hacking

[lorenz]

Mi hanno coglionato alla grande!

Ho un server w2k in rete che credevo di aver difeso egregiamente... e invece... senza che me ne accorgessi sono diventato un deposito warez... oltre 3 giga di roba...

Il server e` in housing presso un ISP, nel registro eventi di sistema non c'e` traccia di intrusione idem per quanto riguarda gli accessi web che registro in odbc.

Arrivo al punto, ho scoperto di essere estremamente ignorante e vulnerabile e vorrei qualche dritta su come difendermi o per lo meno accorgermi di essere stato "hackerato".

Un grazie anticipato a quanti vorranno aiutarmi

[BianConiglio]

Hauhauau

Il SO lo sappiamo ma....hai fatto tutti gli upgrade e installato i vari servicespack ? hai una lan con condivisioni ? hai un firewall ? porte aperte ? a vederla cosi a me sembra una condivisione esterna.... o un ftp bacato.....

[GAD]

Mi dai il sito che scarico anche io....
Fai come dice Bianconiglio, parti con un bell'upgrade di tutti i componenti e installa tutte le patch per correggere i bug (se hai IIS non patchato riesce ad entrarci anche la mia nonnina).
Poi controlla che non ci siano utenti indesiderati o con troppi poteri e installa un bel firewall

[Nippur_ge]

Sui server 2000 ci sono i security templates da applicare, putroppo il sistema sembra sempre così "facile" che la gente lo installa senza nessuna configurazione possibile.

Per rendere sicuro un server Web 2k esistono decine di strumenti gratuiti ed efficacissimi.
Esiste anche un template (Hisecweb.inf) che configura automaticamente una serie enorme di parametri forzando le impostazioni "saggie".

Cmq se vai al link:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/chklist/iis5chk.asp

Ci sono tutte le indicazioni possibili.

[Nippur_ge]

Ehm a parte che ho letto il post sopra ed ho notato un'italiano spaventoso... (faccio troppe cose contemporaneamente e mi infastidisco sempre quando vedo banalizzati dei concetti)

Aprendo il technet ho trovato anche uno strumento utilissimo per chiunque abbia un IIS 4.0 (o superiore) installato.

Si chiama URLSCAN ed è uscita or ora la versione 2.5, davvero interessante.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/URLscan.asp

Enjoy

[lorenz]

Bhe` veramente... ho preso un nuovo server e sostituito il vecchio

ora il vecchio ce l'ho tra le mani... e mi piacerebbe sapere come sono stato gabbato... effettivamente non erano state applicate le ultimissime patch quelle che finiscono per "SP4". Ma... ne escono un giorno si ed un giorno no... c'e` un modo per installare le patch in remoto senza dover andare ogni volta all'ISP?

(il nuovo server: w2k sp3 con iis5 + patch, exchange 5.5 sp4 + patch e sql7 sp4 + patch ed infine tutto cio` che Microsoft Baseline Security Analyzer mi segnalava... mi salvero`???)

Sto trovando un sacco di info sull'haking... ammetto, che sta gente ha davvero delle belle teste... certo che se la usassero per risolverli i problemi invece che per crearli... il mondo sarebbe un po' migliore, no?

saluto e ringrazio gia` da ora

Lorenz

[Nippur_ge]

c'e` un modo per installare le patch in remoto senza dover andare ogni volta all'ISP?

Beh si, ci sono i Terminal Services che ti permettono di amministrare tranquillamente un server da remoto.

(il nuovo server: w2k sp3 con iis5 + patch, exchange 5.5 sp4 + patch e sql7 sp4 + patch ed infine tutto cio` che Microsoft Baseline Security Analyzer mi segnalava... mi salvero`???)

Non necessariamente. Se hai delle password "weak", se non rinomini l'utente administrator, se hai comunque delle permission a livello di file system scorrette sei comunque a rischio.
Applica il template di sicurezza HISECWEB.INF dal link che ti ho passato e la configurazione migliora parecchio.
Esistono una serie di strumenti per fare l'hardening di un server 2k, gratuiti, leggi bene il link.[/quote]

Sto trovando un sacco di info sull'haking... ammetto, che sta gente ha davvero delle belle teste... certo che se la usassero per risolverli i problemi invece che per crearli... il mondo sarebbe un po' migliore, no?

Ah, e invece i consulenti sono tutti fantasmi? o teste vuote?
Mi sembra un po "che mondo sarebbe senza nutella"....

Un Hacker per definizione è uno che vuole "scoprire" come funzionano le cose. Mica tutti vanno in giro a sfruttare gli altrui server come deposito.

[Frengo78]

Molti hacker sono fra i principali consulenti in materia di sicurezza delle società che producono software. Chi credete che segnali ad esempio a microsoft i bachetti dei loro sistemi operativi? Credete che chi scopre questi bachi lucri nello sfruttarli o nel segnalarli alla casa madre?
Alcune società di sicurezza appartengono a questi signori.

[kadosh]

Veramente...i punti di attacco sono i migliori punti di difesa perorabili alla fin fine.
Cmq...in un web server con iis non c'è cosa migliore di un lockdown tool, lo trovi nel resource kit o qui:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/locktool.asp.
Ho scritto anche un tutorial a riguardo e se lo ritrovo vedo di postarlo o altro...sento il wm.

[lorenz]

Inizio col ringraziare tutti, probabilmente il server sostitutivo (allestito al volo) non e` sicuro: ho installato la prima versione di urlscan, non ho rinominato l'administrator, invece di utilizzare iislockdowntool ho disattivato/disinstallato i servizi non usati manualmente ed anche le policy le ho configurate a mano (al piu` presto confrontero` il mio template con quello del link credo mm... "spero" non si discosti di molto). Ma il server originale che sto reinstallando sara` (grazie anche al vostro aiuto) un po' meglio.

Il mio primo errore e` stato il sentirmi a posto e sicuro. Questo e` il grande insegnamento che Chong e Crew (cosi` si son firmati i due hacker) mi hanno dato.

Sono nell'informatica dall'88, ma da appena un paio d'anni mi hanno imposto la figura di sysadmin e da quando ricopro il ruolo non faccio che studiare... davvero! Studiavo molto meno a scuola!!! Approposito, meglio che vada a informarmi sui terminal services.

Ho molta stima e rispetto per la figura positiva dell'hacker... un po' meno per quanti usano le loro notevoli capacita` per danneggiare e saccheggiare i sistemi informatici ed era a quest'ultimi che mi riferivo sul mio precedente commento. Per quanto riguarda i consulenti informatici... lo dico con il cuore mi piacerebbe un sacco averne a disposizione uno, mi risparmierebbe un sacco di nottate. Purtroppo non sono io che comando, e quando si parla di aprire il portafogli qui nessuno ci sente (basta pensare che hanno messo me come sys admin e vi garantisco che ho ripetuto 1000 volte la mia incompetenza in materia).

Vabbe` scusate lo sfogo. Azz ho scritto un poema!

[numberinn]

[quote="lorenz"]... un po' meno per quanti usano le loro notevoli capacita` per danneggiare e saccheggiare i sistemi informatici ed era a quest'ultimi che mi riferivo sul mio precedente commento.quote]

Quelli si chiamano LAMER e, in genere, sono solo ed esclusivamente in grado di usare exploit etc etc "preconfezionati"...

[Nicola]

ma avevi installato FTP o qualcos'altro? consiglio anche io di patchare IIS sennò si prende il controllo del PC in un attimo..

E poi ogni tanto fai un controllo con un portscan per vedere le porte aperte

[BianConiglio]

dehehi Chong e Crew vuol dire Chong e la sua banda......dehehi li conosco gli ftp di chong è un cinesino
ti avrà fatto uno scan e zappata......si è infilato nelle falle non tappate

[Nicola]

Un Hacker per definizione è uno che vuole "scoprire" come funzionano le cose. Mica tutti vanno in giro a sfruttare gli altrui server come deposito.

questo concordo: chi "sfrutta" il server altrui è un LAMER

[Nippur_ge]

consiglio anche io di patchare IIS sennò si prende il controllo del PC in un attimo..

Su questo non sono d'accordo.
Certo che se non rinomini Administrator, metti password "password" o Blank, e lasci il template di sicurezza a COMPAT.INF allora è più "agevole".
Una volta, dopo una discussione del genere, ho messo su un server con un setup alla Homer e via, lo ho lasciato "ready to Hack"...
E' rimasto intonso

[Nicola]

entrare proprio nel pc no però accedere al filesystem forse sì