Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win2k Server SP4Free und unsichtbare ftp-Verzeichnisse

Mitglied: Levy

Levy (Level 1) - Jetzt verbinden

22.08.2006, aktualisiert 23.08.2006, 5677 Aufrufe, 4 Kommentare

Ordner und Dateien mit der Zeichenkette ftp sind unsichtbar bzw. werden versteckt

Hallo zusammen,

ich habe hier einen Windows 2000 Server mit SP4 und allen aktuellen Patches, auf dem unter anderem der IIS installiert ist. Hautpsächlich wird dieser Server zum Austausch von Info-Daten per FTP verwendet (Anonymous natürlich deaktiviert; Basisverzeichnis d:\ftproot). Seit heute Vormittag jedoch geht gar nichts mehr: Verzeichnisse und Dateien, die die Zeichenfolge "ftp" beinhalten, werden nicht mehr angezeigt. Ich kann z.B. ein Verzeichnis "temp" anlegen und es ist ohne Probleme sichtbar. Sobald ich dieses Verzeichnis umbenenne in "irgendftpwas" verschwindet es spurlos (bzw. wird versteckt). Ein Versuch das Verzeichnis erneut anzulegen wird mit "existiert schon" quittiert.

Nun habe ich hier schon einige Beiträge gefunden, bei denen etwas ähnliches durch Root-Kits aufgetreten ist. Nachdem ich nun bis eben mit BlackLight und Konsorten zumindest soweit gekommen bin, dass ich sehe, dass die Verzeichnisse zwar vorhanden sind, aber vor der Windows-API versteckt werden, hänge ich fest.

Mit BL hatte ich es auch kurzzeitig schon mal so weit, dass mir das Verzeichnis "ftproot" (das ist das Wichtigste) angezeigt wurde. Nach einem Neustart des Servers war es aber wieder verschwunden und das Spiel ging von vorne los.

Ich habe keine Idee, was ich nun noch machen soll... Weiss jemand von Euch einen Rat?

Vielen Dank und viele Grüße
Levy
Mitglied: 16568
22.08.2006 um 23:21 Uhr
So, wenn Du schon ma weißt, daß Dein Server von einem Rootkit befallen ist, hast Du die Möglichkeit, das Ding ausfindig zu machen.
Die Registry solltest Du nicht mit regedit, sondern mit regedt32 durchsuchen, dann sollte auch da alles korrekt angezeigt werden.

Im allgemeinen sind Rootkits eben durch ihr auffälliges Verhalten sehr schnell zu identifizieren.

Nutz' mal HiJackThis, um einen Scan des aktuellen Speichers zu haben, vielleicht findest Du da was außergewöhnliches; kannst auch das Logfile hier posten.

Des Weiteren, scan die Registry wie oben genannt, nach ftp; sollte auch was ausspucken.


Lonesome Walker
PS: Wo ist gnarff, wenn man ihn braucht; ich bin mir sicher, er weiß wahrscheinlich sogar den exakten Namen des Rootkits!
Bitte warten ..
Mitglied: Levy
23.08.2006 um 09:55 Uhr
Hallo Lonesome,

erstmal vielen Dank für Deine Antwort. Ganz so sicher bin ich mir da nicht, dass es ein Rootkit ist. Die Registry habe ich gerade mal mit Regedt32 durchforstet, aber außer der Standard-Einträge für ftp (also unter Protocol etc.) nichts gefunden. Hier mal das Log von HijackThis:

--- Schnipp ---

Logfile of HijackThis v1.99.1
Scan saved at 10:27:49, on 23.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Trend\SProtect\SpntSvc.exe
C:\Programme\Trend\SProtect\StWatchDog.exe
C:\Programme\Trend\SProtect\StOPP.exe
C:\Programme\Trend\SProtect\EarthAgent.exe
C:\WINNT\System32\svchost.exe
c:\PROGRA~1\HPS\EHT\Program\hpsmcsvc.exe
c:\PROGRA~1\HPS\EHT\Program\CONSOLEAGENT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\wmiprvse.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\wupdmngr.exe
C:\Programme\VMware\VMware Tools\VMwareService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.exe
C:\Programme\VMware\VMware Tools\VMwareTray.exe
C:\Programme\VMware\VMware Tools\VMwareUser.exe
C:\Programme\WinCMD\TOTALCMD.EXE
C:\Temp\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe SMCardSrv.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [AlarmWiz] C:\Programme\AlarmWiz\alarmwiz.exe startup
O4 - Global Startup: AboutTime.lnk = C:\Programme\AboutTime\AboutTime.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8D1F6E9-AE35-4534-83D0-8540C69ACE81}: NameServer = 212.121.128.1,212.121.130.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4E9A2FD-8F8D-4486-A2F8-5862847C0937}: NameServer = 212.121.128.1,212.121.128.2,212.121.130.5,217.110.35.35
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Trend ServerProtect Agent (EarthAgent) - Trend Micro Inc. - C:\Programme\Trend\SProtect\EarthAgent.exe
O23 - Service: Persits Software Email Agent (EmailAgent) - Persits Software, Inc. - C:\PROGRA~1\PERSIT~1\AspEmail\EMAILA~1\BIN\EMAILA~1.EXE
O23 - Service: Attachmate HPS Management Console Agent (HPSMCSRVC) - Unknown owner - c:\PROGRA~1\HPS\EHT\Program\hpsmcsvc.exe
O23 - Service: Microsoft DCOM PC Service (mspcdcom) - Unknown owner - C:\WINNT\System32\mspcdcom.exe (file missing)
O23 - Service: NetOp Helper ver. 7.60 (2003246) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Resultant Set of Policy Provider (rspp) - Unknown owner - cmd /c start C:\WINNT\system32\wmiprvse.exe (file missing)
O23 - Service: Trend ServerProtect (SpntSvc) - Trend Micro Inc. - C:\Programme\Trend\SProtect\SpntSvc.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe
O23 - Service: Windows Product Activation (wpa) - Unknown owner - C:\WINNT\system32\wpa.exe (file missing)

--- Schnapp ---

Zu erwähnen wäre noch, dass es sich um einen virtuellen Server handelt, der auf einer ESX-Linux-Maschine läuft. Zusätzlich installiert sind lediglich ServerProtect und das Host Publishing System von Attachmate. In dem Log sieht doch eigentlich auch alles normal aus, oder?

Ciao,
Levy
Bitte warten ..
Mitglied: 16568
23.08.2006 um 14:13 Uhr
Poste mal Dein Logfile hier rein:

http://www.hijackthis.de

Dann wirst Du schon sehen...

(speziell: C:\WINNT\System32\wupdmngr.exe )



Lonesome Walker
Bitte warten ..
Mitglied: 16568
23.08.2006 um 14:53 Uhr
Ah, habe ganz vergessen *peinlich*:

http://www.f-secure.de/blacklight/

Das solltest Du auch mal drübergucken lassen...


Lonesome Walker
Bitte warten ..
Ähnliche Inhalte
Batch & Shell

Update mehrerer Verzeichnisse auf FTP-Server

gelöst Frage von caspi-pirnaBatch & Shell3 Kommentare

Hallo zusammen, ich habe aktuell das Problem, dass ich mehrere lokale Verzeichnisse mit denen auf einem FTP-Server synchron halten ...

Windows Server

Portierung IIS6 Virtuelle FTP Verzeichnisse nach IIS8 FTP

Frage von flopWindows Server1 Kommentar

Hallo gibt es einen Weg wie man gespeicherte Konfiguration von virtuellen FTP Verzeichnissen (XML) in den IIS8 importieren kann? ...

Batch & Shell

FTP-SSL Synchronisation bestimmter Ordner bzw. Verzeichnisse

Frage von BlattlausOGBatch & Shell4 Kommentare

Guten Abend, seit Tagen suche ich per Google nach Lösungsansätze wie zwei FTP-Server via Batchscript synchronisiert werden können, schlussendlich ...

LAN, WAN, Wireless

SSID sichtbar oder unsichtbar?

gelöst Frage von JohnMcClaneLAN, WAN, Wireless11 Kommentare

Hallo zusammen, es gibt viele verschiedene Meinungen zu diesem Thema. Ich halte es so, dass ich die SSID sichtbar ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 5 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 12 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 15 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...