1
Finde Eindringling im Netzwerk nicht!
Hallo,
habe folgendes Problem:
Serverumgebung mit 7 Win2000 und NT4.0 Servern in einer gemischten Domäne. Nun kam eine neuer Server als Terminalserver hinzu, welcher über dyndns angesprochen werden soll. Nach Einrichtung des Servers bekam ich kein connect und habe kurzfristig alle Ports des Routers für ca. 2min geöffnet, um zu sehen, ob es an einem Port oder aber an der Installation des Servers lag. Zugriff funktionierte, somit musste nur ein Port fehlen.
In diesen 2min erfolgte von draussen ein Zugriff über VNC auf den Server! Command Zeile wurde geöffnet, blitzschnell einige Befehle eingegeben, Taskmanager öffnete sich mehrfach etc. Ich zog umgehend den Stecker des Routers und das wars. Scannte schnell den Server mit nen Virenscanner, fand aber nichts.
Alle Ports des Routers sind wieder geschlossen und es war ein paar Tage Ruhe. Dann erfolgte auf einen Client ein Angriff, selbes Schema wie beim Server. Daraufhin scannte ich alle Server als auch den Client zusätzlich mit S&D, ohne das was gefunden wurde. Lediglich auf einem anderen Server fand ich 4 Trojaner, welche entfernt wurden.
Da die Sache mir nun zu heikel war, habe ich bei dyndns den Zugang als auch die Domain geändert, Passwort des Routers auch geändert und den Terminalserver neu installiert.
Im Moment ist kein Dyndns aktiv und heute erfolgte auf dem selben Client wieder kurzfristig eine Aktion, command-zeile, Taskmanger, ca. 5sec lang. Die selbe AKtion erfolgte jetzt auch auf einem anderen Server.
Was kann ich tun? Wie kann ich den Eindringling finden und was macht er?
Vielen Dank für eure Vorschläge!
Gruß
P.S.: Es erfolgt permanent ein Upload von ca. 10K....kann aber normal sein, denke ich....
Problem ist gelöst, wenn es jemanden interessiert:
Alle Virenscanner oder aber Antispyprogramme wir Spybot S&D, Antispy, Ad-Aware und wie sie alle heißen, haben nichts gefuden, rein gar nichts. Allerdings wusste ich, das sich noch etwas auf dem Server befand. Nach ca. 10min zeigte jetzt ein anderer Win2000 Server die Problematik, das eine SVCHOST.exe Datei im Taskmanager ca 90% CPU Leistung fraß und das gesamte Netzwerk, speziell das Internet in die Knie ging. Beenden konnte man den Prozeß nicht, nach einem Neustart des Servers stellte sich das Problem nach 10-15min wieder ein.
Nun setzte ich den Packetlyzer ein, um zu sehen, was sich den in dem Netz so alles tut. Nach einer gewissen Zeit wurde vom Server aus das gesamte lokale Netz gescannt und zwar auf dem Port 5900, welcher bekanntlich für VNC da ist. Jetzt setzte ich einen Port Scanner ein, um zu sehen, ob womöglich eine Verbindung in das Internet aufgebaut wird. Ich stellte fest , das dieses Problem von einer fremden SVCHOST.exe verursacht wurde. Der Portscanner zeigte mir wohin die Verbindung und von wo diese Verbindung aufgebaut wurde. In dem Verzeichnis "Gemeinsame Dateien" ertsellte der Angreifer einen Unterordner mit dem Namen "Systemdate" und darin war die fälschliche SVCHOST.exe, welche für alles verantwortlich war (Ordner als Systemorder getarnt). Nun war es einfach, regedit, alles nach diesen Eintrag absuchen, löschen und den "Systemdate" Ordner löschen , das wars.
Vermutlich ergab sich folgende Arbetsweise des Trojaners:
Eindringen ins System, bei Rechnern mit Adminrechten einschreiben in die Registrierung, erstellen des Ordeners "Systemdate", löschen der cmd zeilen, löschen des eigentlichen Trojaners-> kein Scanner findet mehr den Eindringling, Trojaner als SVCHOST.exe getarnt....
Dies funktioniert aber scheinbar nur bei Win2000/2003/XP Rechnern/Servern, denn bei einem NT4.0 Server wurde der eigentliche Trojaner vom Virenscanner nach dem Scannen gefunden, da er sich wohl bei "alten" System nicht einnisten kann.
So, mag mich jeder korrigieren, is lang geworden, war aber dennoch die Kurzform.
Möglichrweise ist dies für viele ein alter Hut, aber ich habe nichts darüber gefunden und vielleicht ist es für den ein oder anderen hilfreich.
Zu guter letzt kann man sagen: verlasst euch niemals auf die Scanner Viren/Antispy, wie man sieht nützen diese nicht 100% und immer Augen auf.....
Schönen Tag noch
/closed
habe folgendes Problem:
Serverumgebung mit 7 Win2000 und NT4.0 Servern in einer gemischten Domäne. Nun kam eine neuer Server als Terminalserver hinzu, welcher über dyndns angesprochen werden soll. Nach Einrichtung des Servers bekam ich kein connect und habe kurzfristig alle Ports des Routers für ca. 2min geöffnet, um zu sehen, ob es an einem Port oder aber an der Installation des Servers lag. Zugriff funktionierte, somit musste nur ein Port fehlen.
In diesen 2min erfolgte von draussen ein Zugriff über VNC auf den Server! Command Zeile wurde geöffnet, blitzschnell einige Befehle eingegeben, Taskmanager öffnete sich mehrfach etc. Ich zog umgehend den Stecker des Routers und das wars. Scannte schnell den Server mit nen Virenscanner, fand aber nichts.
Alle Ports des Routers sind wieder geschlossen und es war ein paar Tage Ruhe. Dann erfolgte auf einen Client ein Angriff, selbes Schema wie beim Server. Daraufhin scannte ich alle Server als auch den Client zusätzlich mit S&D, ohne das was gefunden wurde. Lediglich auf einem anderen Server fand ich 4 Trojaner, welche entfernt wurden.
Da die Sache mir nun zu heikel war, habe ich bei dyndns den Zugang als auch die Domain geändert, Passwort des Routers auch geändert und den Terminalserver neu installiert.
Im Moment ist kein Dyndns aktiv und heute erfolgte auf dem selben Client wieder kurzfristig eine Aktion, command-zeile, Taskmanger, ca. 5sec lang. Die selbe AKtion erfolgte jetzt auch auf einem anderen Server.
Was kann ich tun? Wie kann ich den Eindringling finden und was macht er?
Vielen Dank für eure Vorschläge!
Gruß
P.S.: Es erfolgt permanent ein Upload von ca. 10K....kann aber normal sein, denke ich....
Problem ist gelöst, wenn es jemanden interessiert:
Alle Virenscanner oder aber Antispyprogramme wir Spybot S&D, Antispy, Ad-Aware und wie sie alle heißen, haben nichts gefuden, rein gar nichts. Allerdings wusste ich, das sich noch etwas auf dem Server befand. Nach ca. 10min zeigte jetzt ein anderer Win2000 Server die Problematik, das eine SVCHOST.exe Datei im Taskmanager ca 90% CPU Leistung fraß und das gesamte Netzwerk, speziell das Internet in die Knie ging. Beenden konnte man den Prozeß nicht, nach einem Neustart des Servers stellte sich das Problem nach 10-15min wieder ein.
Nun setzte ich den Packetlyzer ein, um zu sehen, was sich den in dem Netz so alles tut. Nach einer gewissen Zeit wurde vom Server aus das gesamte lokale Netz gescannt und zwar auf dem Port 5900, welcher bekanntlich für VNC da ist. Jetzt setzte ich einen Port Scanner ein, um zu sehen, ob womöglich eine Verbindung in das Internet aufgebaut wird. Ich stellte fest , das dieses Problem von einer fremden SVCHOST.exe verursacht wurde. Der Portscanner zeigte mir wohin die Verbindung und von wo diese Verbindung aufgebaut wurde. In dem Verzeichnis "Gemeinsame Dateien" ertsellte der Angreifer einen Unterordner mit dem Namen "Systemdate" und darin war die fälschliche SVCHOST.exe, welche für alles verantwortlich war (Ordner als Systemorder getarnt). Nun war es einfach, regedit, alles nach diesen Eintrag absuchen, löschen und den "Systemdate" Ordner löschen , das wars.
Vermutlich ergab sich folgende Arbetsweise des Trojaners:
Eindringen ins System, bei Rechnern mit Adminrechten einschreiben in die Registrierung, erstellen des Ordeners "Systemdate", löschen der cmd zeilen, löschen des eigentlichen Trojaners-> kein Scanner findet mehr den Eindringling, Trojaner als SVCHOST.exe getarnt....
Dies funktioniert aber scheinbar nur bei Win2000/2003/XP Rechnern/Servern, denn bei einem NT4.0 Server wurde der eigentliche Trojaner vom Virenscanner nach dem Scannen gefunden, da er sich wohl bei "alten" System nicht einnisten kann.
So, mag mich jeder korrigieren, is lang geworden, war aber dennoch die Kurzform.
Möglichrweise ist dies für viele ein alter Hut, aber ich habe nichts darüber gefunden und vielleicht ist es für den ein oder anderen hilfreich.
Zu guter letzt kann man sagen: verlasst euch niemals auf die Scanner Viren/Antispy, wie man sieht nützen diese nicht 100% und immer Augen auf.....
Schönen Tag noch
/closed
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 61941
Url: https://administrator.de/contentid/61941
Printed on: April 26, 2024 at 22:04 o'clock
1 Comment
Hi,
zunächst einmal würde ich sämtliche Maschinen im abgesicherten Modus mit Virenscanner und S&D
durchscannen (mindestens aber die Maschinen, auf denen irgendwelche "Aktionen" bemerkt
wurden). Am besten die Maschinen vorher komplett vom Netz trennen.
Wenn ich das richtig verstanden habe, verwendet ihr für die Remote-Administration VNC.
Das in jedem Fall auf die aktuelle Version updaten und am besten wäre sowieso eine
VPN Verbidung zur Fernadministration und auch für den Zugriff auf den Terminalserver.
Dann braucht nur der VPN Port nach aussen offen zu sein und sonst nichts.
Selbst ein nicht 100% sicheres PPTP (Microsoft) VPN ist besser als direkter Zugriff per
VNC/Remote Desktop über DynDNS.
Gruß
cykes
zunächst einmal würde ich sämtliche Maschinen im abgesicherten Modus mit Virenscanner und S&D
durchscannen (mindestens aber die Maschinen, auf denen irgendwelche "Aktionen" bemerkt
wurden). Am besten die Maschinen vorher komplett vom Netz trennen.
Wenn ich das richtig verstanden habe, verwendet ihr für die Remote-Administration VNC.
Das in jedem Fall auf die aktuelle Version updaten und am besten wäre sowieso eine
VPN Verbidung zur Fernadministration und auch für den Zugriff auf den Terminalserver.
Dann braucht nur der VPN Port nach aussen offen zu sein und sonst nichts.
Selbst ein nicht 100% sicheres PPTP (Microsoft) VPN ist besser als direkter Zugriff per
VNC/Remote Desktop über DynDNS.
Gruß
cykes