rehacked -hilfe!

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von martin05, 12. August 2005 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 12. August 2005
    hi,

    ich hoffe mir kann jemand helfen und zwar wurde ein stro eines bekannten rehacked.
    das file was mit fport erstellt wurde gibt folgendes aus:
    Code:
    Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
Idle 0 0 2 0 16 0:00:00.000 43:07:47.906 0:00:00.000
System 4 8 83 13569 220 0:00:00.000 0:01:47.640 0:00:00.000
smss 672 11 3 18 448 0:00:00.015 0:00:00.046 44:25:47.296
csrss 776 13 14 1200 7336 0:00:04.234 0:00:06.125 44:25:44.015
winlogon 816 13 21 625 11032 0:00:04.406 0:00:07.531 44:25:43.125
services 860 9 18 443 12320 0:00:13.078 0:00:14.828 44:25:42.921
lsass 896 9 56 1076 39356 0:04:48.984 0:01:15.640 44:25:42.843
svchost 1104 8 6 83 4100 0:00:00.031 0:00:00.031 44:25:41.718
svchost 1496 8 10 279 4836 0:00:01.812 0:00:04.234 44:25:25.000
svchost 1572 8 10 148 8184 0:00:01.250 0:00:00.671 44:25:24.890
svchost 1628 8 14 163 5552 0:00:00.765 0:00:00.937 44:25:24.859
svchost 1640 8 49 1038 23892 0:00:45.250 0:00:48.265 44:25:24.843
brsvc01a 1268 8 3 29 3076 0:00:00.000 0:00:00.000 44:24:37.140
brss01a 1296 8 1 27 3488 0:00:00.046 0:00:00.015 44:24:37.125
LEXBCES 1304 8 9 144 5136 0:00:00.000 0:00:00.062 44:24:37.125
spoolsv 1360 8 30 304 14552 0:00:03.625 0:00:07.515 44:24:37.109
LEXPPS 1388 8 10 88 4748 0:00:00.000 0:00:00.015 44:24:37.031
SpntSvc 1444 8 19 121 5844 0:00:06.453 0:16:38.015 44:24:37.000
StWatchDog 2028 8 3 46 1900 0:00:00.000 0:00:00.000 44:24:28.843
StOPP 560 8 4 42 2376 0:00:00.015 0:00:00.000 44:24:23.828
msdtc 592 8 23 175 5880 0:00:00.281 0:00:00.078 44:24:23.671
appmgr 732 8 4 108 5488 0:00:00.015 0:00:00.062 44:24:22.375
aspnet_stat 736 8 4 55 3572 0:00:00.015 0:00:00.062 44:24:22.359
cisvc 944 8 22 413 2320 0:01:32.531 0:00:38.953 44:24:22.296
dfssvc 1160 8 12 135 8228 0:00:00.656 0:00:00.531 44:24:22.250
dns 1180 8 14 187 5828 0:00:04.515 0:00:01.734 44:24:22.218
EarthAgent 1256 8 18 140 7216 0:04:03.640 0:12:26.296 44:24:22.156
elementmgr 1836 8 3 90 7004 0:00:00.062 0:00:00.046 44:24:21.375
svchost 1864 8 2 56 3824 0:00:01.390 0:00:01.312 44:24:21.375
inetinfo 1972 8 27 615 16632 0:00:01.046 0:00:00.593 44:24:21.328
ismserv 2056 8 11 287 7552 0:00:00.062 0:00:00.109 44:24:21.312
LogWatNT 2080 8 2 24 1632 0:00:00.000 0:00:00.000 44:24:21.312
mdm 2100 8 5 69 2920 0:00:00.031 0:00:00.015 44:24:21.296
MSIntskmngr 2140 8 7 66 9308 0:00:00.109 0:00:00.031 44:24:21.250
sqlservr 2292 8 41 407 74236 0:01:52.812 0:04:34.062 44:24:20.484
ntfrs 2308 8 21 313 1792 0:00:03.000 0:00:03.859 44:24:20.406
ofcservice 2400 8 21 280 12860 0:00:21.218 0:00:05.453 44:24:19.953
svchost 3048 8 2 56 3344 0:00:00.000 0:00:00.046 44:24:04.062
explorer 3064 8 57 290 9080 0:00:00.078 0:00:00.328 44:24:03.937
saldm 3120 8 4 251 12992 0:00:00.687 0:00:00.234 44:24:03.359
srvcsurg 3196 8 3 89 6248 0:00:00.015 0:00:00.031 44:24:02.859
svchost 3240 8 15 218 6784 0:00:00.015 0:00:00.046 44:24:02.828
lserver 3252 8 15 211 15892 0:00:00.890 0:00:00.921 44:24:02.796
mssearch 3468 8 7 158 1164 0:00:00.015 0:00:00.046 44:24:02.328
svchost 3612 8 15 169 8776 0:00:00.140 0:00:00.062 44:24:02.125
svchost 2364 8 23 204 9484 0:00:00.156 0:00:00.109 44:23:45.015
wmiprvse 2748 8 8 324 15168 0:01:21.531 0:00:31.562 44:23:44.656
explorer 3924 8 8 303 18268 0:00:14.375 0:01:11.000 44:22:55.953
nwtray 2916 8 4 43 5400 0:00:00.031 0:00:00.015 44:22:48.859
LXSUPMON 1172 8 3 39 5616 0:00:02.265 0:00:00.453 44:22:48.781
fpassist 3132 8 1 25 1916 0:00:00.093 0:00:00.156 44:22:48.703
pptd40nt 4120 8 2 15 1480 0:00:00.000 0:00:00.000 44:22:48.468
jusched 4160 8 1 24 3652 0:00:00.000 0:00:00.015 44:22:48.125
ConAktiv Se 4264 8 1 102 140548 17:54:07.203 25:50:27.609 44:22:46.187
sqlmangr 4268 8 2 66 4336 0:00:04.343 0:00:11.937 44:22:46.140
tsdc 4280 8 1 29 2344 0:00:00.046 0:00:00.000 44:22:45.828
cidaemon 1960 4 4 156 2012 0:15:59.359 0:03:06.593 44:17:13.468
cidaemon 1120 4 2 90 9188 0:01:00.484 0:00:03.734 44:17:10.828
cidaemon 4320 4 4 121 5176 0:00:07.984 0:00:01.062 44:16:58.250
cmd 4684 8 1 23 1560 0:00:00.000 0:00:00.015 38:07:49.468
NAVAPSVC16. 4400 8 245 1257 7012 0:00:21.937 0:01:19.093 38:07:49.406
logon.scr 4740 4 1 16 1632 0:00:00.000 0:00:00.000 19:07:16.875
cmd 7808 8 1 23 2596 0:00:01.421 0:00:06.265 0:00:45.156
HIDDEN32 7264 8 1 15 1656 0:00:00.000 0:00:00.015 0:00:30.000
cmd 4804 8 1 24 1612 0:00:00.000 0:00:00.031 0:00:16.171
wmiprvse 7680 8 9 137 5408 0:00:00.171 0:00:00.046 0:00:14.000
pslist 6060 13 1 100 2016 0:00:00.000 0:00:00.031 0:00:00.062
    wer weiss, welches davon die serv-u dateien des rehackers sind? ?(
     
  3. 12. August 2005
    Das is nen log von pslist und nich von fport...

    Sag deinem Kollegen mal dass er mit fport ne Liste machen soll, weil da der Pfad mit angezeigt wird. Das is son Gewirr, da isses schwer was zu finden.

    Was mir jetzt mal so direkt ins Auge springt ist "HIDDEN32", frag dein Kollegen mal ob er das gerade nutzt. Das ist zwar kein Server, aber über den Pfad könnte man vielleicht an den rankommen.

    Des weiteren soll dein Kollege mal mit dem Befehl "netstart" ne Liste der Services anfordern und sie hier posten.
     
  4. 12. August 2005
    dieser "rehacker" könnte ja der admin sein, den so wie ich dich einschätz liegt deine servuadeamon.exe in system32 is nich hided und der service heist serv-u... aber des nur mal so btw...

    und wer keine backdoor installed is selba schuld


    edit : bzw MSIntskmngr 2140 8 7 66 9308 0:00:00.109 0:00:00.031 44:24:21.250 <-- servu
    tsdc 4280 8 1 29 2344 0:00:00.046 0:00:00.000 44:22:45.828 <-- backdoor
    HIDDEN32 7264 8 1 15 1656 0:00:00.000 0:00:00.015 0:00:30.000 <-- is wohl klar ne scannt einer o.ä.



    wenn de noch ne shell hast (sqlexec) gib ma her dann hol ichs dir zurück und secure mal richtig


    des weiteren
    <-- it es heist "net start"
     
  5. 12. August 2005
    sicher das da serv-u dateien daruf sind ? sieht mehr so aus als würde der zum scannen benutzt... kann mich aber auch irren. sind auch nich viele services die neu gestartet wurden.
    nach der log wurde HIDDEN32 30 mins gestartet bevor die pslist gemacht wurde.
     
  6. 12. August 2005
    lol ? msinst bla is 100pro ne servu auserdem welche honk macht sich nen scanny ohne servu ? hm ? du ?
     
  7. 12. August 2005
    Erstmal danke für alle Antworten. :]
    Mein Bekannter nutzt ne gemoddete Serv-u also da sieht man nichts mehr, dass es Serv-U ist.
    Sein Prozess also die Zeile wurde auch hier weggelassen, da man diese ja ausschließen kann. 8)

    Die Hidden32, ja, er scannt grad was, das ist also sein Prozess. :]

    @moep_rush
    Biste dir da sicher? Dann könnte er das ja killen. 8)

    Definitiv nein, da die Ordner des Rehackers und sein Stuff gefunden wurden.

    Wurde leider schon secured (SQL_Error).

    Auch hier biste dir sicher?

    @firefighter
    Code:
    Sag deinem Kollegen mal dass er mit fport ne Liste machen soll, weil da der Pfad mit angezeigt wird. Das is son Gewirr, da isses schwer was zu finden.
    Hmm, hat er versucht, aber das legt keine txt an. :O
    [Edit: ] You must have administrator privileges to run fport - exiting...[Edit-Ende]

    Code:
    Des weiteren soll dein Kollege mal mit dem Befehl "netstart" ne Liste der Services anfordern und sie hier posten.
    Wie bekommt man die in eine txt? ?(

    Edit:
    Mein Bekannter hat ja auch ne Backdoor eingerichtet.... sieht man eigentlich oben welcher Port für Serv-U und für die Backdoor verwendet wird?
     
  8. 13. August 2005
    1.) vlt wars alter stuff nach datum gucken

    2.) auch mit sql error kann ich dir den hacken shick axx per PM

    3.) mit den prozessen bin ich sicher..msintaskmgr is ne alt bekannte public modded servu....

    4.)fport.exe >> ports.log
    type ports.log dann stehts da

    5 net start >> serv.log
    type serv.log


    mfg moep
     
  9. 13. August 2005
    Musst ja nich gleich rumheulen wenn mal jemand nen Leerzeichen vergisst...Oberhacker.
     
  10. 13. August 2005
    zu 1: War nix alt, die Ordner waren erst n paar Tage alt.

    zu 2: Hast du SqlBrower und könntest es mir geben? *selber probieren will* :]

    zu 3: gut, dann muss ich schaun, wie man die per RAW-Comand killen kann, außer ich kann wieder ne Shell per SqlBrower machen. 8)

    zu 4: Leider sagt fport folgendes:
    deshalb nach deiner Methode nicht probiert (kann ich aber machen)

    zu 5: werd ich probieren. :]

    Hoffe 4 und 5 geht auch per RAW-Command? ?(

    Nochmals Danke für die Hilfe. :]
     
  11. 13. August 2005
    Download SqlBrowser
     
  12. 13. August 2005
    Was will ich denn damit?!
    Ich glaub du kennst den Unterschied zw. SqlBrower und SqlBrowser nicht!
    Solltest mal die Suchfunktion nutzen! :O
     
  13. 14. August 2005
    Um mal wieder auf das Problem hier zurück zu kommen.......

    Warum kann ich per SQLExec auf nen Server connecten, aber SQLBrower (ohne "s") kann nicht connecten? ;(
    Da ja SQL_Error, bringt mir also SQLExec in diesem Fall nix. :O
     
  14. 14. August 2005
    MSIntskmngr wir der shit immernoch benutzt...grr...

    hat dein freund nen backdoor druff?

    melde dich mal per pn...
     
  15. 14. August 2005
    Du hast PN!

    @all
    Bitte weiterhin um Hilfe. :]
     
  16. 16. August 2005
    Ich brauch noch Hilfe, es ist noch nicht überstanden! :O
     
  17. 29. August 2005
    Also kann hier definitv keiner weiterhelfen?
     
  18. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.