Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Virus greift Clients hinter Firewall an, wie kann das sein?

Mitglied: Huhjukel

Huhjukel (Level 1) - Jetzt verbinden

08.05.2006, aktualisiert 04.06.2006, 7460 Aufrufe, 6 Kommentare

Hallo,

ich hab vor ein paar Tagen den Virenscanner von Symantec auf Kaspersky umgestellt.

Seit her kommt an allen Arbeitsstationen regelmässig die Meldung:

Intrusion.Win.MSSQL.worm.Helkern;Der Angriff vom Protokoll UDP von der Adresse 201.51.3.75 am lokalen Port 1434 wurde erfolgreich abgewehrt.;06.05.2006 16:18:28


Wie kann es sein, dass trotz einer Firewall (Symantec Firewall\VPN 100) ein Client von ausen angegriffen werden kann?

Mfg Huhjukel
Mitglied: schlodfeger
08.05.2006 um 21:10 Uhr
1. die Datei wurde doch erfolgreich abgewehrt.
2. normalerweise schützt ja Firewall nicht vor Viren, sondern blockiert ausgehenden Verkehr !
3. überprüfe mal was dieser Wurm genau auslöst, könnte sein das die Datei zu einem Programm gehört und gar nicht gefährlich ist.

4. Norten Scanner ist Kapitel für sich, benutzte ihn auch und habe festgestellt, das man sich nicht wirklich sicher fühlen kann. (z.B.: automatische Updates, Einstellung verändert sich plötzlich)
Bitte warten ..
Mitglied: Huhjukel
09.05.2006 um 11:20 Uhr
zu. 1 Ok, darüber bin ich auch recht froh.

zu 2. Ein kleiner Ausschnitt aus dem Glossar:

Firewall

Sammelbezeichnung für Lösungen, die versuchen, LANs, welche ans Internet angeschlossen sind, vor unberechtigtem Zugriff aus diesem zu schützen.....

Wenn der Angriff von einer IP kommt die absolut nichts mit meinem Netzwerk zu tun hat, dann muss ich doch annehmen, dass dieser Angriff aus dem WAN kommt. Und da ich diesen Zugriff nicht angefordert habe, handelt es sich doch um einen unberechtigten Zugriff aus dem Internet, oder?

zu 3. Will ich lieber nicht ausprobieren.

zu 4. Hab deswegen ja auch zu Kaspersky gewechselt, wobei ich eigentlich wenig Probleme hatte.
Bitte warten ..
Mitglied: gnarff
12.05.2006 um 22:22 Uhr
das gute Stueck kennt man auch unter den namen SPIDA Worm.
er greift alle microsoft SQL-versionen ueber port 1433 an.
sobald er auf dem rechner ist, laedt er folgende dateien nach:
%SYSTEM%\sqlprocess.js
%SYSTEM%\sqlexec.js
5SYSTEM%\sqldir.js
%SYSTEM%\run
%SYSTEM%\sqlinstall.bat
%SYSTEM%\clemail.exe
%SYSTEM%\pwdump2.exe
%SYSTEM%\samdump.dll
%SYSTEM%\timer.dll
%SYSTEM%\drivers\services.exe
folgende links geben dir weitere informationen darueber, wie das schadprogramm arbeitet und wie man es wieder los wird (leider in englisch):
1. http://www.appsecinc.com/resources/alerts/mssql/02-0002.html
2.http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418

ich glaube allerdings NICHT, dass das schadprogramm bei dir "landen" konnte. deine firewall hat dir ja gemeldet, dass der angriff erfolgreich abgewehrt wurde.
obwohl...vertrauen ist gut, kontrolle ist besser. kostet ja nichts, mal den rechner auf oben genannte dateien zu ueberpruefen!

firewalls lassen sich aushebeln...

saludos
gnarff
Bitte warten ..
Mitglied: Huhjukel
17.05.2006 um 08:22 Uhr
.....
ich glaube allerdings NICHT, dass das
schadprogramm bei dir "landen"
konnte. deine firewall hat dir ja gemeldet,
dass der angriff erfolgreich abgewehrt
wurde.
.....

Ich glaub nicht das die Meldung von der Firewall ist. Die Meldung die aufpoppt, ist vom Kaperskytool, und nicht vom Hersteller der Firewall.

Oder meinst die beiden Geräte komunizieren miteinander?

Was mir allerdings sorgen bereitet, dass ich auf 5 von 6 Rechnern im Netzwerk die Meldung bekommen, dass Anfriffer erfolgt sind, nur auf dem 6 Rechner kommen keinen und genau auf diesem Rechner läuft die SQL-Datenbank.

Mfg Huhjukel
Bitte warten ..
Mitglied: Huhjukel
02.06.2006 um 21:22 Uhr
Soderle, jetzt gibt es eine ganz neue Situation.

Ich hab in den Router ein neues (aktuelles) Firmeware eingespielt, jetzt scheint es so, dass der Laden wieder dicht ist.

Was mich aber wundert, dass obwohl ich im Router eingestellt habe, dass er Angriffe protokolieren soll, keine Einträge vom Helkernvirus drin sind.

Mfg Huhjukel
Bitte warten ..
Mitglied: gnarff
04.06.2006 um 22:50 Uhr
Huhjuckel, du bist der einzigste, den ich kenne, der sich beschwert KEIN schadprogramm auf dem rechner zu haben...oder habe ich das jetzt falsch verstanden?!

Warum dein router nichts protokolliert, obwohl du das so eingestellt hast, liegt wahrscheinlich daran das es nichts zu protokollieren gab

warum pruefst du nicht nach, ob deine SQL-Datenbanken befallen sind, den link hatte ich dir ja schon einmal gegeben, APP-Detective runterladen (testversion) unter:
https://www.appsecinc.com/cgi-bin/agreement.pl?choice_made=AppDetective

von der gleichen firma, APPLICATION Security INC. gibt es auch noch das product APP-Radar, damit kannst du deine SQL-Datenbanken gezielt ueberwachen. download der testversion unter:https://www.appsecinc.com/cgi-bin/agreement.pl?choice_made=AppRadar

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung

Gruppenrichtlinien: Computerrichtlinie greift, Benutzerrichtlinie greift nicht

gelöst Frage von kevischeWindows Userverwaltung10 Kommentare

Die Gruppenrichtlinien wurden auf einem Server 2012r2 erstellt der gleichzeitig DomainController und DNS-Server ist. Die Namensauflösung funktioniert in beide ...

Firewall

Checkpoint Firewall - VPN CLient

gelöst Frage von Leo-leFirewall5 Kommentare

Guten Tag, gibt es hier zufällig jemanden, der eine Checkpoint R76 im Einsatz hat und den VPN Dienst nutzt? ...

Windows Server

Gruppenrichtlinie greift nicht zu!

gelöst Frage von SyosseWindows Server25 Kommentare

Hallo Jungs :) Die Frage wurde evtl schon oft gestellt, jedoch komme ich nach 2 Tage intensive Recherche und ...

Erkennung und -Abwehr

Kontosperrungsschwelle greift nicht

gelöst Frage von KMUlifeErkennung und -Abwehr18 Kommentare

Hallo zusammen! Ich habe mal wieder geprüft, ob die Kontosperrschwellen greifen. Diese funktionieren nicht wie gewünscht. Die Frage ist ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 2 StundenE-Mail1 Kommentar

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 StundenHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 7 StundenSicherheits-Tools

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 20 StundenServer-Hardware3 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server36 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
Kann DNS-Einträge nicht finden
gelöst Frage von BPeterWindows Server19 Kommentare

Hallo, wenn ich folgenden Befehl absetze, bekomme ich eine Liste zurück mit allen Einträgen der DNS-Zone. Wenn ich aber ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...