jag har installerat iis server win 2000 tagit hem alla säkerhetsuppdateringar
men jag har ett program som ideligen vill komma ut zonealarm stoppar det
men server går ner. har instalerat om hela oprativet.
Programmet heter tftp.exe ligger i sytem32 provat att ta bort det men
det dyker upp igen (som gubben i lådan)
under här ser ni hur loggen ser ut
kollar man ip ser det ut att gå någonstans i iran??
någon som vet vad det är
Mvh Hasse

06:09:36 217.218.56.24 GET /scripts/root.exe 404
06:09:38 217.218.56.24 GET /MSADC/root.exe 404
06:09:39 217.218.56.24 GET /c/winnt/system32/cmd.exe 404
06:09:40 217.218.56.24 GET /d/winnt/system32/cmd.exe 404
06:09:42 217.218.56.24 GET /scripts/..%5c../winnt/system32/cmd.exe 200
06:12:07 217.218.56.24 GET /scripts/..%5c../winnt/system32/cmd.exe 502
06:12:13 217.218.56.24 GET /scripts/..%5c../winnt/system32/cmd.exe 502
06:13:44 217.218.56.24 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 200
06:18:16 217.218.56.24 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
06:18:18 217.218.56.24 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 500
06:18:18 217.218.56.24 GET /scripts/..Á../winnt/system32/cmd.exe 500
06:18:20 217.218.56.24 GET /scripts/winnt/system32/cmd.exe 404
06:18:21 217.218.56.24 GET /scripts/../../winnt/system32/cmd.exe 200
06:22:53 217.218.56.24 GET /scripts/..\../winnt/system32/cmd.exe 200
06:27:25 217.218.56.24 GET /scripts/..%5c../winnt/system32/cmd.exe 403
06:27:27 217.218.56.24 GET /scripts/..%5c../winnt/system32/cmd.exe 403
06:27:28 217.218.56.24 GET /scripts/..%5c../winnt/system32/cmd.exe 403
06:27:30 217.218.56.24 GET /scripts/..%2f../winnt/system32/cmd.exe 403

Kolla om detta kan hjälpa:
http://security-archive.merton.ox.ac.uk/bugtraq-200010/0347.html

Låter som du har en trojan där..

Kört troja remover (ad-Aware)
men det hittade inget
hittade även en sida på nätet som skrev följande

Disable Windows TFTP Client
A Windows client that has been compromised by README.EXE will use TFTP traffic (UDP69) to accomplish further exploits. W2K has TFTP.EXE protected by Windows File Protection so it can't be removed. To disable the TFTP client do the following:

1) Edit the services file

%systemroot/system32/drivers/etc/services

2) Find this line

tftp 69/udp

3) Replace it with

tftp 0/udp

Källa: http://farm9.com/content/0918worm

har gjort som dom skrev har nu varit lungt 4-5 timmar

Mvh Hasse

Utifrån din logg tycker jag det verkar som om någon kör nåt script mot din dator. Dom provar utföra vissa kommandon som är kända exploits på IIS. Alla anrop verkar komma från IP 217.218.56.24. Sen kan man se på den sista siffran i varje rad vad din webserver har svarat. Säger den 200 är det ett positivt svar (negativt för din del......). Webservers säger att requesten gick bra, och den returnerar ett svar.

En lista över de ytterliga koderna:

403 - Förbjuden URL.
404 - ingen sådan URL kunde hittas.
500 - internt fel uppstog i webservern.
502 - Bad Gateway - kan vara att en applikation har startats men din IIS kan inte skicka nåt svar tillbaka till klienten.

Jag tycker det verkar som om någon av de raderna som är körda mot din IIS kan ha medförd att någon har startat en applikation på din server. TFTP är då en mycket möjlig applikation.


// Jarle

Instämmer med ovanstående talare

Försök att få tag på IIS Lockdown Tool från MS (gratis)
Den säkrar upp IIS mot dylika hackerförsök
Ser dagligen att jag har samma anrop mot en extern server, men som Lockdown Tool ser till att spärra

Okej skall nu hämta detta program
men det har nu varit helt lungt från detta ip
som tur var satt zonealarm stopp på kontakten

Har en liten fundering körde trojan remover (se tidigare inlägg)
utan att finna något på c:körde sedan på samtliga diskar i servern där hittade jag en del skräp
på en gammal disk som tjänsgjort som c:\ på en annan dator
kan det vara så att en gammal disk som har haft detta spök i sig
som nu ligger under enhetsbetekning f:\ (formaterat om denna disk nu)

en fråga till. Vad säker är ett aspinloggninsscript där anvädaren ligger via en mdbfil?
mot att använda windows inloggning (asp inloggning går ju mycket fortare)

en sissta fråga
Jag tar bara hem alla säkerheysuppdateringar som finns (win2000)
men inte servicepacken. (vill inte ha allt som skickas med där)
räcker det för att ha så bra säkerhet som möjligt

Tack för era svar

Mvh Hasse

> Har en liten fundering körde trojan remover (se tidigare inlägg)
> utan att finna något på c:körde sedan på samtliga diskar i servern där hittade jag > en del skräp
> på en gammal disk som tjänsgjort som c:\ på en annan dator
> kan det vara så att en gammal disk som har haft detta spök i sig
> som nu ligger under enhetsbetekning f:\ (formaterat om denna disk nu)

Tror inte det. Det skulle vara om någon har skapt en applikation där nu, men det är inte så troligt.

> en fråga till. Vad säker är ett aspinloggninsscript där anvädaren ligger via en mdbfil?
> mot att använda windows inloggning (asp inloggning går ju mycket fortare)

Om du bara använder Internet Explorer för att komma åt din webserver kan du använda Integrated Windows authentication vilket betyder att inget lösenord skickas över nätet i klartext.

Skall du använda andra webbrowsers (och inte har någon SSL-kryptering), skickas din inloggning (anv. namn och lösen) som klartext över nätet när du loggar in.

Om du använder en databas för att spara ner din användare och lösenord är det upp till dig att kryptera det så att ingen kan komma åt datat som ligger där. Använder du windows inloggning krypteras det lagrade inloggningsdatat automatisk.

> en sissta fråga
> Jag tar bara hem alla säkerheysuppdateringar som finns (win2000)
> men inte servicepacken. (vill inte ha allt som skickas med där)
> räcker det för att ha så bra säkerhet som möjligt

Ja.
Sen går jag utifrån att du också tar hem alla uppdateringar till dina applikationer (IIS, Access, ....).


// Jarle

Jag bockar och bugar för alla
svar jag fått tror hoppas jag fått stopp på detta nu
har även ändrat ftp porten från 21 till xxxx
port 80 måste man ju ha
vet inte om det gör något positivt


Tack & hej så länge

Mvh Hasse