Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win2k Server SP4Free und unsichtbare ftp-Verzeichnisse

Mitglied: Levy

Levy (Level 1) - Jetzt verbinden

22.08.2006, aktualisiert 23.08.2006, 5696 Aufrufe, 4 Kommentare

Ordner und Dateien mit der Zeichenkette ftp sind unsichtbar bzw. werden versteckt

Hallo zusammen,

ich habe hier einen Windows 2000 Server mit SP4 und allen aktuellen Patches, auf dem unter anderem der IIS installiert ist. Hautpsächlich wird dieser Server zum Austausch von Info-Daten per FTP verwendet (Anonymous natürlich deaktiviert; Basisverzeichnis d:\ftproot). Seit heute Vormittag jedoch geht gar nichts mehr: Verzeichnisse und Dateien, die die Zeichenfolge "ftp" beinhalten, werden nicht mehr angezeigt. Ich kann z.B. ein Verzeichnis "temp" anlegen und es ist ohne Probleme sichtbar. Sobald ich dieses Verzeichnis umbenenne in "irgendftpwas" verschwindet es spurlos (bzw. wird versteckt). Ein Versuch das Verzeichnis erneut anzulegen wird mit "existiert schon" quittiert.

Nun habe ich hier schon einige Beiträge gefunden, bei denen etwas ähnliches durch Root-Kits aufgetreten ist. Nachdem ich nun bis eben mit BlackLight und Konsorten zumindest soweit gekommen bin, dass ich sehe, dass die Verzeichnisse zwar vorhanden sind, aber vor der Windows-API versteckt werden, hänge ich fest.

Mit BL hatte ich es auch kurzzeitig schon mal so weit, dass mir das Verzeichnis "ftproot" (das ist das Wichtigste) angezeigt wurde. Nach einem Neustart des Servers war es aber wieder verschwunden und das Spiel ging von vorne los.

Ich habe keine Idee, was ich nun noch machen soll... Weiss jemand von Euch einen Rat?

Vielen Dank und viele Grüße
Levy
Mitglied: 16568
22.08.2006 um 23:21 Uhr
So, wenn Du schon ma weißt, daß Dein Server von einem Rootkit befallen ist, hast Du die Möglichkeit, das Ding ausfindig zu machen.
Die Registry solltest Du nicht mit regedit, sondern mit regedt32 durchsuchen, dann sollte auch da alles korrekt angezeigt werden.

Im allgemeinen sind Rootkits eben durch ihr auffälliges Verhalten sehr schnell zu identifizieren.

Nutz' mal HiJackThis, um einen Scan des aktuellen Speichers zu haben, vielleicht findest Du da was außergewöhnliches; kannst auch das Logfile hier posten.

Des Weiteren, scan die Registry wie oben genannt, nach ftp; sollte auch was ausspucken.


Lonesome Walker
PS: Wo ist gnarff, wenn man ihn braucht; ich bin mir sicher, er weiß wahrscheinlich sogar den exakten Namen des Rootkits!
Bitte warten ..
Mitglied: Levy
23.08.2006 um 09:55 Uhr
Hallo Lonesome,

erstmal vielen Dank für Deine Antwort. Ganz so sicher bin ich mir da nicht, dass es ein Rootkit ist. Die Registry habe ich gerade mal mit Regedt32 durchforstet, aber außer der Standard-Einträge für ftp (also unter Protocol etc.) nichts gefunden. Hier mal das Log von HijackThis:

--- Schnipp ---

Logfile of HijackThis v1.99.1
Scan saved at 10:27:49, on 23.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Trend\SProtect\SpntSvc.exe
C:\Programme\Trend\SProtect\StWatchDog.exe
C:\Programme\Trend\SProtect\StOPP.exe
C:\Programme\Trend\SProtect\EarthAgent.exe
C:\WINNT\System32\svchost.exe
c:\PROGRA~1\HPS\EHT\Program\hpsmcsvc.exe
c:\PROGRA~1\HPS\EHT\Program\CONSOLEAGENT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\wmiprvse.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\wupdmngr.exe
C:\Programme\VMware\VMware Tools\VMwareService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.exe
C:\Programme\VMware\VMware Tools\VMwareTray.exe
C:\Programme\VMware\VMware Tools\VMwareUser.exe
C:\Programme\WinCMD\TOTALCMD.EXE
C:\Temp\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe SMCardSrv.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [AlarmWiz] C:\Programme\AlarmWiz\alarmwiz.exe startup
O4 - Global Startup: AboutTime.lnk = C:\Programme\AboutTime\AboutTime.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8D1F6E9-AE35-4534-83D0-8540C69ACE81}: NameServer = 212.121.128.1,212.121.130.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4E9A2FD-8F8D-4486-A2F8-5862847C0937}: NameServer = 212.121.128.1,212.121.128.2,212.121.130.5,217.110.35.35
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Trend ServerProtect Agent (EarthAgent) - Trend Micro Inc. - C:\Programme\Trend\SProtect\EarthAgent.exe
O23 - Service: Persits Software Email Agent (EmailAgent) - Persits Software, Inc. - C:\PROGRA~1\PERSIT~1\AspEmail\EMAILA~1\BIN\EMAILA~1.EXE
O23 - Service: Attachmate HPS Management Console Agent (HPSMCSRVC) - Unknown owner - c:\PROGRA~1\HPS\EHT\Program\hpsmcsvc.exe
O23 - Service: Microsoft DCOM PC Service (mspcdcom) - Unknown owner - C:\WINNT\System32\mspcdcom.exe (file missing)
O23 - Service: NetOp Helper ver. 7.60 (2003246) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Resultant Set of Policy Provider (rspp) - Unknown owner - cmd /c start C:\WINNT\system32\wmiprvse.exe (file missing)
O23 - Service: Trend ServerProtect (SpntSvc) - Trend Micro Inc. - C:\Programme\Trend\SProtect\SpntSvc.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe
O23 - Service: Windows Product Activation (wpa) - Unknown owner - C:\WINNT\system32\wpa.exe (file missing)

--- Schnapp ---

Zu erwähnen wäre noch, dass es sich um einen virtuellen Server handelt, der auf einer ESX-Linux-Maschine läuft. Zusätzlich installiert sind lediglich ServerProtect und das Host Publishing System von Attachmate. In dem Log sieht doch eigentlich auch alles normal aus, oder?

Ciao,
Levy
Bitte warten ..
Mitglied: 16568
23.08.2006 um 14:13 Uhr
Poste mal Dein Logfile hier rein:

http://www.hijackthis.de

Dann wirst Du schon sehen...

(speziell: C:\WINNT\System32\wupdmngr.exe )



Lonesome Walker
Bitte warten ..
Mitglied: 16568
23.08.2006 um 14:53 Uhr
Ah, habe ganz vergessen *peinlich*:

http://www.f-secure.de/blacklight/

Das solltest Du auch mal drübergucken lassen...


Lonesome Walker
Bitte warten ..
Ähnliche Inhalte
Batch & Shell

Update mehrerer Verzeichnisse auf FTP-Server

gelöst Frage von caspi-pirnaBatch & Shell3 Kommentare

Hallo zusammen, ich habe aktuell das Problem, dass ich mehrere lokale Verzeichnisse mit denen auf einem FTP-Server synchron halten ...

Windows Server

Portierung IIS6 Virtuelle FTP Verzeichnisse nach IIS8 FTP

Frage von flopWindows Server1 Kommentar

Hallo gibt es einen Weg wie man gespeicherte Konfiguration von virtuellen FTP Verzeichnissen (XML) in den IIS8 importieren kann? ...

Batch & Shell

FTP-SSL Synchronisation bestimmter Ordner bzw. Verzeichnisse

Frage von 115129Batch & Shell4 Kommentare

Guten Abend, seit Tagen suche ich per Google nach Lösungsansätze wie zwei FTP-Server via Batchscript synchronisiert werden können, schlussendlich ...

LAN, WAN, Wireless

SSID sichtbar oder unsichtbar?

gelöst Frage von JohnMcClaneLAN, WAN, Wireless11 Kommentare

Hallo zusammen, es gibt viele verschiedene Meinungen zu diesem Thema. Ich halte es so, dass ich die SSID sichtbar ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 1 TagE-Mail5 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 1 TagHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 1 TagServer-Hardware4 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...

Windows 10
Best Practice für Schulungsräume
Frage von Sn0wFoxWindows 1016 Kommentare

Hallo, leider bin ich auch nach langer Suche nicht auf eine zufriedenstellende Nicht-Cloud-Lösung gestoßen und wollte mal Fragen ob ...