Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Finde Eindringling im Netzwerk nicht!

Frage Sicherheit Erkennung und -Abwehr

Mitglied: sandman99

sandman99 (Level 1) - Jetzt verbinden

21.06.2007, aktualisiert 10:23 Uhr, 4284 Aufrufe, 1 Kommentar

Hallo,

habe folgendes Problem:

Serverumgebung mit 7 Win2000 und NT4.0 Servern in einer gemischten Domäne. Nun kam eine neuer Server als Terminalserver hinzu, welcher über dyndns angesprochen werden soll. Nach Einrichtung des Servers bekam ich kein connect und habe kurzfristig alle Ports des Routers für ca. 2min geöffnet, um zu sehen, ob es an einem Port oder aber an der Installation des Servers lag. Zugriff funktionierte, somit musste nur ein Port fehlen.
In diesen 2min erfolgte von draussen ein Zugriff über VNC auf den Server! Command Zeile wurde geöffnet, blitzschnell einige Befehle eingegeben, Taskmanager öffnete sich mehrfach etc. Ich zog umgehend den Stecker des Routers und das wars. Scannte schnell den Server mit nen Virenscanner, fand aber nichts.
Alle Ports des Routers sind wieder geschlossen und es war ein paar Tage Ruhe. Dann erfolgte auf einen Client ein Angriff, selbes Schema wie beim Server. Daraufhin scannte ich alle Server als auch den Client zusätzlich mit S&D, ohne das was gefunden wurde. Lediglich auf einem anderen Server fand ich 4 Trojaner, welche entfernt wurden.
Da die Sache mir nun zu heikel war, habe ich bei dyndns den Zugang als auch die Domain geändert, Passwort des Routers auch geändert und den Terminalserver neu installiert.
Im Moment ist kein Dyndns aktiv und heute erfolgte auf dem selben Client wieder kurzfristig eine Aktion, command-zeile, Taskmanger, ca. 5sec lang. Die selbe AKtion erfolgte jetzt auch auf einem anderen Server.
Was kann ich tun? Wie kann ich den Eindringling finden und was macht er?

Vielen Dank für eure Vorschläge!

Gruß

P.S.: Es erfolgt permanent ein Upload von ca. 10K....kann aber normal sein, denke ich....


Problem ist gelöst, wenn es jemanden interessiert:

Alle Virenscanner oder aber Antispyprogramme wir Spybot S&D, Antispy, Ad-Aware und wie sie alle heißen, haben nichts gefuden, rein gar nichts. Allerdings wusste ich, das sich noch etwas auf dem Server befand. Nach ca. 10min zeigte jetzt ein anderer Win2000 Server die Problematik, das eine SVCHOST.exe Datei im Taskmanager ca 90% CPU Leistung fraß und das gesamte Netzwerk, speziell das Internet in die Knie ging. Beenden konnte man den Prozeß nicht, nach einem Neustart des Servers stellte sich das Problem nach 10-15min wieder ein.

Nun setzte ich den Packetlyzer ein, um zu sehen, was sich den in dem Netz so alles tut. Nach einer gewissen Zeit wurde vom Server aus das gesamte lokale Netz gescannt und zwar auf dem Port 5900, welcher bekanntlich für VNC da ist. Jetzt setzte ich einen Port Scanner ein, um zu sehen, ob womöglich eine Verbindung in das Internet aufgebaut wird. Ich stellte fest , das dieses Problem von einer fremden SVCHOST.exe verursacht wurde. Der Portscanner zeigte mir wohin die Verbindung und von wo diese Verbindung aufgebaut wurde. In dem Verzeichnis "Gemeinsame Dateien" ertsellte der Angreifer einen Unterordner mit dem Namen "Systemdate" und darin war die fälschliche SVCHOST.exe, welche für alles verantwortlich war (Ordner als Systemorder getarnt). Nun war es einfach, regedit, alles nach diesen Eintrag absuchen, löschen und den "Systemdate" Ordner löschen , das wars.
Vermutlich ergab sich folgende Arbetsweise des Trojaners:

Eindringen ins System, bei Rechnern mit Adminrechten einschreiben in die Registrierung, erstellen des Ordeners "Systemdate", löschen der cmd zeilen, löschen des eigentlichen Trojaners-> kein Scanner findet mehr den Eindringling, Trojaner als SVCHOST.exe getarnt....

Dies funktioniert aber scheinbar nur bei Win2000/2003/XP Rechnern/Servern, denn bei einem NT4.0 Server wurde der eigentliche Trojaner vom Virenscanner nach dem Scannen gefunden, da er sich wohl bei "alten" System nicht einnisten kann.

So, mag mich jeder korrigieren, is lang geworden, war aber dennoch die Kurzform.

Möglichrweise ist dies für viele ein alter Hut, aber ich habe nichts darüber gefunden und vielleicht ist es für den ein oder anderen hilfreich.

Zu guter letzt kann man sagen: verlasst euch niemals auf die Scanner Viren/Antispy, wie man sieht nützen diese nicht 100% und immer Augen auf.....

Schönen Tag noch

/closed
Mitglied: cykes
21.06.2007 um 10:23 Uhr
Hi,

zunächst einmal würde ich sämtliche Maschinen im abgesicherten Modus mit Virenscanner und S&D
durchscannen (mindestens aber die Maschinen, auf denen irgendwelche "Aktionen" bemerkt
wurden). Am besten die Maschinen vorher komplett vom Netz trennen.

Wenn ich das richtig verstanden habe, verwendet ihr für die Remote-Administration VNC.
Das in jedem Fall auf die aktuelle Version updaten und am besten wäre sowieso eine
VPN Verbidung zur Fernadministration und auch für den Zugriff auf den Terminalserver.
Dann braucht nur der VPN Port nach aussen offen zu sein und sonst nichts.
Selbst ein nicht 100% sicheres PPTP (Microsoft) VPN ist besser als direkter Zugriff per
VNC/Remote Desktop über DynDNS.

Gruß

cykes
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Bremse im Netzwerk finden
Frage von BenjieNetzwerke17 Kommentare

Hallo Zusammen, irgendwie bin ich mit meinem Latein am Ende, oder ich stehe vollkommen auf dem Schlauch und hoffe ...

Windows 10
Finde keine Geräte im Netzwerk über WLAN
Frage von mixmastertobsiWindows 105 Kommentare

Hallo Zusammen, ich habe ein sehr komisches "Problem" mit dem Netzwerk und habe eigentlich bereits alles versucht. Nun erstmal ...

LAN, WAN, Wireless
Fehler im Netzwerk finden
Frage von jujeizeLAN, WAN, Wireless4 Kommentare

Hi Admin-Community, mal angenommen ihr hättet merkwürdige Aussetzer in einem ganz kleinen Netzwerk, wie würdet ihr an die Sache ...

Netzwerke
Neue MACs im Netzwerk automatisch finden
Frage von MedicalAdNetzwerke4 Kommentare

Hallo, wir brauchen in unserem Netzwerk eine Art MAC-Finder, der automatisch erkennt wenn ein Neues Gerät sich im Netzwerk ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Microsoft Office
Outlook Cache Mode Frage
Frage von GwaihirMicrosoft Office11 Kommentare

Hallo zusammen, bin gerade neu in der Firma und lerne hier einige neue Dinge kennen. Zum Beispiel, dass die ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server11 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...

Windows 10
Windows 10 RDP nicht mehr möglich
Frage von speedy-luisWindows 1010 Kommentare

Hallo zusammen, seit ein paar Tagen kann ich in unserem Netzwerk auf die Windows 10 PCs keine RDP-Session mehr ...