je suis en train d'analyser un serveur Windows 2003 qui hébergeait un
site ftp warez sur le port 65535.
Le serveur ( a priori à jour dixit l'admin) hébergait les applis
suivantes:
-Apache 2.0.52 + PHP
-MySQL 4.0.21-nt
-typo3 (un CMS php)
-PCAnywhere 11.0.1 avec un filtrage applicatif des IP autorisées à ce
connecter.
...
-Divers services démarrer (Terminal services, ...)
je suis encore en train de regarder ce qui était installé.
La personne qui a réussi à s'introduire sur la machine a ensuite
télécharger (probablement un rootkit) depuis une machine adsl en italie.
les fichiers sont les suivants:
-rw-r--r-- 1 toto toto 22016 Jan 11 23:28 ap.exe
-rw-r--r-- 1 toto toto 53760 Jun 23 2004 JAcheck.dll
-rw-r--r-- 1 toto toto 925 Jan 15 01:34 JAcheck.ini
-rw-r--r-- 1 toto toto 28672 Jan 11 23:31 nc.exe
-rw-r--r-- 1 toto toto 42768 Jan 31 16:08 net.exe
-rw-r--r-- 1 toto toto 77824 Feb 24 2000 pskill.exe
-rw-r--r-- 1 toto toto 2944 Sep 8 22:10 Ring0Driver.sys
-rw-r--r-- 1 toto toto 192512 Sep 8 22:10 ring.dll
-rw-r--r-- 1 toto toto 180224 Sep 8 22:11 Ringdrv.exe
-rw-r--r-- 1 toto toto 13824 Jul 6 2004 salora.exe
-rw-r--r-- 1 toto toto 400 Jan 31 16:45 UpDate.dll
-rw-r--r-- 1 toto toto 769536 Jun 23 2004 UpDate.exe
certains fichier ont l'air d'être des classiques, mais est-ce que quelqu'un connaitrait ce qu'est:
Ring0Driver.sys, ring.dll, Ringdrv.exe, salora.exe, UpDate.* ?
Je n'ai pas trouver de référence sur google...
Et sinon, auriez vous des liens décrivant une analyse post mortem sur windows ?
les outils à utiliser, etc...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicob
On Wed, 09 Mar 2005 15:00:14 +0000, Mouskouyouss wrote:
certains fichier ont l'air d'être des classiques, mais est-ce que quelqu'un connaitrait ce qu'est: Ring0Driver.sys, ring.dll, Ringdrv.exe, salora.exe, UpDate.* ? Je n'ai pas trouver de référence sur google...
Autant ne pas se fier au nom et laisser les AV faire leur boulot :
Et sinon, auriez vous des liens décrivant une analyse post mortem sur windows ? les outils à utiliser, etc...
Tout d'abord, immobiliser la scène, ie. faire une copie à l'identique du disque (copie bit à bit) pour référence, et une copie de travail pour l'investigation. Et calculer les MD5 des différents fichiers obtenus.
C'est là seulement que commence l'analyse à proprement parler ...
Nicob
On Wed, 09 Mar 2005 15:00:14 +0000, Mouskouyouss wrote:
certains fichier ont l'air d'être des classiques, mais est-ce que
quelqu'un connaitrait ce qu'est: Ring0Driver.sys, ring.dll, Ringdrv.exe,
salora.exe, UpDate.* ? Je n'ai pas trouver de référence sur google...
Autant ne pas se fier au nom et laisser les AV faire leur boulot :
Et sinon, auriez vous des liens décrivant une analyse post mortem sur
windows ? les outils à utiliser, etc...
Tout d'abord, immobiliser la scène, ie. faire une copie à l'identique du
disque (copie bit à bit) pour référence, et une copie de travail pour
l'investigation. Et calculer les MD5 des différents fichiers obtenus.
C'est là seulement que commence l'analyse à proprement parler ...
On Wed, 09 Mar 2005 15:00:14 +0000, Mouskouyouss wrote:
certains fichier ont l'air d'être des classiques, mais est-ce que quelqu'un connaitrait ce qu'est: Ring0Driver.sys, ring.dll, Ringdrv.exe, salora.exe, UpDate.* ? Je n'ai pas trouver de référence sur google...
Autant ne pas se fier au nom et laisser les AV faire leur boulot :
Et sinon, auriez vous des liens décrivant une analyse post mortem sur windows ? les outils à utiliser, etc...
Tout d'abord, immobiliser la scène, ie. faire une copie à l'identique du disque (copie bit à bit) pour référence, et une copie de travail pour l'investigation. Et calculer les MD5 des différents fichiers obtenus.
C'est là seulement que commence l'analyse à proprement parler ...