware Server) ;)

Post by pillul » 2006-11-14 19:15

stimmt schon ich beschwer mich ja auch nicht oder ?

passwörter waren alle geändert....

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Windows Server gehaked (Vmware Server) ;)

Post by rootsvr » 2006-11-14 19:30

tommbutu wrote:naja ich glaube an den passwörtern scheitert der xampp eigentlich weniger...das alles zusammengepackt ist...und alles aktiviert ist...daran sollte man sich wohl eher stören
Ich meinte aus der xampp doku folgendes:
Here a list of missing security in XAMPP:
The MySQL administrator (root) has no password.
The MySQL daemon is accessible via network.
PhpMyAdmin is accessible via network.
Examples are accessible via network.
The user of Mercury and FileZilla are known.

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: Windows Server gehaked (Vmware Server) ;)

Post by danu » 2006-11-14 20:04

... ich habe auch an die DateirechteZugiffsVerwaltung gedacht.