Analyse Post mortem WS2003

Le
Mouskouyouss
Bonjour,

je suis en train d'analyser un serveur Windows 2003 qui hébergeait un
site ftp warez sur le port 65535.

Le serveur ( a priori à jour dixit l'admin) hébergait les applis
suivantes:
-Apache 2.0.52 + PHP
-MySQL 4.0.21-nt
-typo3 (un CMS php)
-PCAnywhere 11.0.1 avec un filtrage applicatif des IP autorisées à ce
connecter.

-Divers services démarrer (Terminal services, )
je suis encore en train de regarder ce qui était installé.

La personne qui a réussi à s'introduire sur la machine a ensuite
télécharger (probablement un rootkit) depuis une machine adsl en italie.
les fichiers sont les suivants:
-rw-r--r-- 1 toto toto 22016 Jan 11 23:28 ap.exe
-rw-r--r-- 1 toto toto 53760 Jun 23 2004 JAcheck.dll
-rw-r--r-- 1 toto toto 925 Jan 15 01:34 JAcheck.ini
-rw-r--r-- 1 toto toto 28672 Jan 11 23:31 nc.exe
-rw-r--r-- 1 toto toto 42768 Jan 31 16:08 net.exe
-rw-r--r-- 1 toto toto 77824 Feb 24 2000 pskill.exe
-rw-r--r-- 1 toto toto 2944 Sep 8 22:10 Ring0Driver.sys
-rw-r--r-- 1 toto toto 192512 Sep 8 22:10 ring.dll
-rw-r--r-- 1 toto toto 180224 Sep 8 22:11 Ringdrv.exe
-rw-r--r-- 1 toto toto 13824 Jul 6 2004 salora.exe
-rw-r--r-- 1 toto toto 400 Jan 31 16:45 UpDate.dll
-rw-r--r-- 1 toto toto 769536 Jun 23 2004 UpDate.exe

certains fichier ont l'air d'être des classiques, mais est-ce que quelqu'un connaitrait ce qu'est:
Ring0Driver.sys, ring.dll, Ringdrv.exe, salora.exe, UpDate.* ?
Je n'ai pas trouver de référence sur google

Et sinon, auriez vous des liens décrivant une analyse post mortem sur windows ?
les outils à utiliser, etc

Merci.
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Nicob
Le #707700
On Wed, 09 Mar 2005 15:00:14 +0000, Mouskouyouss wrote:

certains fichier ont l'air d'être des classiques, mais est-ce que
quelqu'un connaitrait ce qu'est: Ring0Driver.sys, ring.dll, Ringdrv.exe,
salora.exe, UpDate.* ? Je n'ai pas trouver de référence sur google...


Autant ne pas se fier au nom et laisser les AV faire leur boulot :

http://virusscan.jotti.org/
http://www.virustotal.com/flash/index_en.html

Et sinon, auriez vous des liens décrivant une analyse post mortem sur
windows ? les outils à utiliser, etc...


Tout d'abord, immobiliser la scène, ie. faire une copie à l'identique du
disque (copie bit à bit) pour référence, et une copie de travail pour
l'investigation. Et calculer les MD5 des différents fichiers obtenus.

C'est là seulement que commence l'analyse à proprement parler ...


Nicob

Poster une réponse
Anonyme