Archief - De topics van lang geleden

Webserver hacked / spykids

30-06-2006, 13:32 door elko, 42 reacties
Hallo,

Onze webserver (Win2003 / IIS) is gehacked. De groep
"spykids" heeft de standaard documenten vervangen door vier
eigen bestanden, te weten: default.htm, default.html,
index.htm en index.html met allen dezelfde inhoud.

Weet iemand hoe dit kan? Liever nog, hoe kan ik voorkomen
dat het kan?

Ik hoor het graag!

Hieronder volgt de inhoud van de files.
--------------------------------------------------------------------------------
<html>

<head>
<meta http-equiv="Content-Language" content="pt-br">
<meta http-equiv="Content-Type" content="text/html;
charset=windows-1252">
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<title>SPYKIDS ownz you!</title>
<body text="#FFFF00" bgcolor="#000000">

<center>
<p align="center"><img border="0"
src="http://www.profabril.pt/spykids.JPG" width="233"
height="240"></p>
<p align="center"><font size="7" face="Comic Sans
MS">SPYKIDS</font><br>
<br>
</p>

<p align="center"><font size="5">irc.gigachat.net</font></p>

<p align="center"><font size="5">#SPYKIDS</font></p>

<p align="center"><font face="Estrangelo Edessa" size="7"
color="#0000FF">B</font><font face="Estrangelo Edessa"
size="7">r</font><font face="Estrangelo Edessa" size="7"
color="#00FF00">a</font><font face="Estrangelo Edessa"
size="7" color="#FFFFFF">s</font><font face="Estrangelo
Edessa" size="7" color="#0000FF">i</font><font
face="Estrangelo Edessa" size="7">l</font><font
face="Estrangelo Edessa" size="7" color="#0000FF"> </font>
<font face="Estrangelo Edessa" size="7"
color="#00FF00">H</font><font face="Estrangelo Edessa"
size="7" color="#FFFFFF">E</font><font face="Estrangelo
Edessa" size="7" color="#0000FF">X</font><font
face="Estrangelo Edessa" size="7">A</font></p>

<font SIZE="2">
<p>poerschke - FDL - _CaKe_ -
</font>

<b>

<font SIZE="5">
guns_1</font></b><font SIZE="2">
- Hualdo - Creative_MX - C0d3_Bl4ck_NiNJA
</font>

</p>
<p> </p>
<p><font size="7">Foda-se USA</font></p>

<p align="center"> </p>
<p align="center"><img border="0"
src="http://www.profabril.pt/olho.jpg" width="500"
height="332"></p>

</body>
--------------------------------------------------------------------------------

Bij voorbaat dank!
Reacties (42)
30-06-2006, 13:57 door SirDice
Je bent defaced zoals men dat noemt.. Om antwoord te geven op je vraag hoe het kan is moeilijk.

Waren alle patches geinstalleerd? Was het systeem gehardend? Is er een (hardware) firewall? Wat voor site draaide er op? Welke andere services waren er toegangelijk? Wat voor rechtenstructuur? Met of zonder database backend? Hoe ziet het netwerk er uit? Er zijn 1001 manieren om een webserver te kraken, allemaal afhankelijk van hoe de server en/of het netwerk is ingericht.

Voorkomen? Goed patchen. Goede firewall. Auditten van de website code. Meerdere (beveiligings) lagen inbouwen. Reverse (filter) proxies, scheiden van functionaliteit en data.. Logfiles controleren. Misschien een IDS plaatsen. Zonder te weten wat er precies op de server draait en hoe het gebruikt wordt is ook hier moeilijk een antwoord op te
geven.

Oh ja, hoe nu verder? Als je er nog niets aan gedaan hebt.. Server offline halen (netwerk stekker eruit) en de politie of een particulier bedrijf onderzoek laten doen. Zodra je echter al geprobeerd hebt om het op te lossen gaat dat niet meer, je hebt dan naar aller waarschijnlijkheid al bewijzen "vernietigd".

Maak een backup van de data en installeer de complete server opnieuw vanaf de originele media. Je weet namelijk nooit wat er verder nog is gebeurd en om het risico van een achterdeur uit te sluiten zul je helemaal opnieuw moeten beginnen. Vergeet niet alle patches te installeren!!
30-06-2006, 15:22 door elko
Bedankt voor de hulp. De uitgebreide reactie geeft genoeg
handvaten om verder te kunnen.

Zucht... we krijgen onze vinger er nog niet achter. We
zullen de beveiliging verhogen.
30-06-2006, 16:59 door Anoniem
Hahahaha frontpage:

<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<title>SPYKIDS ownz you!</title>

script kiddo's...
03-07-2006, 09:33 door elko
Dat viel me idd ook meteen op!
03-07-2006, 11:52 door SirDice
't feit dat die pagina ff snel in frontpage is gemaakt zegt
niets over het wel of niet zijn van scriptkiddies. 2 min. in
Frontpage ff snel iets in elkaar draaien of 10 min. op de
'ouderwetse' handmatige manier?
04-07-2006, 13:43 door elko
De problemen zijn er ook niet minder om!
04-07-2006, 14:26 door awesselius
Voor hetzelfde geld willen ze met zo'n FrontPage indruk
juist forensisch onderzoek dwarsbomen. Door iemand op een
dwaalspoor te zetten met dit soort info. Dat het in de HTML
staat wil geenzins zeggen dat het met behulp van FrontPage
is gemaakt!

- Unomi -
02-08-2006, 14:12 door Anoniem
Heeft dit niet iets te maken met de Frontpage extensies in IIS? Ik ben niet
zo'n IIS guru, maar hier op mijn werk gebruiken ze dat. :-(
02-08-2006, 14:16 door Anoniem
Of "web authoring"? Ik zag daarnaast nog iets met version control. Ik weet
niet in hoeverre een client een file kan wijzigen onder IIS.
02-08-2006, 16:39 door G-Force
Door elko
Bedankt voor de hulp. De uitgebreide reactie geeft genoeg
handvaten om verder te kunnen.

Zucht... we krijgen onze vinger er nog niet achter. We
zullen de beveiliging verhogen.


Beste Elco,

In de regel geldt: daar waar een veiligheidsbreuk heeft
plaatsgevonden, daar moet de beveiliging verhoogd worden. Ik
kan alleen maar herhalen wat SirDice gezegd heeft: omdat je
systeem gecompromitteerd is geweest en niet precies weet
waar, moet je de server weer helemaal vanaf scratch, vanaf
het begin weer opnieuw installeren. Verder vind ik het
noodzakelijk dat jullie er precies achterkomen hoe dit euvel
heeft kunnen gebeuren, anders weet je niet waar je de
beveiliging moet aanpakken. Daarom zullen jullie op ALLE
fronten de beveiliging drastisch moeten gaan verhogen.
03-08-2006, 12:15 door SirDice
Door Anoniem
Of "web authoring"? Ik zag daarnaast nog iets met version control. Ik weet niet in hoeverre een client een file kan wijzigen onder IIS.
Ik zie hier en daar websites defaced worden middels een eenvoudige WebDAV PUT..
04-08-2006, 14:01 door Anoniem
Door SirDice
Ik zie hier en daar websites defaced worden middels een
eenvoudige WebDAV PUT..
Het zou een bug in WebDAV kunnen zijn, of ergens anders in
IIS. Ik vind dat je binnen IIS niet voldoende overzicht hebt
hoe de configuratie nou in elkaar zit. Ik zweer echt al
jaren bij Apache, omdat je daar veel meer overzicht hebt qua
uitgedeelde rechten (config file is makkelijker lezen dan
2000 schermpjes nalopen per website). En het is de afgelopen
10 a 12 jaar, veel veiliger dan IIS gebleken. Ook vertrouw
ik Apache meer qua update snelheid, gezien MS gemiddeld
134.5 dagen doet vanaf het moment dat een bug bekend is, tot
er een patch beschikbaar is.

Ik hang helemaal nooit IIS aan de publieke kant van het
netwerk, daar vertrouw ik IIS niet voldoende voor. Als ik
iets als OWA / OMA of andere Microsoft services aan de
externe lijn wil krijgen, dan doe ik dat door middel van
Apache met MOD_PROXY. Dan bouw ik eerst een loginpagina (dmv
ldap) vanaf Apache voordat je alleen al bij de reverse-proxy
kan komen.

Zoals meerdere mensen hier al aangegeven hebben, ghost de
huidige configuratie naar een DVD toe (om achteraf nog
dingen na te kunnen lopen) en doe hierna direct een
herinstallatie. Kijk ook of er geen rare sporen op de HDD
(bootsector/etc) aanwezig zijn, en/of in de BIOS.

Een beetje hacker die komt zonder probleem overal doorheen.
Ik had gisteren adhv een Guest account kunnen zorgen dat ik
lid werd van de groep Administrators. Zonder gebruik van
wachtwoorden, op een beter beveiligde computer dan
"standaard" Windows XP. Voor IIS is dit ook niet zo moeilijk
te bouwen.
13-08-2006, 18:20 door Anoniem
Ik heb onze productie server weer opnieuw opgezet en ik heb
een het tooltje van Microsoft genaamd IIS lockdown
uitgevoerd. Deze haalt alle overbodige services weg zoals
WebDAV en haalt de web administration weg. Misschien het
proberen waard om in de toekomst dit soort grapjes te weren?
23-08-2006, 15:29 door Anoniem
Check Zone-H en kom er achter dat "spykids" 1 van de
grootste groepen defacers ter wereld is. En dat ze vooral
"autohackers" gebruiken. Een beetje vergelijkbaar met de
methodes van o.a "Iskorptix"

Hieruit kan ik concluderen dat de beheerder een probleem heeft.
Namelijk, het "prutser zijn"

Advies; Koop eens een voor dummy's boek ;)
15-10-2006, 00:51 door Anoniem
op mijn site http://www.oranjequiz.nl heeft SPYKIDS ook toegeslagen:

SPYKIDS OWNZ YOUR SYSTEM

Fuck You Redefacers e os lammers q postao subdirs no zone-h e
dao mais valor aos subdirs

Gringos nojentos safados que so estragao ZONE-H o que tem mais
valor redefacers e subdirs ?

Fuck You Redefacers and lammers posted subdirs in zone-h and
more value to subdirs Foreign disembarassed nojentos that bads
Zone-h what it has more value redefacers and subdirs?

irc.GigaChat.net - #spykids

poerschke / FDL / _CaKe_ / guns_1 / Hualdo / LordX / Creative_Mx /
C0d3_Bl4ck_NiNJA


Zeer irritant.
16-10-2006, 10:47 door SirDice
Hmm.. Dan heeft je hostingprovider zitten slapen.. Ik zou
een andere nemen..
16-10-2006, 11:11 door Anoniem
Waarschijnlijk hebben ze gewoon een of andere exploit van het net
gehaald en op je server los gelaten.

Wat kan je hier aan doen in de toekomst? Juist niet wat jij gedaan hebt
door alles te formateren en te verwijderen.Doe aangifte die dombo's
willen bekent zijn laat ze bekent zijn bij justitie het bewijs heb je want ze
hebben de html file vervangen en de hack die is uitgevoerd op je pc.Met
een beetje geluk stelt justitie een onderzoek in krijgen ze een mooi
strafblad wat ze verdienen.
16-10-2006, 18:21 door konijntje
Door Anoniem
Check Zone-H en kom er achter dat "spykids" 1 van de
grootste groepen defacers ter wereld is. En dat ze vooral
"autohackers" gebruiken. Een beetje vergelijkbaar met de
methodes van o.a "Iskorptix"

Hieruit kan ik concluderen dat de beheerder een probleem heeft.
Namelijk, het "prutser zijn"

Advies; Koop eens een voor dummy's boek ;)

Kennelijk mag je dat anoniem niet zeggen maar dan maar even van thuis
uit; Bedankt voor deze nuttige bijdrage.

Het afzeiken van iemand omdat hij/zij toevallig iets niet weet draagt niet
echt bij aan een cultuur waar ook 'domme' vragen mogen worden gesteld.

Let maar eens op in je omgeving hoevaak een domme vraag iets oplevert
of ergens een lampje doet aangaan, al is het op een ander gebied als de
steller van de vraag bedoeld heeft.

Vaak zegt een dergelijke reactie ook wel iets over het nivo van degene die
reageert, 'eigenlijk ben ik niet half zo goed als ik mij doe voorkomen, laat
ik maar beginnen met de ander even uit te leggen dat ie nog dommer is
dan ik (waarbij je het laatste uiteraard weglaat in je reactie.).

Het is ook spijtig dat de redactie dergelijke posts gewoon doorlaat en al helemaal van een anoniem, die posts worden gemodereerd waarmee de redactie direct accoord gaat met de inhoud zoals deze gepost wordt en dus logischerwijs het niet geheel oneens is met deze inhoud.
Als voorbeeld mijn reactie hierop als anoniem is wel weg gemodereerd.

Den groeten.
16-10-2006, 22:09 door SirDice
Door konijntje
Het afzeiken van iemand omdat hij/zij toevallig iets niet weet draagt niet echt bij aan een cultuur waar ook 'domme' vragen mogen worden gesteld.
Een wijs persoon leert meer van een domme vraag dan een dom persoon van een wijs antwoord ;)
18-10-2006, 09:37 door Anoniem
Domme vragen bestaan niet, alleen domme antwoorden.
18-10-2006, 11:31 door awesselius
Je bent 'dom' als je het wel weet en bewust niet naar
handeld. Onwetend heeft niets met intelligentie te maken,
maar met beschikbaarheid van informatie.

Als iemand dus onwetend is, dan scheelt er iets aan de
verspreiding van het goede woord.

Dit is een van de redenen dat hackers (de goede) 'freedom of
information' nastreven. De anarchie tegen bescherming van
informatie dus.

Freedom of speech zou ook in het nauw komen als je niet meer
het goede woord mag verspreiden waardoor mensen onwetend
zouden blijven.

Kijk voor de grap de film 1984 eens.... Of lees het boek
natuurlijk.

- Unomi -
04-05-2007, 09:59 door Anoniem
hehehe
as i am
;P
el lordx was here
04-05-2007, 11:27 door [Account Verwijderd]
[Verwijderd]
13-05-2007, 04:50 door Axnozum

Onze webserver (Win2003 / IIS) is gehacked.

Ik zou een echt OS gaan draaien... IIS is ontzettend ruk..
Get Apache and get a job!
14-05-2007, 10:54 door SirDice
Door Axnozum

Onze webserver (Win2003 / IIS) is gehacked.

Ik zou een echt OS gaan draaien... IIS is ontzettend ruk..
Get Apache and get a job!
Als je weet waar je mee bezig bent is IIS prima te beveiligen/beheren. IIS is ruk als je het niet begrijpt.. Maar dat geldt net zo goed voor Apache.

Overigens kun je Apache ook prima op Windows draaien. Is het dan nog steeds ruk?
14-05-2007, 14:13 door flopz0r
IIS misschien wel veilig te beheren, de achterliggende
applicaties alleen niet, met die idiote support voor verschillende
url encodings.
14-05-2007, 14:19 door SirDice
Door flopz0r
IIS misschien wel veilig te beheren, de achterliggende applicaties alleen niet, met die idiote support voor verschillende url encodings.
De meeste webbased wormen die ik momenteel in het wild tegenkom zijn voor, op PHP gebaseerde, fora/cms systemen.. Dus..

Apache en PHP ondersteunen ook die "idote" url encodings.. Dat heet UTF-8 of unicode.. En zo idioot is het niet.. Niet alles is te spellen in ASCII.
14-05-2007, 14:30 door flopz0r
Ja dus...? Wat is je punt? Dat PHP niet op IIS kan draaien? Dat
wormen de enige vorm van aanvallen op webapplicaties zijn?
Dat er helemaal geen wormen voor ASP applicaties bestaan?
14-05-2007, 14:50 door flopz0r
Mijn god... Verdiep je anders eens in IDPS evasion technieken
voordat je weer met zo'n simpele edit op je reply komt.
Misschien snap je dan wat ik bedoel met idiote URL encodings,
einstein...
14-05-2007, 15:21 door SirDice
Door flopz0r
Ja dus...? Wat is je punt? Dat PHP niet op IIS kan draaien?
Dat wormen de enige vorm van aanvallen op webapplicaties
zijn? Dat er helemaal geen wormen voor ASP applicaties
bestaan?
Zei ik dat dan?
Mijn god... Verdiep je anders eens in IDPS evasion
technieken voordat je weer met zo'n simpele edit op je reply
komt. Misschien snap je dan wat ik bedoel met idiote URL
encodings, einstein...
Als je nu eens met argumenten komt ipv te gaan schelden.
Haal in het vervolg een paar keer diep adem, ga even een
paar minuten wat anders doen en ga dan pas antwoorden als je
emoties in de weg zitten bij een discussie.
14-05-2007, 15:37 door flopz0r
Ik voer helemaal geen discussie en mijn emoties zijn wel het
laatste dat op dit moment in de weg zit. Ik stel alleen dat IIS niet
echt praktisch is met het detecteren en tegenhouden van
webbased attacks. Een taak die toch al erg moeilijk is en door
IIS alleen maar moeilijker wordt gemaakt.

Ik zie ook helemaal niet in waarom ik met argumenten zou
komen. Jij zegt precies te weten waar ik op doel, prima dan zoek
je het zelf maar uit.

Niet dat dat nou zo heel moeilijk is. Iedere paper die IDPS
evasion technieken behandelt, met name van het HTTP
protocol, behandelt deze vieze encodings...
14-05-2007, 16:18 door SirDice
Ik begrijp niet zo goed waarom IIS het moeilijker zou maken. Met een standaard apache kun je ook niet zo veel uitrichten.. Mod_security helpt en soortgelijke extra modules zijn er ook voor IIS. Ik snap dan ook niet waarom de "achterliggende" applicatie dan zo moeilijk te beveiligen zou zijn.. Je hebt het hier over problemen die in de webserver zitten en niet zo zeer de web-applicties. Bij problemen in web applicaties denk ik eerder aan zaken als sql injection en XSS, kortom input validatie.

IDS evasion technieken zijn er allereerst voor om jouw IDS buitenspel te zetten. Ik zie verder ook niet zo goed in wat dat dan met de veiligheid van mijn webserver te maken heeft[1]. Een IDS vergroot of verkleint de veiligheid van je
server niet. Het is een extra hulpmiddel bij de detectie/opsporing van eventuele problemen. En aan een IPS heb je m.i. helemaal niets. Veel te gevoelig voor false positives (blokkeren van regulier verkeer), als je die
vermindert loop je een steeds groter risico op false negatives (het niet blokkeren van een aanval). Een aanval op je webserver is niet erg, mits goed geconfigureerd en de webapplicatie fatsoenlijk geaudit is.

Uit eigen ervaring weet ik dat de "aanvallen" vanaf het Internet ongeveer deze verhouding heeft: 95% wormen, 4,9% scriptkiddies en 0.1% is echt gericht. Het is vooral die 0.1% waar je je zorgen om moet maken. Die ga je ook niet detecteren met je IDS/IPS.

[1] Uitzondering misschien de double decode/unicode bug van een tijd terug maar die was niet bedoeld om je IDS buitenspel te zetten. Sterker nog, alle IDS'en herkennen die bug/aanval.
14-05-2007, 19:46 door flopz0r
Nou laatste poging dan, dit dwaalt veel te ver af en ik ben
niet echt in de stemming om mijn standpunten te verdedigen.
De opmerking was in eerste instantie ook helemaal niet
bedoelt om een discussie te starten, meer een aanvulling op
een reeds al geplaatste opmerking met betrekking tot IIS.

1. IIS maakt het moeilijker voor elk pattern matching device
die potentieel gevaarlijk verkeer probeert te identificeren
doordat het veel en niets toevoegende URL encodings
ondersteund. Door het beschermen van throughput kan deze
namelijk maar een zeer beperkt, of in veel gevallen helemaal
geen, van deze URL encoding technieken aan om on-the-fly
deze te decoden. Dit geldt overigens zowel voor host als
network IDPS. Dan zou er nog een mogelijkheid bestaan om per
encoding een aparte signature te definieren, mocht het niet
zo zijn dat met veel van deze encodings het mogelijk is om
een bepaalde waarde op verschillende manieren te presenteren.

2. Waarom zou ik verkeer tot een webserver laten komen als
ik door middel van network-based detectie al kan bepalen dat
een bepaalde request op een webapplicatie niet valide is.
Hierdoor kan ik onnodige load op een netwerk en webserver
voorkomen. Daarbij is mod_security ook niet echt heilig,
buiten de vulnerabilities in de module zelf, heeft het ook
nogal problemen in het detecteren van vulnerabilities in
bijvoorbeeld PHP door 'features' die PHP wel heeft en andere
programmeertalen niet. Dit is een beetje te vergelijken met
het probleem van vage URL encodings. Ter veduidelijking: ik
ben niet tegen HIPS, gewoon niet zo'n fan van mod_security.
Memory protection middels HIPS is natuurlijk een ander verhaal.

3. Aangezien dit al veel te veel offtopic gaat, ga ik niet
verder in op je meningen over IDPS. Laten we het kort houden
zeggen dat ik het totaal niet met je eens ben op dit vlak.
En vele anderen gezien de nog steeds sterk groeiende afzet
van IDPS.
14-05-2007, 20:03 door SirDice
Een simpele en effectieve methode is het gebruik van reverse proxies. Daar kun je ook mooi je SSL verkeer op termineren zodat je ook dat verkeer fatsoenlijk met een IDS kunt monitoren.

Overigens is er een vrij eenvoudige methode om een directory traversal tegen te gaan op IIS. Als windows op C: is geinstalleerd leg je je webroot op d:. Dan kun je ../'en tot je een ons weegt maar je zult nooit en te nimmer bij de windows directory uit kunnen komen. Simpel maar effectief tegen bijv. Nimda.
14-05-2007, 23:09 door Anoniem
Niks aan doen!!!!

De stroom eraf halen. server los koppelen !

En melding maken bij :
http://www.meldpuntcybercrime.nl/
14-05-2007, 23:27 door [Account Verwijderd]
[Verwijderd]
14-05-2007, 23:47 door Anoniem
En dan? Kinderporno of terrorisme kiezen?

Dat zijn slechts voorbeelden. Als je goed leest kan je ook aangifte doen
tegen computer vredebreuk.

http://www.meldpuntcybercrime.nl/over_ons/wat_doen_wij.html
Melding ‚ aangifte

Door melding te maken, geeft u een tip aan de politie over iets wat u heeft
waargenomen op of via het internet. Bij een aangifte stelt u de politie
officieel in kennis van een strafbaar feit. De politie maakt hiervan een
proces-verbaal op. Neem voor het doen van aangifte contact op met de
plaatselijke politie op 0900-8844 of bezoek een politiebureau.
15-05-2007, 10:26 door SirDice
Door Solid
En dan? Kinderporno of terrorisme kiezen?

Dat zijn slechts voorbeelden. Als je goed leest kan je ook aangifte doen tegen computer vredebreuk.
Hoewel het goed advies is zie je, als je goed leest, ook dat deze server bijna een jaar geleden gekraakt is.
15-05-2007, 10:35 door Anoniem
En dat het nog niet mogelijk is anders dan een melding van
kinderporno of een terroristische uitingen te melden op die
website:

Klik hier voor een beschrijving van de begrippen kinderporno,
seksueel benaderen van kinderen, en radicale en terroristische
uitingen.

In de toekomst kunt u via deze site ook van andere criminaliteit
op of via het internet melding maken.
15-05-2007, 16:44 door Anoniem
Hoewel het goed advies is zie je, als je goed leest, ook dat deze
server bijna een jaar geleden gekraakt is.

Klopt maar ik kwam het laatst toevallig tegen toen ik op de site van politie
gelderland zuid aan het zoeken was dus ook wel handig is voor mensen
die het nog niet weten voor in de toekomst als ze weer toe slaan.
16-05-2007, 13:50 door Anoniem
Door Anoniem
Domme vragen bestaan niet, alleen domme antwoorden.

Bijna goed: domme vragen bestaan niet, alleen domme mensen
16-05-2007, 16:19 door SirDice
Een wijs persoon leert meer van het stellen van een domme vraag dan een dom persoon leert van een wijs antwoord.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.