To be or not to be hacked ?

Question

Bonjour,
J'ai eu à auculter un serveur Windows 2000 avec trois drôles d'arborescence de plus d'une douzaine de sous-répertoires essentiellmeent vides mais avec des noms bizarres qui une fois déployés en échelon avec Windows explorer permettende de former des phrases :

"Tagges in use by KpA Snowie_4_Pro_Edition_iMMERSiON"
"74857421 FINAL_DIRECTORY com1 .scanned by Space_Monkey filled by com2 NP NUL HERE "
"Scanned by martijn2002 upload fro CE_Muza by chadanne Praetorians"

J'ai bien trouvé snowie_4_pro sur http://www.gammonvillage.com:8823/backgammon/community/play_bg.cfm , le Space_monkey sur http://www.geocities.com/gogamon2000/main.html et le chdanne sur http://3004.pokemonger.com/search.php?s=cd0b93d9d27b2dac3e1377d0e15a094c&action=showresults&searchid=397064

Il y a un mois le même PC montrait des répertoires récusifs à l'infini avec un disque qui se remplissait jusqu'à la saturation sans aucun virus répertorié et aussi des messages sur la console de gens extérieurs. La liaison Internet se fait par un petit routeur NAT sur le réseau Ethernet sur lequel on voyait un traffic important à la grande époque du SQL slammer.

Allo, c'est qui au bout du fil ? Et c'est pourquoi ? Et comment vous avez eu mon numéro ?
Allo, la boucherie sans OS ? Pouvez-vous me les dépecer, les décapiter, les saler, les Hacher menu, les ébouillanter pour aseptiser tout cela ???
Toute recette sera la bienvenue !
:,§_ ç _
(@)=(@)

Afficher la suite

WhiteFang · Answer

;-))Un virus VBA !!;-)))Wild and Free

M&M · Answer

Le norton antivirus n'a rien détecté.  Si c'était un virus VBA classique, il aurait bien déclenché, non ?Les répertoires créés ne sont pas effaçables depuis n'explorateur, ni même en mode snas échec ..Est-ce que quelqu'un a une idée ? :,§_ ç _(@)=(@)

M&M · Answer

Bon, alors, je vous raconte comment ça marche ?J'ai essayé McAfee, Norton antivirus, F-secure, F-prot : personne n'a vu de virus là dedans.Le serveur dispose de deux disques durs SCSI de 18 GB partitionnés en deux chacun mais en mode dynamique, et chaque partition est miroité dna sla partition identique d el'autre disque.  il n'y a donc qu'une partion C: avec les système WinNT 2000 serveur  et une partition D/ avec les bases de données.  UN seul répertoire a été affublé de ces taggs, des fichiers de taille nulle, et des répertoires dont le nom est composé d'un seul caractère espace (ou alors un caractère illisible...)Ici même on a rarement parlé de  volumes dynamiques (sinon le mois dernier sur http://www.commentcamarche.com/forum/affich.php3?cat=2&ID=219043&page=1  et http://www.commentcamarche.com/forum/affich.php3?cat=2&ID=213273&page=2 ) Donc aussi loin que je remonte, personne ici n'en a jamais évoqué clairement l'existance, et pour cause:Il existe chez Microsoft les disques de base et des disques dynamiques .  Ce distinguo est énoncé sur http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B308209 .La notion de Disque Dynamique est apparue avec  Windows 2000 Serveur et se retrouve dans Windows XP Professionnel.  Ce mode est étroitement lié à la fonction RAID-1 (mirroring) et RAID-5 assurant la tolérance aux pannes.Sur un tel disque on pourra donc créer des volumes dynamiques  qui se déclinent en 5 types :  Simple, Spanned, Striped, Mirrored et Raid-5,  (voir  http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/dm_dynamic_overview.asp  )Microsoft recommande chaudement l'utilisation de cette nouvelle technologie permettant de créer des volumes à la taille infinie ou un nombre incroyable de 2000 volumes sur une kyrielle de disques (c'est plus joli qu'une chiée de disques...) :,§_ ç _(@)=(@)

M&M · Answer

Mais ce qui est gênant c'est qu'une fois que les disques sont dynamiques et mirorrés, ils ne peuvent plus être sauvés en bloc par les outils classiques que sont Ghost et Drive Image. Sour Powerquest Drive image, un disque extrait du serveur après avoir arrêté la fonction de mirroring apparaîtra en temps que file système Other au lieu de NTFS, FAT32 ou LINUX et il sera monobloc, soit 18GB au lieu de mes deux partitions de 8 et de 10GB.Comment faire alors un backup sous Windows 2000 ou Windows XP, me direz-vous ? C'est simple: Microsoft a prévu dans la rubrique démarrer accessoire, outils système un outil de gestion des sauvegardes permettant de faire un clicué d'une partition sur un autre disque en procédant à la compression mais sans offrir la possibilité de la découper en rondelles de 650MB utilisé classiquement pour archiver cela sur des CD-R. L'extension du fichier de sauvegarde est *.bkfMicrosoft a prévu une liste de fichiers qui ne seront pas repris, (tels que les zones temporaires, les caches d'internet explorer, les fichiers de pagefile.sys ...il est donc bon dans un gros serveur de prévoir un disque dur excédentaire pour y déposer les backups en vue de leur écriture sur un dérouleur de bande ou l'envoi à travers le réseau des images ainsi créés.Le type de sauvegarde peut être total ou incrémentiel, différentiel ou journalier. Il nécessite le service de stockage étendu. (Ne m'en demandez pas plus). :,§_ ç _(@)=(@)

M&M · Answer

Bizarrement, lors de l'installation d'un CDrom e F-Secure, j'ai eu un plantage avec un programme FS-BackWeb à nettoyer.Adaware 6 m'a retrouvé  un IAdHide3.dll version 6.0.1.187 de BakWeb tehnologies qu'Ad-Aware considère comme un "Data Miner" (et rien que cela, à comparer à Spybot... ci-dessous: )Spybot le voit comme "BackWeb Lite" et cite Western Digital  Data Lifeline ainsi que HP et Compaq comme source de ces Adware et spyware ! Spybot a en plus découvert 32 clés de registres et un répertoire C:\program Files\Backweb installé ce jour à l'heure précise où j'ai installé  F-secure sur mon serveur Compaq Proliant ML330 G2. :,§_ ç _(@)=(@)

M&M · Answer

La tention est grande sous spybot de tout cocher et d'effacer toutes les traces.  Ceci n'est par nécessaire et vous en serie le premier à en souffrir.  Il ne faut pas tomber dans la paranoïa.Exemple: si vous effacez l'historique des sites visités, ne vous plaignez pas de ne plus retrouver un truc génial dans l'historique d'internet explorer. Si vous aimez gagner du temps en retrouvant  le nom des 9 derniers fichiers ouverts avec Word, idem ne gommez par tout ce qui concerne Office 9.Et si vous effacez les Logs comme ils le proposent vous perdez la possibilité de trouver dans ces logs, sous c:\winNT la liste des upgrades que vous avez fait récemment et la raison d'un échec lors de ces installations par exemple .  :,§_ ç _(@)=(@)

M&M · Answer

(juste ci-dessus, vous deviez lire la tentation, et non le tention ...)

M&M · Answer

Après avoir déc-placé mes disques sur un autre PC tournant Windows XP professionel, grâce à une autre carte Ultra SCSI-3, j'aidécouverts d'autres utilitaires de gestion des disques et la finesse épaisse des disques dynamiques.il y a sous windows XP pro un outil de ligne de commande c:\winnt\system32\Diskpart.exe v 1.0.3.1 qu'on peut tel quel copier et installer sur le Windows 2000 serveur pour y voir un peu plus clair.Les disques sont répertoriés et numérotés. les volumes sont numérotés de 1 à 8 et s'ils sont absents au moment de l'observation, ils sont pourtant toujours en mémoire prêts à être à nouveau replacés raid-1.  une fois qu'on a lancé Diskpart, on tombe dans une fenêtre de commande qui vous fera le plaisir de donne rune aide succinte sur les commandes disponibles quand vou taperez HELP. les commandes utiles sont List Disk, Select disk, clean, rescan, break,  extend, convert, exit...On peut donc créer des scripts, ou taper à la main ce qu'on veut, un peu à la manière d'un telnet ou un kermit, sous unix; les vieux de la vielle se sentiront rassurés. A mourir de rire !!! Une possibilité (absente si j'ai bien vu sous Windows 2000 serveur) que ce passage par Windows XP Pro apporte, c'est de reconvertir un disque dynamique en disque de base, sans le miroir.  :,§_ ç _(@)=(@)

M&M · Answer

Bon les p'tits gars, je sens que vous en n'avez rien à cirer, ou alors que vous pioncez déjà, tant pis, tôt ou tard, vous viendrez relire ceci car vous allez tomber de très haut dans la merde de Microsoft Pro (genre unexpected_kernel_trap_mode) et regretterez la simplicité et la robustesse de Novell Netware et supportez le coeur léger le chemin ardu par où vous mênera linux. Enfin, visez tout de même ce que le spécialiste de Microsoft (qui facture1600 euro par jour) m'a conseillé, c'est sur http://www.commentcamarche.com/forum/affich.php3?cat=1&ID=229449&page=1 :,§_ ç _(@)=(@)

sebsauvage · Answer

Ouf !Joli travail, M&M. Merci.

metathesus · Answer

Coucou!Si, si on est fidèle au poste et on lit tout avec intérêt!Je comprends pas tout et d'ailleurs si je suis ici, c'est pour apporter de l'aide, mais aussi pour me cultiver!Merci prof pour cette leçon!@pluch! ;)

M&M · Answer

Quand on est devant une windows 2000 serveur, il ne faut pas avoir peur d'appeler l'aide par exemple de la "Microsoft management console".  Les fichirs d'aide sous win2000 serveur est particulièrement plus fpournie et plus pertinent que sous windows 98.Pour ceux qui aimen les bouquins bien brochés, c'est rapé, l'infor se trouve en ligne avec des hyperliens.  Il faut une autre forme d'intelligence pour saisir tout cela. La prochaine génération arvendra à s'y faire, les anciens ont une mémoire visuelle: j'i déjà vu ça quelque part, c'était à la page 44 en bas à droite avec un dessin à la page de gauche ... Pas de chance, avec ces milliers de pages en ligne, on n'a pas de points de repêres: impossible de retenir par où on était passé pour retrouver rapidement deux fois la même info, il ne reste plus qu'à mémoriser ce qui y est dit avant de refermer la fenêtre.  On se met alors quelques bookmarks, qui saturent tout aussi vite que notre petit cerveau.  c'est un métier pour les jeunes !Le choc des générations ! :,§_ ç _(@)=(@)

Yo · Answer

Je crois pas ke ce soit un virus ton truc ....C tout simplement une team de hacker ki ont choisi de squatter ton server pour s'echanger des fichiers ( films, jeux, etc ...... ).un stros koi :)a++

M&M · Answer

Yo, cela m'intéresse ce que tu dis. Est-ce possible  à tavers le routeur translateur d'adresse (NAT) qui donne la connexion Internet via le câble de télédistribution ?Et quels ports faut-il fermer pour qu'ils ne puissent plus passer, à ton avis ? J'ai regardé, il y avait plein de services arrêtés (telnet ras...) :,§_ ç _(@)=(@)

M&M · Answer

Mes observations: Si je reformate les deux parties du disquer dynamique puis y régénère les deux sauvegardes que j'ai fait sous Windows XP pro, les fichiers pourris et ineffaçables sont régénérés et ont encore des attributs qui empêche leur effacement depuis l'explorateur Windows XP. Je suis parvenu à les effacer grâce à la commande RD /S du répertoire immédiatement supérieur. Mais de retour sous Windows 2000 serveur, les volumes régénérés sont déclarés " endommagé" dans l'utilitaire DISKPART sous la console de Récupération de Windows 2000. J'ai donc effacé ce second disque et redémarré le serveur en vue de repartir à blanc avec ce disque et là, au boot, rebouf: Unexpected_kernel_trap_error On cherche... En attendant, voici des liens parlant spcéfiquement ce de hacking dont je m'occupe: http://www.techrepublic.com/forumqa/thread_detail.jhtml?thread_id=120762 et http://support.microsoft.com/?kbid=120716 Je n'avais donc pas rêvé ! C'est connu chez Microsoft depuis NT 3.1 ! ils proposent d'utiliser les commandes Posix: suivant la syntaxe Windows 2000 and later POSIX commands must use the following usage syntax: posix /c [] IE: posix /c c:\rm.exe -d AUX. C'est à dire ici : rm -d "//C/Program Files/Subdir/COM1" pour un fichier rm -r "//C/Program Files/BadFolder" pour un répertoire La raison évoquée de ces fichiers ineffaçables, c'est qu'ils utilisent des noms réservés tels que com1 et lpt1 ... :,§_ ç _ (@)=(@)

M&M · Answer

POur effacer des trucs pourris, je trouve encore des conseils sur http://www.techrepublic.com/forumqa/thread_detail.jhtml?thread_id=120805 : rechercher le nom court avec dir /X C'est une nouvelle option de la commande Dir ! Ensuite changer les privillèges avec l'outil subinacl du Windows 2000 Resource Kit tool : subinacl.exe /file \ /setowner=administrateur /grant=administrateur=f Autre lien l'outil CIA Commander sur : http://www.datapol.de/en/index.htm :,§_ ç _ (@)=(@)

M&M · Answer

Autre découverte: pour les disques déclarés endommagés :il faut lire http://support.microsoft.com/default.aspx?scid=kb;en-us;Q236086 qui parle d'un outil Diskprobe qui permet de sauver sur disquette le boot sector des disques (disponible sur http://www.tburke.net/info/suptools/topics/diskprobe.htm là où on dit qu'il n'est pas recommandé pur les disquets dynamiques)  Boot sector qu'on pourra régénérer avec un outil Disksave.exe de Microsoft Windows NT Resource Kit.Et en cascade on y parle de Dmdiag un tool de Microsoft disponible sur http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dmdiag-o.asp et décrit sur http://www.tburke.net/info/reskittools/topics/dmdiag.htm pour réparer les disques dynamiques. Puis un lien http://www.windows2000faq.com/Articles/Index.cfm?ArticleID=25375 concernant le déseffacement de volumes sur disques dynamiques. Il pointe sur http://support.microsoft.com/default.aspx?scid=kb;en-us;q153973&id=kb;en-us;q153973 qui parle de l'outil Disk Probe ou dskprobe Donc, des bouts et ficelles, des trucs pointus abracadabrants !A vous foutre la trouille de jamais faire la profession de system engineer.  Pourquoi ne pas plutôt ouvrir une baraque à frites (fritkot) ? :,§_ ç _(@)=(@)

M&M · Answer

j'ai trouvé dskprobe v 1.0.0.200  (13 jan 1997) 125kB sur un CD de NT4 resource kit et dskprobe V 5.0.2128.1 (18 nov 99) 96KB sur tous les CD Win2000 dans le fichier e:\Support	ools\support.cab :,§_ ç _(@)=(@)

M&M · Answer

Excusez le rebouclage ci-dessus, c'était un peu décousu.Je trouve enfin l'outil parfait : Partition Manager 5.5 sur http://www.partition-manager.com/n_pm_requir.htm ($ 40). La version démo en ligne tourne sous windows et offre: create, format, delete, hide/unhide, mount/unmount, view sectors (read/write access to any sector). :,§_ ç _(@)=(@)

WhiteFang · Answer

;-))Bravo !! Quel boulot !!Je vais enregistrer la page, pour la garder sous la main !!J'ai tout lu, moi aussiDésolé de m'être apparemment gourré sur le Virus VBA, ça y ressemblait...;-))Wild and Free

ipl · Answer

Bonjour M&M, WhiteFang, bonjour à tous,

J'avais raté ce fil de discussion... heu, ce cours de M&M !

Je n'ai pas encore tout lu, et encore moins tout suivi mais ceci va être sauvegardé vite fait pour être étudié, décortiqué, empaqueté, etc.

Merci M&M... tes écrits sont précieux !

@12C4
Ipl

To be or not to be hacked ?

21 réponses

Votre réponse

Discussions similaires

Newsletters