Windows Server gehaked (Vmware Server) ;)

[pillul]

Ohja ich finds ja echt klasse kurz Grundkonzept:

Suse 9.3 Host System aktueller Kernel und Patches

Windows Server 2003 Gast System mit allen Patches über Bridging und eigene IP angebunden. Hinter einer Routing und Ras firewall die alle Ports ausser die benötigen schließt.

Aufgesetzt hab ich den eimer vor 2 Tagen, heute schlägt der Antivirus Alarm.

Was ich bis jetzt festgestellt habe --> Injektion über phpmyadmin.
(war die aktuell Version die bei xampp dabei ist).
Darüber dann die sam.txt oder wie sie heißt gezogen. Die weiter schritte sind mir nicht ganz klar aber was ich noch gefunden habe :

Neuer BEnutzer der nicht mir gehört.
Ein Ftp Proggi das auch nicht mir gehört
Logs von Windows --> Müll (ich will meine messages )

Sodala was meint ihr Mülle gleich neu aufsetzen ? Wenn ja ohne phpmyadmin ^^

Oder gibts noch Möglichkeiten den Pösewicht auszusperren.

Die ganz Erfahrung zeigt mal wieder Windows als Server --> ******e ^^

mfg

Andreas

PS hier der Virusbefund:

C:ProgrammexamppphpMyAdminb.vbs: Exploit.ADODB.Stream.Gen FOUND
C:ProgrammexamppphpMyAdminwinback.exe: Trojan.Servu.1 FOUND
C:RECYCLERh.exe: Virtool.HideRun.B FOUND
C:WINDOWSsystem32winback.exe: Trojan.Servu.1 FOUND

[Joe User]

Sobald ich xammp oder nuke lese wird mir grundsätzlich schlecht, wenn dann auch noch Windows dazu kommt benötige ich einen Arzt ;)

Ersthaft: Wenn man schon einen WinNT-Server nutzt, dann bitte auch konsequent, sprich inklusive IIS, .NET und MS-SQL...

Zu xammp: http://www.rootforum.org/forum/viewtopic.php?t=21051

Kiste/VM plätten und neu/richtig aufsetzen...

[pillul]

Ich geb dir vom Prinzip recht.

Leider benötigen wir diesen Windows Server da einfach Anwenundgen nur auf WIn laufen :(

Und ich denke bzw bin bis gestern davon ausgegangen, dass der ISS noch ein größere Humbug ist als Xampp ?

Werd mir deinen Link mal zu Gemüe führen danke hierfür.

Heute nacht lass ich ihn mal laufen mal sehen ;)

[djcrackman]

@pillul Was hindert dich daran Apache und Co selbst (und anständig) zu installieren? XAMPP kann nie den Releasezyklen von phpMyAdmin folgen, etc.

[tommbutu]

@pillul Was hindert dich daran Apache und Co selbst (und anständig) zu installieren? XAMPP kann nie den Releasezyklen von phpMyAdmin folgen, etc.

mal ganz davon abgesehen das man phpmyadmin auch nur dann einschalten könnte wenn man es auch wirklich braucht, was der sicherheit wohl in den kram passen könnte ;)

[rootsvr]

Du hast die Sicherheitshinweise von xampp gelesen (von wegen default Passwörtern etc?)

[tommbutu]

naja ich glaube an den passwörtern scheitert der xampp eigentlich weniger...das alles zusammengepackt ist...und alles aktiviert ist...daran sollte man sich wohl eher stören

[danu]

Bei mir ist vor ein paar Wochen ein Kunde mit 24 Domains zur Konkurenz auf einen Win Server gewchselt. Seit 2 Tagen ist er offline :-({|=

[nyxus]

Bei mir ist vor ein paar Wochen ein Kunde mit 24 Domains zur Konkurenz auf einen Win Server gewchselt. Seit 2 Tagen ist er offline :-({|=

Das muss aber nicht an Windows liegen ...

[pillul]

stimmt schon ich beschwer mich ja auch nicht oder ?

passwörter waren alle geändert....

[rootsvr]

naja ich glaube an den passwörtern scheitert der xampp eigentlich weniger...das alles zusammengepackt ist...und alles aktiviert ist...daran sollte man sich wohl eher stören

Ich meinte aus der xampp doku folgendes:

Here a list of missing security in XAMPP:
The MySQL administrator (root) has no password.
The MySQL daemon is accessible via network.
PhpMyAdmin is accessible via network.
Examples are accessible via network.
The user of Mercury and FileZilla are known.

[danu]

... ich habe auch an die DateirechteZugiffsVerwaltung gedacht.