I några dagar nu har servern varit offline. Detta är historien om varför.
Jag försöker logga in på min ftp server från jobbet, inget svar. Tänker att kanske min internet lina dött eller kanske rent av min server. När jag sen når servern ser jag att ftp servisen snurrar på som vanligt. Jag startar och stoppar servisen i hopp om någon förändring, icke…. Till sist ser jag att konfigureringen på ftp servern inte liknar något jag skrivit. Men andra ord är den helt ändrad, alla kontona borta, den var på en annan skyhög port än den jag använt.
Jag hade några dagar tidigare sett en massa misslyckade inloggningsförsök till servern med användaren administrator, men hade inte tid att kolla på det just då och det upphörde av sig själv. Det är inte heller helt ovanligt.
Jag misstänkte först att ftp servern blivit hackad, men det visade sig att så var inte fallet. Det första som slår mig är att skanna med Norton Antivirus, startar programet och ser att min ”virus definition” är gammal. Jag försöker uppdatera men det går inte. Hmm, ändrad host fil tänkte jag. Kollade och den var tom, windows defender hade nog räddat mig där för vid omstart vid ett senare tillfälle så sa windows defender att något försökt jävlas med den filen. När jag strular runt på servern ser jag att den norton versionen som var installerad var av lägre version än den jag själv installerat! Mycket skumt, jag installerar om Norton startar om datorn och startar Norton AV. Efter ca 5 sekunder dör programmet. Startar igen, dör efter 5! Fan, det här har man sett tidigare, virus och spamware har ju länge hittat på sånt här. Jag har definitivt blivit smittad av något. Tar ner Hijackthis för att se om jag kan hitta något skumt, gissa vad, stänger ner efter 5 sek.
Ok, jag får väl köra någon online skanner då. Går till TrendMicro och kör deras skanner. Den hittar en hel del, serv-u_nånting, passwdcrack2 och lite annat smått och gott. Jag kör en Clean/delete på rubb och stubb och tänker inte mer på det. Hjälper det? Icke! Norton eller Hijackthis stänger fortfarande ner efter 5 s. Letar igenom processerna och hittar något skumt, stänger den och nu börjar det fungera. Men Serv-u configurationen kan jag inte få tillbaka. Jag gör restore från backup på alla serv-u filer men fortfarande är det den andra configen som gäller. Testar filerna på en annan dator, dom fungerar perfekt. Kör hijackthis, ser att jag saknar en uppsjö filer och systemet startar den process jag stängt efter tag igen och allt är tillbaka från början. Eftersom jag slarvigt nog inte kollat vad trendmicro hittat så hittar jag heller ingen manuell rensningsinstruktion för det jag har. Hittar faktiskt inget som är så komplett som just min variant var. Min firewall rapporterar ett enormt tryck mot någon IRC server, jag blockar naturligtvis IRC. Vidare hittar jag nya program på datorn, sådana som man använder för att göra egna program. Jag håller på så gott som hela lördagen med det här, men hittar ingen lösning. Vad har då hänt? Jag tror så här:
Jag har installerat något skitprogram som har haft en trojan med sig som installerat lite allt möjligt. Programmet har skrivit till en IRC server och rapporterat om vilken port dom har skapat en ”backdoor” på. Turligt nog har inte jag öppet alla portar så dom har nog inte kommit in. Programmet har sen tagit bort mina Norton och Serv-U filer och ersatt dom med sina egna. För den Serv-U som var installerad var inte den version jag använt precis som med Norton. Men eftersom de ändrat till en skyhögport kom de inte åt ftp servern heller. Programmet har laddat ner allt som behövs från Microsoft developer sidor, därmed har jag massa utvecklingsverktyg på datorn som jag inte haft tidigare.
Det jävliga var att den här datorn var en domänkontrollant för mitt hemma lab och AD började bete sig mycket oroligt. Vad kunde jag inte riktigt se för Event Viern fungerade inte som den skulle.
Fick göra restore till en 2 månader gammal image, med alla AD problem det medför 
Loading ...
Senaste kommentarerna