Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Hackerangriff ?

Mitglied: 54291

54291 (Level 1)

26.09.2007, aktualisiert 30.09.2007, 12190 Aufrufe, 10 Kommentare

Ich habe einen WinXP SP2 mit Apache als Webserver laufen.
Als ich mich heute per Remote mit ihm verbunden habe (was ich nicht so oft tue) musste ich ein geöffnetes DOS Fenster und den Taskmanager erblicken.
Anbei ein Screenshot von dem DOS Fenster.

dac0bdca3d732d129644f0ba5c5e0e88-dos_fenster - Klicke auf das Bild, um es zu vergrößern

Kann mir jemand erklären, was da in dem Fenster steht, was da passiert ist?

Danke
Mitglied: aqui
26.09.2007 um 18:11 Uhr
Da hat scheinbar einer bei dir versucht über ein unsichers PHP Script, CGI oder was auch immer einen FTP oder TFTP Transfer zu starten um Daten auf oder von deinem Server zu holen.

Da kann man nur hoffen das du die Ports TCP 20 und TCP 21 in deiner Firewall gesperrt hats (FTP)

Wenn du das Fenster nicht selber vergessen hast gibts wohl wirklich ne undichte Stelle auf dem Server. Sollte einen bei Microsoft OS ja nicht besonders wundern....
Wie wärs mal mit einem Apache auf Linux ?
Bitte warten ..
Mitglied: 54291
26.09.2007 um 18:17 Uhr
Port 20 und 21 sind nicht offen, FTP läuft nicht.
Könnte es auch über einen anderen Port möglich sein?
Apache mit Linux wäre schön, aber mit Linux kenne ich mich leider gar nicht aus.
Vielleicht werde ich das ganze einfach nach 1und1 umziehen.

Aber du meinst, das jemand über FTP versucht hat etwas aufzuspielen oder herunterzuladen.
Das ist ein Ding.
Wie kann ich noch da gegen schützen? PC hängt hinter Router FritzBox.
In der Box ist nur ein Port 3292 geöffnet. Auf dem PC ist noch eine extra Firewall und Virenschutz von McAfee installiert.
Bitte warten ..
Mitglied: 51705
26.09.2007 um 20:21 Uhr
Aber du meinst, das jemand über FTP
versucht hat etwas aufzuspielen oder
herunterzuladen.

Unwahrscheinlich, eher hatte jemand per RDP oder physisch Zugriff auf den Rechner.

EDIT:
Quatsch gelöscht.

EDIT2:
Die Aussage zur Sicherheit von MS / Linux ist nicht gerade objektiv.
Bitte warten ..
Mitglied: 54291
26.09.2007 um 21:25 Uhr
@ srmerlin
also meinst du, dass wirklich jemand auf dem rechner war (sich damit verbunden hat)?
oder war es nur ein virus, trojaner oder so der ein automatisches script ausgeführt hat?

ich weiß noch nicht wie ich mich davor schütze. am besten "power off"
Bitte warten ..
Mitglied: 51705
26.09.2007 um 22:19 Uhr
Du hast einen Screenshot vom Desktop, also muß jemand am Desktop gearbeitet haben. Virus, Hacker, etc. sind da unwahrscheinlich.
Bitte warten ..
Mitglied: 54291
26.09.2007 um 22:53 Uhr
den screenshot habe ich selber gemacht.
ich habe mich heute mal wieder seit ca. 1 Woche mit dem Server per RDP mit dem Server verbunden und habe das geöffnete DOS Fenster und den geöffneten Taskmanager vorgefunden.
Ich bin mir zu 100% sicher, dass ich das selber nicht war.
sonst kann es von meinem pc auch niemand gewesen sein. (kein wlan usw.)
Bitte warten ..
Mitglied: 51705
26.09.2007 um 23:18 Uhr
Die Screenshots laufen doch im User-Kontext, also hat jemand die Login-Daten.
Bitte warten ..
Mitglied: gnarff
30.09.2007 um 00:23 Uhr
Hallo rbueld!

Das was da auf dem Server waltet und schaltet hat einen Namen: Backdoor.Win32.Rbot.dvd
Das erkennt man daran, dass die Datei mswinsvcr.exe vorhanden ist.
Avira hat dem Schaedling den Namen Worm/IrcBot.uxm gegeben.
Du darfst Deinen Server neu aufsetzen...

saludos
gnarff
Bitte warten ..
Mitglied: 54291
30.09.2007 um 10:05 Uhr
Danke gnarff, mal eine richtig gute Antwort. Zwar keine Erfreuliche aber jetzt weiß ich woran ich bin.
Du meinst Server neu aufsetzen?
Meint ihr nicht das ein Antivirus Programm oder ein Adaware oder Spyware Programm das Vieh wegbekommt?
Ich werde auf jeden Fall mal ein bisschen ausprobieren. Bis dahin bleibt er vom Netz.
Den Virenscanner hatte ich auch schon nach dem Angriff laufen lassen, reine vorsichtsmassnahme aber er hat nichts gefunden.
Bitte warten ..
Mitglied: gnarff
30.09.2007 um 16:20 Uhr
Danke gnarff, mal eine richtig gute Antwort.
Zwar keine Erfreuliche aber jetzt weiß
ich woran ich bin.
Du meinst Server neu aufsetzen?
Produktionsumgebung = Neu Aufsetzen

saludos
gnarff
Bitte warten ..
Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 3 StundenHumor (lol)1 Kommentar

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 15 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 16 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 19 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...