4
Kann Ursache für DoS-Attacke nicht finden
Suche nach Ursache für DoS-Attacke über Port 80
Hallo,
wir haben auf einem Server (Win2008 Standard) seit vergangenem Freitag ein unidentifiziertes Programm, welches per Port 80 viele hunderte Verbindungen zu verschiedenen externen IP-Adressen aufbaut. Ergebnis: die Firewall lahmte und eine WebSeite eines uns bekannten Unternehmens ging in die Kniee.
Habe sofort auf der Firewall dem Server verboten, ins Internet zu kommen und das IPS schärfer eingestellt.
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Ich bin ratlos und will den Server nicht einfach neu installieren, ist nämlich unser Exchange...
Hat jemand eine Idee??
vG
LS
wir haben auf einem Server (Win2008 Standard) seit vergangenem Freitag ein unidentifiziertes Programm, welches per Port 80 viele hunderte Verbindungen zu verschiedenen externen IP-Adressen aufbaut. Ergebnis: die Firewall lahmte und eine WebSeite eines uns bekannten Unternehmens ging in die Kniee.
Habe sofort auf der Firewall dem Server verboten, ins Internet zu kommen und das IPS schärfer eingestellt.
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Ich bin ratlos und will den Server nicht einfach neu installieren, ist nämlich unser Exchange...
Hat jemand eine Idee??
vG
LS
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 155095
Url: https://administrator.de/contentid/155095
Printed on: April 20, 2024 at 03:04 o'clock
4 Comments
Latest comment
Hallo,
hast du mal mit TCPview geschaut, welcher Prozess diese Verbindungen aufbaut?
Gruß
Neomatic
hast du mal mit TCPview geschaut, welcher Prozess diese Verbindungen aufbaut?
Gruß
Neomatic
Hallo,
Dein Server ist nicht auch noch Proxy oder Router?
Gruß,
Peter
Zitat von @laster:
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Du wirst doch erkennen können welcher prozess die Verbindungen aufbaut? Ein netstat -on oder -oa hilft dir da doch erstmal weiter. Dann gibt es noch so viele Hilfsmittel wie z.B. TCPView von www.sysinternals.com.Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Dein Server ist nicht auch noch Proxy oder Router?
Gruß,
Peter
Hallo Neomatic, hallo Pjordorf,
das ist mit jetzt richtig peinlich, dass ich auf diese einfache Sache nicht gekommen bin!
Das Programm, welches die DoS-Attacken durchführt ist "c:\Program Files\System Center Operations Manager 2007\MonitoringHost.exe" und gehört zum Microsoft System-Center-Operations-Manager. Gehört zum Agenten für unse Monitoring System. Habe gleich mal per MD5 die EXE mit den anderen (auf den anderen Servern) verglichen, ist identisch. Aber die anderen Server fahren keine Attacken.
Jetzt ist die Frage, warum tut der SCOM-Agent sowas??
vG
LS
das ist mit jetzt richtig peinlich, dass ich auf diese einfache Sache nicht gekommen bin!
Das Programm, welches die DoS-Attacken durchführt ist "c:\Program Files\System Center Operations Manager 2007\MonitoringHost.exe" und gehört zum Microsoft System-Center-Operations-Manager. Gehört zum Agenten für unse Monitoring System. Habe gleich mal per MD5 die EXE mit den anderen (auf den anderen Servern) verglichen, ist identisch. Aber die anderen Server fahren keine Attacken.
Jetzt ist die Frage, warum tut der SCOM-Agent sowas??
vG
LS
HAllo,
zum Abschluss die Auflösung:
Der SCOM-Agent hatte die (definierte) Aufgabe, unserer Webseite auf Verfügbarkeit zu prüfen. Und dann gab es noch die (übersehene) Option, auch alle Links (Verlinkungen zu anderen Seiten) auf der Seite zu prüfen.
Warum die WebSeite des oben erwähnten Unternehmens dadurch ein Problem bkam, weiss ich nicht. Jedenfalls haben wir die Link-Überprüfung deaktiviert und damit das Problem behoben.
vG
LS
zum Abschluss die Auflösung:
Der SCOM-Agent hatte die (definierte) Aufgabe, unserer Webseite auf Verfügbarkeit zu prüfen. Und dann gab es noch die (übersehene) Option, auch alle Links (Verlinkungen zu anderen Seiten) auf der Seite zu prüfen.
Warum die WebSeite des oben erwähnten Unternehmens dadurch ein Problem bkam, weiss ich nicht. Jedenfalls haben wir die Link-Überprüfung deaktiviert und damit das Problem behoben.
vG
LS
