Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

System versucht sich illegal auf anderem System, im Internet, anzumelden

Mitglied: MSC

MSC (Level 1) - Jetzt verbinden

05.01.2009, aktualisiert 11:27 Uhr, 4454 Aufrufe, 6 Kommentare

Habe das Problem das ein Windows Rechner sich versucht illegal auf einem anderen System, im Internet, über den Port 81 anzumelden.

Hallo Leute,
in meinem Netzwerk, mit Fester-externer IP, habe ich das Problem das aus meinem Netzwerk heraus ein anderer Rechner angegeriffen wird.

Mein Netzwerk ist über eine IP-COP FW an das Internet angebunden.

Habe herrausgefunden wie die angegriffene externe IP lautet und das über den Port 81 eine Anmeldung an diesem System versucht wird.
Verschieden Usernamen und Passwörter. (Brute-1Fors-Attack)
Meine auch den betreffenden Rechner im Netzwerk lokalisiert zu haben.

Mein Problem ist aber das genau auf diesem Rechner zwei Netzwerkdienste laufen.

Dies ist zum einen ein PublicShare Folder Server
(Erweiteret ein lokales Outlook um es mit anderen Usern gleichzeitig zu Nutzen)
und die Server Komponente von GDATA's Client/ Server Antiviren Schutz.

Kann den Rechner also nicht einfach über einen längeren Zeitraum ausschalten um festzustellen ob er der Übertäter auch wirklich ist.

Festgestellt habe ich das Ziel der Attaken mit dem Tool "IPTarf" auf der IP-Cop Firewall so wie auch die lokale IP des Rechner von dem der Angriff ausgeht.

Der betreffende Rechner ist ein Windows XP Pro mit SP3 und allen weiteren Patchen.
Aktiver und aktuelle Virenschutz

Meine Frage ist wie kann ich feststellen, mit hilfe eines Tools, was auf dem System los ist und wer für die Angriffe verantwortlich ist.

Ein durchgeführter Scan mit einer bootbaren CD brachte keinen Viren Befall?!

Einer eine Idee?

Mit freundlichen grüßen

MSC
Mitglied: aqui
05.01.2009 um 11:50 Uhr
Warum sperrst du dann nicht einfach in der IPCop Firewall ausgehende IP Pakete mit Port 81 von diesem Rechner ???

Damit hast du die Angriffe erstmal unterbunden kannst aber den Rechner untersuchen und als Share Folder Server usw. weiternutzen ohne ihn einschränken zu müssen ???
Bitte warten ..
Mitglied: MSC
05.01.2009 um 11:59 Uhr
Hallo aqui,

habe ich auch schon daran gedacht aber noch nicht durchgeführt.

Will halt wissen was dafür verandwortlich ist.

Werde jetz erst einmal den Port Sperren.

Gruß

MSC
Bitte warten ..
Mitglied: aqui
05.01.2009 um 13:06 Uhr
Das hindert dich ja nicht nachzusehen was dafür verantwortlich ist !!
Es verhindert erstmal lediglich das die Angriffe über den Port 81 von dir nicht mehr in die weite Internet Welt gelangen....der Server wird es aber weiter versuchen...lokal kannst du dann in Ruhe weiteranalysieren !

Schliess einen Sniffer wie den Wireshark oder den MS-NetMonitor an und sieh dir diese ominösen Port 81 Pakete einmal an.
Nach Inhalt und Zieladresse kann man mit Dr. Googles Hilfe relativ schnell rausbekommen wer der Verursacher ist....

Könnte dieser sein:
http://www.glocksoft.com/trojan_list/RemoConChubo.htm

und so wird man ihn wieder los:
http://www.exterminate-it.com/malpedia/remove-remoconchubo
http://www.2-spyware.com/remove-remoconchubo.html
Bitte warten ..
Mitglied: harald21
05.01.2009 um 14:56 Uhr
Hallo,

als erstes würde ich auf der Firewall den Port sperren, damit die Angriffe nicht mehr ins Internet gelangen. Danach kannst du dann intern in aller Ruhe analysieren, was denn da eigentlich los ist.

Du kannst z.B. mit dem Tool TCPView (www.sysinternals.com) herausfinden, welches lokale Programm versucht die Verbindung aufzubauen.

mfg
Harald
Bitte warten ..
Mitglied: MSC
08.01.2009 um 10:16 Uhr
Hallo Harald,
bei der Version der IPCop FW die ich einsetze kann ich einzelne Ports nicht sperren.
Habe das System so umkonfiguriert das kein Anfragen vom Server mher ins Internet gelangen und somit auch nicht die Attacke.

Habe in der zwischen Zeit einen prozezs auf dem Server gefunden wo die betreffenee externe IP benutz wird.

Konnte allerdings noch nicht herrausfinden wie der Diesnt heißt, wo er liegt und wie er gestartet wird.

MfG
MSC
Bitte warten ..
Mitglied: MSC
08.01.2009 um 10:19 Uhr
Hallo aqui,

nach meienr ersten Analyse dachte ich das es ein Windows Rechner sein würde der den Qutsch macht.
Ist aber der Linux Server.

MfG
MSC
Bitte warten ..
Ähnliche Inhalte
Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

Information von BassFishFoxDatenschutz9 Kommentare

Ein weiteres Beispiel, wie krank Datenschutz ist. KopfSchuettel BFF

Rechtliche Fragen

Illegale Software benutzung im Unternehmen

gelöst Frage von Lasky94Rechtliche Fragen41 Kommentare

Sehr geehrte Damen und Herren, Wichtig zu wissen: ich bin noch in Ausbildung, mir fehlt noch einen Jahr, bis ...

Windows Netzwerk

Client Versucht SSL Verbindung (ausschalten)

Frage von 2SeitenWindows Netzwerk5 Kommentare

Hallo Zusammen, Ich habe einen Computer mit SQL Server 2014 Express und einem Programm (Drittanbieter) welches eine Verbindung zu ...

Netzwerkmanagement

Cisco Switch upgrade: Illegal software format

gelöst Frage von WinLiCLINetzwerkmanagement8 Kommentare

Hallo zusammen, ich habe hier einen 24-Port 10/100 PoE Smart Switch von Cisco den ich gerne upgraden möchte. Momentan ist ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 23 StundenWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...