# Ordner ohne Namen löschen



## grillse (12. Januar 2005)

Hallo,

ich habe nach einem Angriff auf meinen Server einen Ordner ohne Namen (Name scheint aus zwei Leerzeichen zu bestehen)

Diesen kann ich leider nicht löschen und zum Teil auch nicht drauf zugreifen, es befinden sich zahlreiche Unterordner in dem Verzeichniss mit Sonderzeichen die normalerweise garnicht Win kompatibel sind.

Hat einer eine Idee wie ich die löschen kann?

OS: Win 2003 Server

Mfg


----------



## MCIglo (12. Januar 2005)

format c:

Alles andere bekämpft nur die Symptome, nicht aber die Ursache!
Auch wenn du es schaffen solltest, den Ordner zu löschen, glaube ich nicht, dass du alle Rootkits und Backdoors findest, die ein (guter) Eindringling installiert haben könnte!


----------



## grillse (12. Januar 2005)

Das ist nicht möglich, da sind wichtige Daten drauf und am laufen das der nicht formatiert werden kann. es wurde auch nur der ftp server gehackt, und dadrüber wurde dann dieser Ordner erstellt, das System ist ansonsten sicher!

Ich weiß bloß nicht wie ich diesen Ordner jetzt wegkriegen soll!


----------



## MCIglo (12. Januar 2005)

Wenn da wichtige Daten drauf sind, sollte man ihn schützen...

Aber versuch doch mal, über einen FTP-Client diese Ordner zu löschen.


----------



## grillse (12. Januar 2005)

schon probiert, klappt nicht!


----------



## MCIglo (12. Januar 2005)

Probier mal Programme wie WinCommander, TotalCommander oder ähnliches


----------



## grillse (12. Januar 2005)

geht auch nicht


----------



## MCIglo (12. Januar 2005)

mach mal bitte ein 

```
dir * /s >c:\dir.txt
```
 in dem Ordner, wo der '    '-Ordner liegt.

Und dann paste den Inhalt der c:\dir.txt mal hier.


----------



## Dennis Wronka (12. Januar 2005)

Also ueber FTP kann man auch ratzfatz Zugang zu allem moeglichen Kram kriegen, da FTP an sich schon 'ne ziemlich unsichere Angelegenheit ist.
Liegen diese wichtigen Daten wirklich auf C:
Sowas sollte eigentlich nicht der Fall sein, nichtmal bei 'nem normalen User-PC. Und schon garnicht bei einem Server. Es kann ja immer mal was sein (z.B. Windows bootet nicht).
Falls Du noch eine andere Partition oder Platte zur Verfuegung hast wuerde ich empfehlen da ein Backup der Daten anzulegen und dann das bereits vorgeschlagene Format C: inklusive der anschliessenden (und sehr spassigen) Neuinstallation durchzufuehren.
Oder einfach mal 'ne Knoppix-CD von http://www.knoppix.org runterladen und versuchen die Ordner von Linux aus zu loeschen. Ich sag mal, 'nen Versuch ist's auf jeden Fall wert.


----------



## MCIglo (12. Januar 2005)

An Knoppix hab ich acuh schon gedacht, aber AFAIK hast du damit keine Schreibrechte auf die NTFS-HDD.


----------



## grillse (12. Januar 2005)

```
Directory of D:\apache\xampp\htdocs\upload

01/11/2005  01:25 PM    <DIR>          .
01/11/2005  01:25 PM    <DIR>          ..
01/12/2005  02:05 PM    <DIR>            
               0 File(s)              0 bytes

 Directory of D:\apache\xampp\htdocs\upload\  

01/12/2005  02:05 PM    <DIR>          .
01/12/2005  02:05 PM    <DIR>          ..
01/12/2005  10:46 AM    <DIR>          a
               0 File(s)              0 bytes

 Directory of D:\apache\xampp\htdocs\upload\  \a

01/12/2005  10:46 AM    <DIR>          .
01/12/2005  10:46 AM    <DIR>          ..
01/12/2005  11:03 AM    <DIR>          1.Dios%˜˜;˜˜;%d˜˜%f˜˜;%d 
               0 File(s)              0 bytes

 Directory of D:\apache\xampp\htdocs\upload\  \a\1.Dios%˜˜;˜˜;%d˜˜%f˜˜;%d 

01/12/2005  11:03 AM    <DIR>          .
01/12/2005  11:03 AM    <DIR>          ..
01/12/2005  10:55 AM    <DIR>          1.;%;%˜˜;%20%d    
01/12/2005  10:55 AM    <DIR>          2.;%f;%20;%f˜˜ 
01/12/2005  10:55 AM    <DIR>          3.;˜˜;%20˜˜;˜˜;%˜˜;    
01/12/2005  10:55 AM    <DIR>          4.%f˜˜;%f;%%d˜˜; 
01/12/2005  10:55 AM    <DIR>          5.˜˜%˜˜;;%˜˜;%d˜˜˜˜; 
01/12/2005  10:55 AM    <DIR>          6.%˜˜;;˜˜;; 
01/12/2005  10:56 AM    <DIR>          7.%20˜˜%˜˜;%d˜˜;;%%20  
01/12/2005  10:56 AM    <DIR>          8.;%;%f;˜˜;;
```
usw....

kommen dann noch ein paar Ordner!


----------



## Dennis Wronka (12. Januar 2005)

Falls Du noch 'ne Platte rumliegen hast koenntest Du die einbauen und mit FAT formatieren. Besser als nix.
Ansonsten ist, wenn ich das richtig gesehen hab, auf der neuen Knoppix auch dieser Treiben, dessen Namen ich leider vergessen habe, drauf mit dem Du auch NTFS schreiben kannst. Ganz sicher bin ich mir dabei aber nicht.


----------



## MCIglo (12. Januar 2005)

In Code-Tags wäre es sinnvoller gewesen. So kann man nicht wirklich was erkennen.
Wenn du mir vertraust, kannst du mir auch mal die IP-Adresse des Servers per PM schicken.
Ich glaube, cih weiß, wie derjenige auf die Kiste kam. Sollte das allerdings wahr sein, hilft wirklich nur ein format c: !


----------



## Dennis Wronka (12. Januar 2005)

Auf jeden Fall sollte der Server sobald er wieder im Einsatz ist, ob nun nach einer erfolgreichen Rettung oder Neuinstallation mal auf Sicherheitsluecken gecheckt werden. Besonders halt der FTP-Dienst.
Falls ein seperater Rechner zur Verfuegung steht auf dem auch mal Linux installiert werden kann wuerde ich dafuer Nessus (http://www.nessus.org) empfehlen. Entsprechende Linux-Kenntnisse natuerlich vorausgesetzt.
Andernfalls jemand vertrauten mit den noetigen Kenntnissen darum bitten oder, als letzte Moeglichkeit, jemandem aus dem Forum vertrauen und mal checken lassen.


----------



## MCIglo (12. Januar 2005)

Also, um mal wieder zu aktualisieren:
Ich hab schon einiges gesehen, bin ja selbst ein Greyhat, aber solche Ordner sind mir neu. Bisher wirklich alle weggebracht, aber die sind 'unlöschbar'.

Da er den Server aber ATM braucht, und der Eindringling über ein schwaches PW rein kam, wird er das ganze jetzt weiter beobachten und wenn es keine Probleme mehr gibt, formatieren, sobald die Zeit es zulässt.
Der Angreifer hatte zwar auch execute Rechte, so wie es aber aussieht (Portscan und die Files im FTP-Directory), wusste er das nicht.


----------



## grillse (12. Januar 2005)

der wollte einfach nur seine warez ablegen, in form von filmen...

Naja, ich werd mir dann einfach mal denken die ordner wären weg!


----------



## Dennis Wronka (12. Januar 2005)

Dann kann man offensichtlich nochmal von Glueck im Unglueck sprechen.
Wenn der Eindringling mehr Ahnung gehabt haette waere der Schaden dann wohl groesser gewesen.


----------



## MCIglo (12. Januar 2005)

reptiler hat gesagt.:
			
		

> Dann kann man offensichtlich nochmal von Glueck im Unglueck sprechen.
> Wenn der Eindringling mehr Ahnung gehabt haette waere der Schaden dann wohl groesser gewesen.


Definitiv!
Ich kenn genug Leute, bei denen du wirklich hättest formatieren müssen! 
Wobei du bei genau diesen Leuten aber nichtmal etwas gefunden hättest außer vielleicht plötzlich sehr viel Traffic.


----------



## Dennis Wronka (12. Januar 2005)

Leute die wirklich Ahnung haben hinterlassen auch (so gut wie) keine Spuren.
Ich bin da eher auf der anderen Seite taetig, also das Netzwerk sauber zu halten. Zu wissen wie der Feind arbeitet ist dabei aber nicht sinnlos.
'n guter Security-Scanner ist auf jeden Fall 'n wichtiges Tool wenn man Server baut. Viele Dienste sind halt recht anfaellig. Und persoenlich versuche ich auch immer Saetze zu vermeiden die sowohl Windows als auch sicher enthalten.
Obwohl ich von 2003 eigentlich recht gutes gehoert hab, kann da persoenlich aber nix zu sagen.


----------



## MCIglo (12. Januar 2005)

Ein Satz, in dem 'Windows' und 'sicher' vorkommt, ist nicht schwer:
Windows ist nicht sicher!


----------



## generador (12. Januar 2005)

falls die Ordner noch dasein sollten schick mir mal ne mail dann erklär ich, oder zeige dir wie du sie wegbekommst


----------



## Dennis Wronka (13. Januar 2005)

MCIglo hat gesagt.:
			
		

> Ein Satz, in dem 'Windows' und 'sicher' vorkommt, ist nicht schwer:
> Windows ist nicht sicher!


Okay, da hast Du recht. Ich wollte es nur nicht so drastisch ausdruecken. Sonst meint wieder jemand ich haette was gegen Windows. (Womit er sogar etwas recht haette)
Naja, zum Zocken ist Windows schon 'n schickes System, und fuer Normal-User auch brauchbar.
Aber wenn ich Server bau verlass ich mich lieber auf Linux.

Nein, ich will hier keinen Flamewar starten! Nur mal meine bescheidene Meinung breittreten.


----------



## zinion (13. Januar 2005)

Ok ich kann dir mal sagen was da gemacht wurde:

Du hast wahrscheinlich anonymen FTP-Zugang erlaubt. Dann hat sich jemand eingeloggt und diese Verzeichnisse eingerichtet. Er und seine Freunde tauschen nun Filme und Spiele in diesen Ordnern.

Also sofort annonymen FTP-Zugang stoppen.

Falls du keinen anonymen Zugang erlaubt hast ist er wahrscheinlich über eine der zahlreichen Lücken im Windows gekommen. Daher ist ein format c: auch eh nicht die beste Lösung, du musst irgendwie deinem Sicherheitsproblem auf die Spur kommen. Außerdem überprüfe ob im Windows und im FTP-Server Benutzer angelegt sind, die du nicht angelegt hast. Dann noch einen Portscan auf deinem Rechner durchführen - denn eventuell benutzt man gar nicht deinen FTP-Server sondern hat ienen zweiten auf einem sehr hohen Port installiert.

Um diese Ordner zu cracken gibt es Tools wenn ich zu Hause bin, gucke ich, ob ich die noch irgendwo rumfliegen habe. Man kann die auch anders lsöchen. Wie gesagt ichs schaue nach der Arbeit ob ich noch Infos für dich finde auf meiner Platte. Mail mich einfach an wenn generador dir nicht schon geholfen hat 

Der Trick funktionierte glaub ich ungefähr so: Mann legt einen Ordner an und darin noch einen Ordner, der aus Leerzeichen besteht. Dadurch kann man den Ordner nicht mehr ohne weiteres betreten. Damit sorgt der "hacker" bzw das Script-Kiddie dafür, daß nur seine Freunde, die den kompletten Pfad kennen an den Kram kommen und keine anderen "Crews" - denn wenn man den kompletten Pfad zum Ordner der die Daten enthält kennt, kommt man hinein da dort kein /  / vorhanden ist. 

Auch die Sonderzeichen helfen beim "sperren" der Ordner - je nach Betriebssystem andere.

Wenn du versuchen willst, die Ordner mit einer Linux-BootCD zu entfernen musst du den NTFS-captive Treiber verwenden, damit du Schreibmöglichkeiten auf NTFS-Partitionen hast.


----------



## MCIglo (13. Januar 2005)

zinion hat gesagt.:
			
		

> Ok ich kann dir mal sagen was da gemacht wurde:


Nein, kannst du nicht 



> Du hast wahrscheinlich anonymen FTP-Zugang erlaubt. Dann hat sich jemand eingeloggt und diese Verzeichnisse eingerichtet.


Nein, war nicht anonymous, sondern ein richtiger Account, der geknackt wurde. Das PW wurde bereits geändert.



> Falls du keinen anonymen Zugang erlaubt hast ist er wahrscheinlich über eine der zahlreichen Lücken im Windows gekommen.


Weder noch: siehe oben.



> Daher ist ein format c: auch eh nicht die beste Lösung


Hättest du mit der Lücke recht gehabt, wäre ein Formatieren der Platte die einzig sinnvolle Lösung!


> du musst irgendwie deinem Sicherheitsproblem auf die Spur kommen.


der Useraccount


> Dann noch einen Portscan auf deinem Rechner durchführen - denn eventuell benutzt man gar nicht deinen FTP-Server sondern hat ienen zweiten auf einem sehr hohen Port installiert.


Nein, es läuft über den vorhandenen FTP auf 21/tcp


----------



## Dennis Wronka (13. Januar 2005)

zinion hat gesagt.:
			
		

> Wenn du versuchen willst, die Ordner mit einer Linux-BootCD zu entfernen musst du den NTFS-captive Treiber verwenden, damit du Schreibmöglichkeiten auf NTFS-Partitionen hast.



Genau den Treiber meinte ich! Vielen Dank fuer die Erinnering wie der heisst.

By the way, ich find bevor ein Server an's Netz geht gehoert der mit 'nem Security-Scanner, wie dem von mir bereits erwaehnten Nessus (rein Windows-basierte Tools gibt's sicher auch, kenn ich aber nicht), mal grob gecheckt.
Nessus gibt 'ne schoene Auflistung der laufenden Dienste, mit eventuellen Schwachstellungen, kategorisiert nach Risikofaktor und oft normalerweise auch mit Tips zum beheben des Problems. Wie gesagt http://www.nessus.org
Das Tool ist Client/Server-basiert, den Client gibt's sogar fuer Windows. Den Server glaub ich nicht.
Aber ich denk mal da gibt's auch noch andere Sachen als nur Nessus. Fuer Windows kosten die aber wahrscheinlich 'n bissl was.


----------



## MCIglo (13. Januar 2005)

NMAP ist der wohl bekannteste Scanner (wird sogar in Matrix 2 verwendet). Davon gibt es auch einen Windows-Port.
- Retina (kostet)
- SuperScan4 (free)
- DFind (free)
- SFind (free)
- hScan (free)
- XScan (free)
- ShadowSecurityScanner (glaube auch free)
-...

Aber im Grunde braucht man solche Scanner nicht. Man deaktiviert einfach alle nicht benötigten Dienste (Netbios, SMB, ...) und hält die benötigten immer up2date.


----------



## Dennis Wronka (13. Januar 2005)

NMap ist aber nur 'n Portscanner, daher hab ich den nicht vorgeschlagen.
Seine Dienste immer up-to-date halten ist auf jeden Fall 'ne gute Sache. Das Problem ist nur, dass M$ auf gemeldete Sicherheitsluecken gerne mit Verspaetung reagiert.


----------



## MCIglo (13. Januar 2005)

reptiler hat gesagt.:
			
		

> NMap ist aber nur 'n Portscanner, daher hab ich den nicht vorgeschlagen.
> Seine Dienste immer up-to-date halten ist auf jeden Fall 'ne gute Sache. Das Problem ist nur, dass M$ auf gemeldete Sicherheitsluecken gerne mit Verspaetung reagiert.



Daran kannst du aber auch nix mit nem SecurityScanner ändern 

und NMAP als 'nur n Portscanner' zu bezeichnen ist eine leichte Untertreibung 
Aber im Endeffekt ist es egal, womit du scanst. Ein offener Port ist prinzipiell immer ein Angriffspunkt. Und wenn du einen Scanner mit Bannergrabbing hast, siehst du i.d.R. auch, welcher Dienst in welcher Version läuft und kannst selbst schaun, ob hierzu Sicherheitslücken bekannt sind. (Das macht Nessus automatisch, ist allerdings nie ganz auf dem aktuellen Stand).


----------



## Dennis Wronka (13. Januar 2005)

Ja okay, Nmap ist auf jeden Fall ein echt schickes Tool. Und ich kann Dir auch nur Recht geben, dass es nix nuetzt wenn man nur weiss dass da 'ne Luecke ist.
Selbst wenn Nessus nicht immer ganz aktuell ist, ist's auf jeden Fall eine ganz gute Hilfe um eine Ueberblick zu haben wie es mit dem Risiko aussieht. Erspart einem auf jeden Fall 'ne ganze Menge Arbeit selbst nach den Infos zu suchen. Und die CERT-Links sind auch ganz praktisch. Ich denke darueber findet man dann auch recht fix Informationen zu gegebenfalls neueren Luecken im gleichen Dienst.


----------



## MCIglo (13. Januar 2005)

Einigen wir uns darauf, dass es viele schicke Tools und viele Wege gibt, um die Schwachstellen zu finden


----------



## Dennis Wronka (13. Januar 2005)

Okay, das hoert sich vernuenftig an.
Ich hoffe es ist wenigstens soviel dabei rumgekommen, dass irgendwer der sich die Muehe macht unsere gedanklichen Erguesse zu lesen danach weiss was es so fuer Tools in der Richtung gibt.


----------



## MCIglo (13. Januar 2005)

Das ist fraglich. Musst doch nur mal schauen, wie viele Leute hier immernoch Outlook und IE verwenden...


----------



## Dennis Wronka (13. Januar 2005)

Ja okay.
Aber da ich sag ich nur: Selbst schuld. Gibt ja genug Alternativen ohne gleich das Betriebssystem wechseln zu muessen.
Ich hab ja mein Windows eigentlich nur noch zum Zocken.   Und wenn's da mal was zu browsen gibt hab ich ja den Mozilla.
Und ich will hier garnicht gross auf's Thema Linux zu sprechen kommen, dafuer sind wir hier im falschen Abteil.
Es soll halt nur mal gesagt sein, dass es mittlerweile auch Distributionen gibt die auch relativ einsteigerfreundlich sind. Und man darf einfach nicht erwarten, dass unter 'nem anderen Betriebssystem alles so ist wie man es von Windows her kennt.


----------



## grillse (13. Januar 2005)

*Re: Ordner ohne Namen löschen / Geeks unter sich*

Also das Problem besteht weiterhin.

Wenn jemand noch eine sinnvolle Lösung kennt soll er sich doch bitte in ICQ melden

ICQ: 178971528


----------



## Dennis Wronka (13. Januar 2005)

MCIglo hat gesagt.:
			
		

> Da er den Server aber ATM braucht, und der Eindringling über ein schwaches PW rein kam, wird er das ganze jetzt weiter beobachten und wenn es keine Probleme mehr gibt, formatieren, sobald die Zeit es zulässt.



Ich dachte soweit wie oben geschildert waere das schon geklaert.
Ansonsten gibt's ja auch noch meinen Vorschlag mit der Linux-Boot-CD mit dem Captive-Treiber. Ich glaub die neue Knoppix hat den.


----------

