Server Scans

  • Hallo,


    seit geraumer Zeit wird von euer Server mit dem DFind Tool auf meine Server gescannt. Das DFind Tool ist ein Vulnerability Scanner der nach Lücken in Scripte wie PHPKit, Joomla usw sucht.


    Code
    1. 85.14.216.250 - - [13/Apr/2009:10:20:02 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226
    2. 85.14.216.250 - - [13/Apr/2009:10:20:15 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226
    3. 85.14.216.250 - - [13/Apr/2009:10:20:47 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226

    Eure Seite wird zwar durch ein Ban Script automatisch für 24Std. gebannt, ist jedoch ärgerlich dass die Server Logs zugemüllt werden.


    Code
    1. root@xxxxx:# iptables -L
    2. Chain f2b-w00tw00t (1 references)
    3. target prot opt source destination
    4. DROP all -- 85.14.216.250 anywhere
    5. RETURN all -- anywhere anywhere

    Ich vermute dass eure XAMPP Windows Installation nicht ganz dicht ist. Ihr solltet das so schnell wie möglich fixen, sonst muss ich eine Abuse Meldung an euer Provider rausschicken.


    Grüsse

  • Hi Scyathome,


    erstmal Danke für die Meldung. Erste Maßnahme ist, das ich jetz ANTIVir Server (30Tage Test) installiert habe, Scann läuft gerade. @ Gandi: Bitte dringen XAmp überprüfen und ggf. korrigieren.


    @ alle, sollte wir das Problem nicht zügig in den Griff kriegen, müssen wir die Seite schneller als erwartet umziehen.....sch...


    naja...


    Gruß

  • Da sollte mal der Serveradmin Ghandi oder wer shell zgriff hat mal nachschauen.


    Soweit ich google richtig verstande habe heisst der übeltäter dfind.exe


    und ändert mal die passwörter.;)


    @tc das kein virus sonder ein scan tool welches manuell ausgeführt wird. da hat jemand von unseren server aus gescannt.

  • Keine Panik, ich werde keine Abuse raushauen wenn ihr das in den Griff bekommt. Im schlimmsten Fall kann euer Provider den Server dicht machen wenn sich ein anderer beschwert.


    Ich glaube dass es mit XAMPP zusammenhängt, seltsam ist eben dass alle Seiten mit dem DFind-Tool auch Xampp 1.7 Windows installiert haben.


    Grüsse

  • Hi Scy,


    schau mal ob Du immer noch Abfragen von unserem Server bekommst. Ich habe unsere Kiste jetzt untersucht und nur einen Registry-Eintrag gefunden der auf DFind hinweist. Sonst nichts. Diesen Eintrag habe ich gelöscht und den Server neugestartet. Und noch ein paar andere Maßnahmen eingerichtet..... ;)


    Und im Zweifel kannst Du Dir die Abusemeldung sparen, das haben schon andere erledigt.... :o So ein Sch.....



    Gruß

  • Hi,


    es wird fleissig weitergescannt :) nachdem heute um 9 Uhr durch iptables eure IP entbannt wurde, ging es um 11:15 weiter.



    Grüsse


    Also Abuse kam nicht von mir, wenn das meine Absicht gewesen wäre hätte ich euch gar nicht angeschrieben.

  • Hmm


    @Scy bekommst du solche Portscans nur von dem Server hier oder auch von anderen ???


    Eine andere frage die sich mir noch stellt ist was ist denn wenn die angriffe von ganz wo anders her kommen und unser server nur der letzte in der reihe ist über den die Angriffe, Scans erfolgen !?:confused:

    MKG
    SteelClaw


    Alpha


    "Der Unterschied zwischen einem Grabstein und einem Orden ist manchmal einfach nur Pech"

  • Hi,


    und jetzt??? ich habe die Scheiss Dinger gefunden. Lagen versteckt im Papierkorb....:mad::mad::mad::mad::mad::mad::mad::mad: :);):D und gelöscht. Ich finde die Dienste pmfind.exe und titten.exe auch nicht mehr.


    Gruß

  • @Ronin: Das kommt,


    Jeder der Admins erhält ein eigenen User mit eigenen Passwort. Man meldet sich dann normal über VNC an. Als erstes sieht man dann aber die normale Anmeldemaske von Windows. Dort ganz normal mit dem Passwort anmelden und die SIM über den Desktop starten. Nach dem Ende der Session wird sich dann wie daheim !! abgemeldet !! = Nicht über das kleine Kreuz oben rechts sondern durch normales abmelden des Useres.


    Das hat den Vorteil, dass nicht die ganze Zeit und rund um die Uhr eine VNC Session geöffnet ist und jeder seinen eigenen User hat. Ist besser für das Nachvollziehen wer was getan hat. Zudem wird jeder der "Admins" nur normale Userrechte haben.


    Das heißt, Ihr kommt zwar auf den Server drauf, könnt dort die SIM starten und beenden, könnt aber nichts installieren oder Servereinstellungen verändern.


    Die User werden dann Ihr Passwort regelmäßig ändern müssen. Das richtige Adminkonto wird vorerst nur mir und ein, zwei anderen zugänglich sein.


    Wenn ich mit den Vorbereitungen fertig bin melde ich mich.


    Gruß


  • Jeder der Admins erhält ein eigenen User mit eigenen Passwort.


    Das heißt dann doch auch das jeder einen Ordner "Eigene Dateien" hat wo die Szenarien zu finden sind.
    Wenn also UserA ein Szenario hochlädt kann UserB nicht darauf zugreifen, richtig!?

    Ich bin verantwortlich für das was ich sage, nicht für das, was du verstehst
    --------------------------------------------