Problema Invasão IIS 2003 Server

[gerema]

Olá,

Bom sou novo aqui, estava procurando na net uma solução para meu problema e aqui foi o lugar mais indicado para perguntar e também dar uma pesquisada. Estou tento problema com invasão ao meu IIS, eu uso ele no windows server 2003 que hospeda meu servidor de priston tale, um certo alguém que não sei quem é consegue invadir meu site da maneira mostrada na foto abaixo, ja em tudo quanto é lugar tentando encontrar a chave do problema e nada! se alguém puder me ajudar serei grato.


Obs: eu ja usei o Apache, o Vertrigoserver e em ambos ele consegue entrar.

[Lord Dagonet]

Gerema, leia por favor o seguinte tópico: TrojanDNSChanger

Passei o link para você +- como podemos te ajudar. Nesse tópico acima, o usuário utilizou a ferramenta Hijack This e postou o log gerado.

Baixe-o AQUI
e Siga os procedimentos indicados no site acima. Poste o log gerado por ele para nós.


Digo isso porque creio que no seu caso o problema está além do servidor web que você utiliza. Creio que há algo instalado na sua máquina (Um Backdoor por exemplo) que permita a esse invasor entrar em sua máquina.

Você poderia nos dizer se recentemente abriu algum anexo suspeito em seu e-mail, de um remetente desconhecido ou algo assim? Talvez você possa ter instalado um software malicioso em seu computador.

[gerema]

primeiramente obrigado por me responder, não clickei em nenhum link suspeito. Logo abaixo o Log HijackThis.


Logfile of HijackThis v1.99.1
Scan saved at 14:41:49, on 11/9/2009
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Citrix\XenTools\xenservice.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\VertrigoServ\apache\bin\v_apache.exe
C:\Arquivos de programas\VertrigoServ\apache\bin\v_apache.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
E:\Moon\PT Protector.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\VertrigoServ\Vertrigo.exe
C:\Arquivos de programas\Hamachi\hamachi.exe
E:\SQLBACKUPZIP\SQLBACKUPZIP.exe
C:\Arquivos de programas\Teamspeak2_RC2\server_windows.exe
E:\Moon\Auto Restarter Fire .exe
E:\Moon\ClanSoDManager 1 P.exe
E:\Moon\ClanSoDManager 2 P.exe
E:\Moon\excalibur.exe
E:\Moon\1127.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\Documents and Settings\admin\Configurações locais\Temporary Internet Files\Content.IE5\KPGX2LE3\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/softAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://206.225.3051/downalods/SpcuteXM.rar
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Arquivos de programas\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O4 - HKLM\..\Run: [PTProtectorv1] E:\Moon\PT Protector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VertrigoServ] "C:\Arquivos de programas\VertrigoServ\Vertrigo.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - Startup: hamachi.lnk = C:\Arquivos de programas\Hamachi\hamachi.exe
O4 - Startup: SQLBACKUPZIP.lnk = E:\SQLBACKUPZIP\SQLBACKUPZIP.exe
O4 - Startup: TeamSpeak 2 Server.lnk = C:\Arquivos de programas\Teamspeak2_RC2\server_windows.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{82D7B87A-7722-414A-B688-B54C358D72F1}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs:
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Vertrigo_Apache - Unknown owner - C:\Arquivos de programas\VertrigoServ\apache\bin\v_apache.exe" -k runservice (file missing)
O23 - Service: Vertrigo_MySQL - Unknown owner - C:\Arquivos de programas\VertrigoServ\mysql\bin\v_mysqld.exe" "--defaults-file=C:\Arquivos de programas\VertrigoServ\mysql\my.ini" Vertrigo_MySQL (file missing)
O23 - Service: Citrix Tools for Virtual Machines Service (xensvc) - Citrix - C:\Arquivos de programas\Citrix\XenTools\xenservice.exe

[Lord Dagonet]

Vamos lá, temos muito a conversar :)

Há processos bem suspeitos na sua máquina. Pesquisando no indelével Google vemos o seguinte:

Me corrija se estiver errado, mas os processos:

E:\Moon\Auto Restarter Fire .exe
E:\Moon\ClanSoDManager 1 P.exe
E:\Moon\ClanSoDManager 2 P.exe

Dizem respeito às funções do seu servidor de Priston, não é?

Vamos ao mais crítico.

O processo excalibur.exe é definido pelo site Spyware.net como um Trojan que pode causar negação de serviço, ou seja, "derrubar" seu servidor.

Outra coisa, o processo Protector.exe é definido pelo site Process Library como uma aplicação que permite a administração remota de um computador, estilo PC Anywhere ou o VNC da vida. E mais, o site explica que, se a aplicação for usada maliciosamente, permite um usuário acessar remotamente o seu pc sem o seu consentimento, roubar senhas e dados pessoais.

Ou seja, provavelmente o cara entra na sua máquina por essa ferramenta, que ele conseguiu instalar por um Trojan (Não necessariamente o excalibur.exe, há outros processos suspeitos como o 1127.exe e o SQLBACKUPZIP.exe que imagino que possam ser portas para esse ataque) e assume o controle dela pela via remota do software SpyAnywhere.

Recomendações:
Tem antivírus? Está atualizado? Atualize-o e rode na máquina para ver o que encontra e remove.
Se não tiver, recomendo o AVGou o AVAST para usuários domésticos.
Tem software com funções anti-spyware? Como o Spybot se não tiver, instale-o e tente remover esses problemas.


Não deu nada certo? Espero que você tenha backup das suas principais configurações e dos seus dados :). Talvez seja necessário formatar a máquina e começar o seu servidor novamente, do zero.

Gerema, espero ter ajudado.
Os membros do fórum mais experientes (que estão mais atarefados do que eu nesse momento :) ) poderão te dar uma ajuda mais especializada e pontual quando aqui se pronunciarem ;)

[Robot Bastard]

Não deu nada certo? Espero que você tenha backup das suas principais configurações e dos seus dados :). Talvez seja necessário formatar a máquina e começar o seu servidor novamente, do zero.

Se for seguir essa linha, cuidado no restore. Pode ser que os executáveis maliciosos estejam presentes no backup.

[]s,

RB

[PreventDdos]

hehe velhos tempos de PT(priston tale para os que na conhecem),bem pelo pouco conhecimento tecnico que tenho vejo que sqlserver.exe e o outro java tem como dono DESCONHECIDO o que nao é muito comum,creio que ja foi meio que comprometido seu sistema,e como nosso amigo Robot disse que o virus pode estar localizado nos pontos de restauração ,o que de fato poder acontecer ,como ja ha um bom tempo atras ocorreu comigo!!
complementando a dica do LORD gostaria de compartilhar com voce o novo antivirus da microsoft que vem sendo bem cotado e é anti virus e spyware...
ai vai o link:

https://www.microsoft.com/Security_e...s/default.aspx

espero que baixe e teste pois vale a pena além de ser 100% compativel com windows e tao leve que nem parece estar rodando antivirus ou seja ocupa pouca memoria e etc..
abraços,
RR

[M0nt3r]

Ola amigo.

Se esse ip estive certo o site esta vulnerável a pdw.
Ai esta os prints:

Ou pela pode entra pela pagina que hospedei
http://206.225.30.51/monter.asp
senha: 123

[brunosolar]

Sua configuração do WEBSERVER pode estar setada para permitir listar os diretorios. Ja deu uma olhada?