Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win2k Server SP4Free und unsichtbare ftp-Verzeichnisse

Mitglied: Levy

Levy (Level 1) - Jetzt verbinden

22.08.2006, aktualisiert 23.08.2006, 5702 Aufrufe, 4 Kommentare

Ordner und Dateien mit der Zeichenkette ftp sind unsichtbar bzw. werden versteckt

Hallo zusammen,

ich habe hier einen Windows 2000 Server mit SP4 und allen aktuellen Patches, auf dem unter anderem der IIS installiert ist. Hautpsächlich wird dieser Server zum Austausch von Info-Daten per FTP verwendet (Anonymous natürlich deaktiviert; Basisverzeichnis d:\ftproot). Seit heute Vormittag jedoch geht gar nichts mehr: Verzeichnisse und Dateien, die die Zeichenfolge "ftp" beinhalten, werden nicht mehr angezeigt. Ich kann z.B. ein Verzeichnis "temp" anlegen und es ist ohne Probleme sichtbar. Sobald ich dieses Verzeichnis umbenenne in "irgendftpwas" verschwindet es spurlos (bzw. wird versteckt). Ein Versuch das Verzeichnis erneut anzulegen wird mit "existiert schon" quittiert.

Nun habe ich hier schon einige Beiträge gefunden, bei denen etwas ähnliches durch Root-Kits aufgetreten ist. Nachdem ich nun bis eben mit BlackLight und Konsorten zumindest soweit gekommen bin, dass ich sehe, dass die Verzeichnisse zwar vorhanden sind, aber vor der Windows-API versteckt werden, hänge ich fest.

Mit BL hatte ich es auch kurzzeitig schon mal so weit, dass mir das Verzeichnis "ftproot" (das ist das Wichtigste) angezeigt wurde. Nach einem Neustart des Servers war es aber wieder verschwunden und das Spiel ging von vorne los.

Ich habe keine Idee, was ich nun noch machen soll... Weiss jemand von Euch einen Rat?

Vielen Dank und viele Grüße
Levy
Mitglied: 16568
22.08.2006 um 23:21 Uhr
So, wenn Du schon ma weißt, daß Dein Server von einem Rootkit befallen ist, hast Du die Möglichkeit, das Ding ausfindig zu machen.
Die Registry solltest Du nicht mit regedit, sondern mit regedt32 durchsuchen, dann sollte auch da alles korrekt angezeigt werden.

Im allgemeinen sind Rootkits eben durch ihr auffälliges Verhalten sehr schnell zu identifizieren.

Nutz' mal HiJackThis, um einen Scan des aktuellen Speichers zu haben, vielleicht findest Du da was außergewöhnliches; kannst auch das Logfile hier posten.

Des Weiteren, scan die Registry wie oben genannt, nach ftp; sollte auch was ausspucken.


Lonesome Walker
PS: Wo ist gnarff, wenn man ihn braucht; ich bin mir sicher, er weiß wahrscheinlich sogar den exakten Namen des Rootkits!
Bitte warten ..
Mitglied: Levy
23.08.2006 um 09:55 Uhr
Hallo Lonesome,

erstmal vielen Dank für Deine Antwort. Ganz so sicher bin ich mir da nicht, dass es ein Rootkit ist. Die Registry habe ich gerade mal mit Regedt32 durchforstet, aber außer der Standard-Einträge für ftp (also unter Protocol etc.) nichts gefunden. Hier mal das Log von HijackThis:

--- Schnipp ---

Logfile of HijackThis v1.99.1
Scan saved at 10:27:49, on 23.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Trend\SProtect\SpntSvc.exe
C:\Programme\Trend\SProtect\StWatchDog.exe
C:\Programme\Trend\SProtect\StOPP.exe
C:\Programme\Trend\SProtect\EarthAgent.exe
C:\WINNT\System32\svchost.exe
c:\PROGRA~1\HPS\EHT\Program\hpsmcsvc.exe
c:\PROGRA~1\HPS\EHT\Program\CONSOLEAGENT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\wmiprvse.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\wupdmngr.exe
C:\Programme\VMware\VMware Tools\VMwareService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.exe
C:\Programme\VMware\VMware Tools\VMwareTray.exe
C:\Programme\VMware\VMware Tools\VMwareUser.exe
C:\Programme\WinCMD\TOTALCMD.EXE
C:\Temp\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe SMCardSrv.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [AlarmWiz] C:\Programme\AlarmWiz\alarmwiz.exe startup
O4 - Global Startup: AboutTime.lnk = C:\Programme\AboutTime\AboutTime.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8D1F6E9-AE35-4534-83D0-8540C69ACE81}: NameServer = 212.121.128.1,212.121.130.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4E9A2FD-8F8D-4486-A2F8-5862847C0937}: NameServer = 212.121.128.1,212.121.128.2,212.121.130.5,217.110.35.35
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Trend ServerProtect Agent (EarthAgent) - Trend Micro Inc. - C:\Programme\Trend\SProtect\EarthAgent.exe
O23 - Service: Persits Software Email Agent (EmailAgent) - Persits Software, Inc. - C:\PROGRA~1\PERSIT~1\AspEmail\EMAILA~1\BIN\EMAILA~1.EXE
O23 - Service: Attachmate HPS Management Console Agent (HPSMCSRVC) - Unknown owner - c:\PROGRA~1\HPS\EHT\Program\hpsmcsvc.exe
O23 - Service: Microsoft DCOM PC Service (mspcdcom) - Unknown owner - C:\WINNT\System32\mspcdcom.exe (file missing)
O23 - Service: NetOp Helper ver. 7.60 (2003246) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: Resultant Set of Policy Provider (rspp) - Unknown owner - cmd /c start C:\WINNT\system32\wmiprvse.exe (file missing)
O23 - Service: Trend ServerProtect (SpntSvc) - Trend Micro Inc. - C:\Programme\Trend\SProtect\SpntSvc.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe
O23 - Service: Windows Product Activation (wpa) - Unknown owner - C:\WINNT\system32\wpa.exe (file missing)

--- Schnapp ---

Zu erwähnen wäre noch, dass es sich um einen virtuellen Server handelt, der auf einer ESX-Linux-Maschine läuft. Zusätzlich installiert sind lediglich ServerProtect und das Host Publishing System von Attachmate. In dem Log sieht doch eigentlich auch alles normal aus, oder?

Ciao,
Levy
Bitte warten ..
Mitglied: 16568
23.08.2006 um 14:13 Uhr
Poste mal Dein Logfile hier rein:

http://www.hijackthis.de

Dann wirst Du schon sehen...

(speziell: C:\WINNT\System32\wupdmngr.exe )



Lonesome Walker
Bitte warten ..
Mitglied: 16568
23.08.2006 um 14:53 Uhr
Ah, habe ganz vergessen *peinlich*:

http://www.f-secure.de/blacklight/

Das solltest Du auch mal drübergucken lassen...


Lonesome Walker
Bitte warten ..
Ähnliche Inhalte
Batch & Shell

Update mehrerer Verzeichnisse auf FTP-Server

gelöst Frage von caspi-pirnaBatch & Shell3 Kommentare

Hallo zusammen, ich habe aktuell das Problem, dass ich mehrere lokale Verzeichnisse mit denen auf einem FTP-Server synchron halten ...

Windows Server

Portierung IIS6 Virtuelle FTP Verzeichnisse nach IIS8 FTP

Frage von flopWindows Server1 Kommentar

Hallo gibt es einen Weg wie man gespeicherte Konfiguration von virtuellen FTP Verzeichnissen (XML) in den IIS8 importieren kann? ...

Batch & Shell

FTP-SSL Synchronisation bestimmter Ordner bzw. Verzeichnisse

Frage von 115129Batch & Shell4 Kommentare

Guten Abend, seit Tagen suche ich per Google nach Lösungsansätze wie zwei FTP-Server via Batchscript synchronisiert werden können, schlussendlich ...

LAN, WAN, Wireless

SSID sichtbar oder unsichtbar?

gelöst Frage von JohnMcClaneLAN, WAN, Wireless11 Kommentare

Hallo zusammen, es gibt viele verschiedene Meinungen zu diesem Thema. Ich halte es so, dass ich die SSID sichtbar ...

Neue Wissensbeiträge
CPU, RAM, Mainboards
Spectre Update Tool für ältere PCs
Information von sabines vor 1 StundeCPU, RAM, Mainboards1 Kommentar

Mit Hilfe eines Tools wird der betreffende PC permanent von einem USB Stick gestartet, der ein passendes Microcode Update ...

Windows 10
Windows 10 Oktober 2018 Update: Es ist wieder da
Tipp von Bowsette vor 10 StundenWindows 101 Kommentar

Ein neuer Versuch von Microsoft das Windows 10 Oktober 2018 Update, auch bekannt als 1809, an den Mann zu ...

Windows Server

Windows Server 2016: Achtung - ab heute gibt es wieder Express Updates

Information von kgborn vor 20 StundenWindows Server1 Kommentar

Kurze Info für Administratoren, die Windows Server 2016 per WSUS/SCCM mit Updates betanken. Ab heute gibt es für Windows ...

Windows Netzwerk
Windows Admin Center - Sagt was ihr braucht!
Tipp von Juanito vor 2 TagenWindows Netzwerk18 Kommentare

Hallo zusammen, der ein- oder andere hat sicherlich schon vom Windows Admin Center gehört. - Microsoft's neue Adminkonsole welche ...

Heiß diskutierte Inhalte
Entwicklung
Meine Nachbarn sehen meinen Internet Trafic
gelöst Frage von beatnguEntwicklung52 Kommentare

Hallo Also ich wohne in einem Mehrparteien Haus mit 24 wohnungen. Meine nachbaren im letzten stock fummeln immer an ...

Microsoft Office
Lizenzierung
Frage von opc123Microsoft Office29 Kommentare

Hallo, eventuell ein oft bekanntes Thema. Office 365 ist mir zu teuer, da wir als Bildungsträger andere Konditionen beim ...

Windows 10
Windows 10 mit CRITICAL PROCESS DIED
Frage von liquidbaseWindows 1028 Kommentare

Das aktuelle Problem was ich habe steht bereits im Threadtitel. Etwas mehr zum Hintergrund soll nun folgen. Problemkind ist ...

Voice over IP
Andere Rufnummer bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom anzeigen
Frage von vafk18Voice over IP19 Kommentare

Ich möchte bei abgehenden Gesprächen vom All-IP-Anschluß der Telekom meine Handynummer hinterlegen, damit ich Rückrufe jederzeit empfangen kann. Derzeit ...