Server absichern

[paede]

... was mich interessieren würde wäre wie sicher mein server eigentlich ist ....

also wer will kann ja mal versuchen was da zu machen ist ... aber bitte keine bösartige Änderungen vornehmen. Wäre schön wenn der "hacker" mir per PM mitteilen würde was möglich ist und vielleicht sogar änderungsvorschläge geben würde.

http://schaerer.no-ip.com/cgi-bin/
oder http://schaerer.no-ip.com

viel spass beim spielen
gruss paede

edit: danke, hab scheisse getippt ... link korrigiert

[deft]

@ paede: kein DNS-Eintrag unter dem Namen ... somit keine IP zu finden... aber da gibt es Tools, mit denen Du das selber testen kannst...

[deft]

Titel: Willkommen bei Adobe Go Live 6 - na hoffentlich ist die registriert!

[tracer]

Ich habe das mal zu nen neuem Thread gemacht.

Mal auf die schnelle nen Portscan:

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-01-27 14:17 CET
Warning: OS detection will be MUCH less reliable because we did not find at lea
st 1 open and 1 closed TCP port
Interesting ports on 80-218-20-79.dclient.hispeed.ch (80.218.20.79):
(The 1657 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
8080/tcp open http-proxy
Device type: general purpose
Running: Microsoft Windows 2003/.NET
OS details: Microsoft Windows .NET Enterprise Server (build 3604-3790)

Nmap run completed -- 1 IP address (1 host up) scanned in 50.532 seconds

Also, ftp würde ich dich machen, ggf. nur anonymous ftp, zum Dateien tauschen solltest Du beeser ssh nehmen.

Der nessus hält den port 8080 für nen Proxy, aber es ist ja nur nen Webserver auf einem anderen Port.



Nen Portscan sagt natürlich noch nichts aus, wenn ich zu Hause bin, kann ich mal an eingemachte gehen...
W2K3 Server hmmm, da werden wir schon was finden

[deft]

FTP-Server ist PW-geschützt - schonmal edit schlecht...
80.218.20.79:21 open

schau mal mit netview oder so, ob die windows-netbios-ports zu sind bzw. nur am localhost lauschen...

...geht viel schneller, als wenn wir jetzt von irgendwo 64000 und ein paar ports scannen...

Und lies Dich hier mal durch:

http://www.ntsvcfg.de/

[tracer]

FTP-Server ist PW-geschützt - schonmal gut so

Nee, schlecht

Ein anonymois ftp ist harmlos, aber wenn man authentifizieren muss, dann passiert das via plain text, und das ist sehr schlecht.

[deft]

5 kleine Freeware-Tools für den Anfang...

...wenn Du dich bei ntsvcfg durchgelesen hast...

Offene Ports anzeigen (inklusive lokaler Schleifen)

Lokales Netzwerk nach Servern und Freigaben unter Windows durchsuchen

Aktive Ports

IP-Range nach Rechnern mit Freigaben/Servern durchsuchen

Tiefergehende Prozess-Analyse (Was wird wann wo durch wen gestartet...)

Das sollte fürs Erste reichen

@tracer: stimmt auch wieder - lieber anonym und ohne große rechte - ich muss meine aussage revidieren... solange dass teil nicht ssl-geschützt läuft...

[speedy]

zum Dateien tauschen solltest Du beeser ssh nehmen.

SSH-Server unter Windows ?


MFG,
speedy

[deft]

http://sshwindows.sourceforge.net/

[willie]

Nur mal auf die schnelle, gut DIng wil Weile haben


Erkennung:

Pinging schaerer.no-ip.com [80.218.20.79] with 32 bytes of data:

Reply from 80.218.20.79: bytes=32 time=77ms TTL=116


Traceroute:

Tracing route to 80-218-20-79.dclient.hispeed.ch [80.218.20.79]
over a maximum of 30 hops:

1 3 ms 4 ms 4 ms xxxx
2 9 ms 12 ms 12 ms xxxx
3 8 ms 7 ms 8 ms xxxx
4 8 ms 15 ms 8 ms xxxx
5 10 ms 10 ms 11 ms xxxx
6 14 ms 15 ms 14 ms xxxx
7 16 ms 19 ms 16 ms xxxx
8 16 ms 16 ms 16 ms xxxx
9 43 ms 43 ms 44 ms 195.66.224.181
10 44 ms 43 ms 43 ms pos-12-0.blxotf001.bb.cablecom.net [62.2.4.222]
11 51 ms 43 ms 42 ms gig-4-0.mlrotf007.bb.cablecom.net [62.2.10.26]
12 45 ms 43 ms 43 ms 10.184.80.1
13 72 ms 70 ms 50 ms 80-218-20-79.dclient.hispeed.ch [80.218.20.79]



Starting DNS Lookup Request for 80.218.20.79: 14:09:01
=======================================================================

Resolving IP 80.218.20.79 ...
Please wait ...

Response Host is: 80-218-20-79.dclient.hispeed.ch



Scans:

C:\nmap>nmap -sS -P0 -O -vv 80.218.20.79

Starting nmap 3.75 ( http://www.insecure.org/nmap ) at 2005-01-27 13:45 GMT Standard Time
Initiating SYN Stealth Scan against 80-218-20-79.dclient.hispeed.ch (80.218.20.79) [1663 ports] at 13:45
Discovered open port 21/tcp on 80.218.20.79
Discovered open port 80/tcp on 80.218.20.79
Discovered open port 8080/tcp on 80.218.20.79
The SYN Stealth Scan took 67.12s to scan 1663 total ports.
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
For OSScan assuming port 21 is open, 38862 is closed, and neither are firewalled
Host 80-218-20-79.dclient.hispeed.ch (80.218.20.79) appears to be up ... good.
Interesting ports on 80-218-20-79.dclient.hispeed.ch (80.218.20.79):
(The 1660 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
8080/tcp open http-proxy
Device type: general purpose
Running: Microsoft Windows 2003/.NET|NT/2K/XP
OS details: Microsoft Windows Server 2003, Microsoft Windows 2000 SP3
OS Fingerprint:
TSeq(Class=TR%IPID=I%TS=0)
T1(Resp=Y%DF=Y%W=402E%ACK=S++%Flags=AS%Ops=MNWNNT)
T2(Resp=N)
T3(Resp=N)
T4(Resp=N)
T5(Resp=N)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

TCP Sequence Prediction: Class=truly random
Difficulty=9999999 (Good luck!)
TCP ISN Seq. Numbers: 286473FD F4B4B3CB C506FA27 E6A65040 914A5914 52F86FC
IPID Sequence Generation: Incremental

Nmap run completed -- 1 IP address (1 host up) scanned in 71.413 seconds


----
=======================================================================
Starting security scan of host 80-218-20-79.DCLIENT.HISPEED.CH[80.218.20.79]...
Time: 13:54:01
=======================================================================
Start WMI Network Detection ...
No connection, remote registry not available on this computer
Collecting Windows OS Information...
Start USB Devices Detection ...
Found 0 USB devices (0 of them were ignored).
Starting port scanning...
TCP scanning started...
1 TCP open port(s)
Post scanning fingerprint...
Started vulnerability scan analysis...
Checking for trojans...
Checking black listed USB devices...
Checking black listed Net devices...
Checking FTP vulnerabilities...
Checking DNS vulnerabilities...
Checking mail vulnerabilities...
Checking service vulnerabilities...
Checking RPC vulnerabilities...
Checking miscellaneous vulnerabilities...
Checking registry vulnerabilities...
Checking information vulnerabilities...
=======================================================================
Completed security scan for 80-218-20-79.DCLIENT.HISPEED.CH[80.218.20.79]: 13:58:52.
Scan time: 4 minutes, 50 seconds
=======================================================================
=======================================================================
COMPLETED SECURITY SCAN FOR MACHINE/RANGE: 80.218.20.79
Scan Start Time: 13:53:57
Scan Duration: 4 minutes, 55 seconds
=======================================================================


UDP 3127(MyDoom) ist offen laut meinem Tool , koennte eine Trojaner backdoor sein oder Fehlalarm, tippe eher auf zweiteres.

Fazit:

Sieht imho soweit gut aus nur der Windows Server ist halt ein PatchServer, wenn du da nicht am Ball bleibst oder ISP, weiss

Nicht wer das managed bist, Du schnell aus dem Rennen

ABER: Ftp dicht machen !!!! ssh Server aufsetzen oder wie Tracer sagte nur anonymous fuer einen geschuetzen Bereich
Hoffen dass dein ISP eine gut konfigurierte Firewall hat ebenso dessen Router richtig konfiguriert sind und auf dem neuesten

IOS Stand sind, siehe die 3 neuen Cisco Vulns, aber da kannst du eh nix dran machen

Fakt mit netcat und dem richtigen Wissen ist der Server auch zu cracken aber nicht durch Skript kiddies.

Auch interessant zu lesen:
http://www.cert.org/tech_tips/home_networks.html

Mehr auf:

http://www.sans.org
http://www.cert.org
http://phrack.org
http://www.securityfocus.com

bugtraq mailinglist abonieren oder unter securityfocus online lesen

@Tracer hol dir mal ein update fuer nmap


Anmerkung: Bei Wireless bitte at least WEP Key und wenn moeglich mit Radius sonst gehts euch wie meinem Nachbarn.

Per Browser auf sein ADSL Router login admin password admin AUTSCHHHHH

Aber Wireless wuerde das ganze jetzt spraengen, frage mich nur wie die Hundertausende "Media-Markt etc blind links Wireless Installierer" das handeln.

Wenn dann British Telecom so ein Teil SO bei meinem Nachbar aufstellt, dann hoert auf mit 801 und vielleicht finden wir was "Idiotensicheres"

Vom Zug von PB nach London schnappe Ich durchschnittlich 300 WLANS auf, davon ca. 70 % zumindest mit WEP, Wahnsinn.

London CITY (e.g. London Bridge and Canary Wharf and !!!! Bank !!!! (HSBC - Barclays - Deutsche Bank...) ist fast alle 20 Meter ein "Hotspot"
Wuerde eher sagen, wer mit Laptop im Park vor der London Bridge hockt mit richtigem Equimpemnt (Anmerkung das Rathaus ist 10 m entfernt) schnappt viel auf und da machen uns die Affen im TV den "von #gruen# nach #yellow# , dann #green# und jetzt wieder #red# Alert - DIE VERARSCHEN UNS NAch Strich und Faden !! Wiki, Umgansgsprache dafuer: wichser

Zum Zug :
Bevor du nicht "High Barnet" passiert hast niemals im Zug auf Wifi anmelden (http://www.gner.co.uk/GNER/wi-fi/) , sonst gehts wie mir: Eingebucht per Credit Card und danach raus aufs offene Feld mit Dem Zug und leider wars der Falsche Wireless Ap (Kings Cross sind ca. 25-30 >)

Wireless im Zug:

Jeder Wagon hat einen AP alle im selben subnet, du bekommst ein anderes Subnet wirst aber ueber den EINEN Server (Im Zug) auf die AP's geroutet. Sie verwenden in jedem Wagon D-LINK Ap's ) ))))))

Wenn der Server im gleichen LAN haengt, was er tut, Ist Alles machbar !!, sogar den ganzen Zug Wifi sniffen -IRRE - )Im Schlimmsten Fall den Server kapern und aus mit WIFI)

PDA's und Phones per Bluetooth cracken :

Biitte schaltet Eure "Erkennbarkeit ab" !!!!

Map London and Tube:

http://tube.tfl.gov.uk/content/tubemap/default.asp )
Gruesse Willie

[tracer]

@Tracer hol dir mal ein update fuer nmap

Bin nicht zu Hause, war ne Kiste, die hier eigentlich ganz andere Aufgaben als Scannen hat

HEute abend schau ich mal mit dem Nessus dem IIS unter die Haube...

[paede]

ja so hab ich mir das vorgestellt

das ftp unverschlüsselt ist, war mir klar ... dennoch will ich meinen ftp ... klar könnte ich die verschlüsselung aktivieren, jedoch werde ich dann probleme haben von diversen fremden pc's und mac's darauf zugreifen zu können ohne software zu installieren, was ich nunmal brauche.

meine sorge gilt vor allem dem IIS, da ich dort nur sehr wenig erfahrung habe ...

einige angaben:
gesichert ist der server durch eine software-FW

port 8080 hab ich nur temporär offen (da stell ich bilder von möglichen mietobjekten für unsere neue WG rein )

PS: ich mach gleich mal wieder windows update ... zu einfach solltet ihrs ja nicht haben
bin allerdings immer ziemlich aktuell

gruss und weiterhin viel spass

[willie]

Ok wird das nun ein Honeypot contest, dann nehmen wir uns richtig Zeit, Hechz Lechzzzzzzz

[speedy]

Paede ... ist das dein Rechner - komplett - oder hast du da nur einen Account ? ... wenn der komplett unter deiner Gewalt ist ... dann installiere dir doch den Apache - hat sicherlich ein paar weniger Angriffsmöglichkeiten, als der IIS


MFG,
speedy

[paede]

@speedy: ja das ist mein rechner ...
ursprünglich habe ich w2003server installiert um remoteDesktop zu haben, dann änderte der provider meines boards die bedingungen, so dass ich gezwungen war die seite selber zu hosten (hat ja nur sehr wenig traffic da geht sowas).
Nun war also schon w2003server am start, da hab ich gleich den integrierten IIS verwendet ... es wurde mir aber schon paar mal geraten apache zu benützen ... mal sehen vielleicht änder ich das ja mal noch.

@willie: UDP 3127 sollte nicht geöffnet sein, ich werde aber gleich mal noch ausdrücklich verbindungen verbieten ... danke

.... bin mir noch am überlegen was ich als hauptpreis verschenken könnte ???