• User Newbie

    File sconosciuti in system volume information

    Salve ragazzi, son qui a chiedervi delucidazioni su un fatto accadutomi di recente..

    Ho un server windows 2003 64bit della 1&1.de che uso a livello amatoriale, hostare giochi o siti personali.. e quindi non ho la competenza dei system admin professionali.. 🙂

    Mi è capitato di star fuori un 15gg senza accedere al server.. ed al ritorno mi son improvvisamente accorto prima che il server aveva generato un traffico web di quasi mezzo terabyte, cosa molto anomala poichè non arrivavo mai oltre i 100 gb..

    Poi entrando via desktop remoto ho visto che avevo i due hd da 250gb quasi pieni nonostante le cartelle "visibili" eran si e no di un 20gb totali..

    Allora smanetta qua sbircia di la, ho trovato nella cartella "system volume information" una subdirectory "sys" contente un 25 cartelle che viste in cascata formavano una bella nota informativa del mio server..

    roba tipo

    server 100mbit
    450gb
    ...

    Ed una di queste conteneva ben 207 gb di materiale "illegale".. tipo giochi craccati..

    cartelle create tutte il 24 aprile !!

    Vado poi nell'elenco user e trovo un paio di "user" strano che tolgo subito..

    Ora mi chiedevo.. per arrivare a tanto un hacker deve aver trovato la password per accedere al server via desktop remoto o ci son altri modi per fare cio' ?! Tipo via netbios o altro..

    Considerate che solo 1hd dei due contiene siti che pero' non son stati toccati.. ma su entrambi c'era sta robaccia..

    Inoltre, come fanno/facevano a scaricare quel materiale dal mio server se "in teoria" tramite IIS la cartella "system volume information" non è raggiungibile ?

    p.s.: scusate per la lungaggine ma na cosa simile non mi era mai capitata !!


  • User Attivo

    la macchina è stata chiaramente bucata. Fossi in te eseguirei un format completo del server onde evitare altre spiacevoli sorprese lasciate da chi si è intromesso e provvederei ad una messa in sicurezza del sistema. Visto che parli del caricamento di diversi gb di materiale presumo che abbia avuto accesso al server ftp, eventualmente controlla i log di sistema.


  • User Newbie

    Per il format dovro' aspettare un pochino.. subito non posso farlo 🙂

    Per quanto riguarda il server ftp, risiede su 😧 ma mi son ritrovato roba pure in E: che è un hd di backup che per ora non avevo mai utilizzato.. infatti era bello vergine e non ci puntava nulla.

    Credo che il tizio sia riuscito ad entrare proprio come admin in qualche modo..

    la struttura è 😄 20gb 😧 250gb E: 250gb

    La cosa strana e che sul win 2003 non mi fa configurare il firewall windows, credo sia 1&1 che ha personalizzato il sistema "disabilitandolo" o "bloccandolo" perchè non son mai riuscito ad accederci da quando ho il server (ormai 6 mesi).

    Cmq appena posso faro' una bella reinstallazione e cambio password... 😉
    e studiero' come blindarlo meglio :smile5: