Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Finde Eindringling im Netzwerk nicht!

Frage Sicherheit Erkennung und -Abwehr

Mitglied: sandman99

sandman99 (Level 1) - Jetzt verbinden

21.06.2007, aktualisiert 10:23 Uhr, 4264 Aufrufe, 1 Kommentar

Hallo,

habe folgendes Problem:

Serverumgebung mit 7 Win2000 und NT4.0 Servern in einer gemischten Domäne. Nun kam eine neuer Server als Terminalserver hinzu, welcher über dyndns angesprochen werden soll. Nach Einrichtung des Servers bekam ich kein connect und habe kurzfristig alle Ports des Routers für ca. 2min geöffnet, um zu sehen, ob es an einem Port oder aber an der Installation des Servers lag. Zugriff funktionierte, somit musste nur ein Port fehlen.
In diesen 2min erfolgte von draussen ein Zugriff über VNC auf den Server! Command Zeile wurde geöffnet, blitzschnell einige Befehle eingegeben, Taskmanager öffnete sich mehrfach etc. Ich zog umgehend den Stecker des Routers und das wars. Scannte schnell den Server mit nen Virenscanner, fand aber nichts.
Alle Ports des Routers sind wieder geschlossen und es war ein paar Tage Ruhe. Dann erfolgte auf einen Client ein Angriff, selbes Schema wie beim Server. Daraufhin scannte ich alle Server als auch den Client zusätzlich mit S&D, ohne das was gefunden wurde. Lediglich auf einem anderen Server fand ich 4 Trojaner, welche entfernt wurden.
Da die Sache mir nun zu heikel war, habe ich bei dyndns den Zugang als auch die Domain geändert, Passwort des Routers auch geändert und den Terminalserver neu installiert.
Im Moment ist kein Dyndns aktiv und heute erfolgte auf dem selben Client wieder kurzfristig eine Aktion, command-zeile, Taskmanger, ca. 5sec lang. Die selbe AKtion erfolgte jetzt auch auf einem anderen Server.
Was kann ich tun? Wie kann ich den Eindringling finden und was macht er?

Vielen Dank für eure Vorschläge!

Gruß

P.S.: Es erfolgt permanent ein Upload von ca. 10K....kann aber normal sein, denke ich....


Problem ist gelöst, wenn es jemanden interessiert:

Alle Virenscanner oder aber Antispyprogramme wir Spybot S&D, Antispy, Ad-Aware und wie sie alle heißen, haben nichts gefuden, rein gar nichts. Allerdings wusste ich, das sich noch etwas auf dem Server befand. Nach ca. 10min zeigte jetzt ein anderer Win2000 Server die Problematik, das eine SVCHOST.exe Datei im Taskmanager ca 90% CPU Leistung fraß und das gesamte Netzwerk, speziell das Internet in die Knie ging. Beenden konnte man den Prozeß nicht, nach einem Neustart des Servers stellte sich das Problem nach 10-15min wieder ein.

Nun setzte ich den Packetlyzer ein, um zu sehen, was sich den in dem Netz so alles tut. Nach einer gewissen Zeit wurde vom Server aus das gesamte lokale Netz gescannt und zwar auf dem Port 5900, welcher bekanntlich für VNC da ist. Jetzt setzte ich einen Port Scanner ein, um zu sehen, ob womöglich eine Verbindung in das Internet aufgebaut wird. Ich stellte fest , das dieses Problem von einer fremden SVCHOST.exe verursacht wurde. Der Portscanner zeigte mir wohin die Verbindung und von wo diese Verbindung aufgebaut wurde. In dem Verzeichnis "Gemeinsame Dateien" ertsellte der Angreifer einen Unterordner mit dem Namen "Systemdate" und darin war die fälschliche SVCHOST.exe, welche für alles verantwortlich war (Ordner als Systemorder getarnt). Nun war es einfach, regedit, alles nach diesen Eintrag absuchen, löschen und den "Systemdate" Ordner löschen , das wars.
Vermutlich ergab sich folgende Arbetsweise des Trojaners:

Eindringen ins System, bei Rechnern mit Adminrechten einschreiben in die Registrierung, erstellen des Ordeners "Systemdate", löschen der cmd zeilen, löschen des eigentlichen Trojaners-> kein Scanner findet mehr den Eindringling, Trojaner als SVCHOST.exe getarnt....

Dies funktioniert aber scheinbar nur bei Win2000/2003/XP Rechnern/Servern, denn bei einem NT4.0 Server wurde der eigentliche Trojaner vom Virenscanner nach dem Scannen gefunden, da er sich wohl bei "alten" System nicht einnisten kann.

So, mag mich jeder korrigieren, is lang geworden, war aber dennoch die Kurzform.

Möglichrweise ist dies für viele ein alter Hut, aber ich habe nichts darüber gefunden und vielleicht ist es für den ein oder anderen hilfreich.

Zu guter letzt kann man sagen: verlasst euch niemals auf die Scanner Viren/Antispy, wie man sieht nützen diese nicht 100% und immer Augen auf.....

Schönen Tag noch

/closed
Mitglied: cykes
21.06.2007 um 10:23 Uhr
Hi,

zunächst einmal würde ich sämtliche Maschinen im abgesicherten Modus mit Virenscanner und S&D
durchscannen (mindestens aber die Maschinen, auf denen irgendwelche "Aktionen" bemerkt
wurden). Am besten die Maschinen vorher komplett vom Netz trennen.

Wenn ich das richtig verstanden habe, verwendet ihr für die Remote-Administration VNC.
Das in jedem Fall auf die aktuelle Version updaten und am besten wäre sowieso eine
VPN Verbidung zur Fernadministration und auch für den Zugriff auf den Terminalserver.
Dann braucht nur der VPN Port nach aussen offen zu sein und sonst nichts.
Selbst ein nicht 100% sicheres PPTP (Microsoft) VPN ist besser als direkter Zugriff per
VNC/Remote Desktop über DynDNS.

Gruß

cykes
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 10
Finde keine Geräte im Netzwerk über WLAN (5)

Frage von mixmastertobsi zum Thema Windows 10 ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (3)

Frage von griss0r zum Thema Windows Netzwerk ...

Monitoring
Netzwerk-Qualität Monitoring Toolempfehlung (8)

Frage von michmeie zum Thema Monitoring ...

Windows 10
Plötzlich kein Netzwerk mehr (13)

Frage von ZeroCool23 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...