Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Finde Eindringling im Netzwerk nicht!

Frage Sicherheit Erkennung und -Abwehr

Mitglied: sandman99

sandman99 (Level 1) - Jetzt verbinden

21.06.2007, aktualisiert 10:23 Uhr, 4281 Aufrufe, 1 Kommentar

Hallo,

habe folgendes Problem:

Serverumgebung mit 7 Win2000 und NT4.0 Servern in einer gemischten Domäne. Nun kam eine neuer Server als Terminalserver hinzu, welcher über dyndns angesprochen werden soll. Nach Einrichtung des Servers bekam ich kein connect und habe kurzfristig alle Ports des Routers für ca. 2min geöffnet, um zu sehen, ob es an einem Port oder aber an der Installation des Servers lag. Zugriff funktionierte, somit musste nur ein Port fehlen.
In diesen 2min erfolgte von draussen ein Zugriff über VNC auf den Server! Command Zeile wurde geöffnet, blitzschnell einige Befehle eingegeben, Taskmanager öffnete sich mehrfach etc. Ich zog umgehend den Stecker des Routers und das wars. Scannte schnell den Server mit nen Virenscanner, fand aber nichts.
Alle Ports des Routers sind wieder geschlossen und es war ein paar Tage Ruhe. Dann erfolgte auf einen Client ein Angriff, selbes Schema wie beim Server. Daraufhin scannte ich alle Server als auch den Client zusätzlich mit S&D, ohne das was gefunden wurde. Lediglich auf einem anderen Server fand ich 4 Trojaner, welche entfernt wurden.
Da die Sache mir nun zu heikel war, habe ich bei dyndns den Zugang als auch die Domain geändert, Passwort des Routers auch geändert und den Terminalserver neu installiert.
Im Moment ist kein Dyndns aktiv und heute erfolgte auf dem selben Client wieder kurzfristig eine Aktion, command-zeile, Taskmanger, ca. 5sec lang. Die selbe AKtion erfolgte jetzt auch auf einem anderen Server.
Was kann ich tun? Wie kann ich den Eindringling finden und was macht er?

Vielen Dank für eure Vorschläge!

Gruß

P.S.: Es erfolgt permanent ein Upload von ca. 10K....kann aber normal sein, denke ich....


Problem ist gelöst, wenn es jemanden interessiert:

Alle Virenscanner oder aber Antispyprogramme wir Spybot S&D, Antispy, Ad-Aware und wie sie alle heißen, haben nichts gefuden, rein gar nichts. Allerdings wusste ich, das sich noch etwas auf dem Server befand. Nach ca. 10min zeigte jetzt ein anderer Win2000 Server die Problematik, das eine SVCHOST.exe Datei im Taskmanager ca 90% CPU Leistung fraß und das gesamte Netzwerk, speziell das Internet in die Knie ging. Beenden konnte man den Prozeß nicht, nach einem Neustart des Servers stellte sich das Problem nach 10-15min wieder ein.

Nun setzte ich den Packetlyzer ein, um zu sehen, was sich den in dem Netz so alles tut. Nach einer gewissen Zeit wurde vom Server aus das gesamte lokale Netz gescannt und zwar auf dem Port 5900, welcher bekanntlich für VNC da ist. Jetzt setzte ich einen Port Scanner ein, um zu sehen, ob womöglich eine Verbindung in das Internet aufgebaut wird. Ich stellte fest , das dieses Problem von einer fremden SVCHOST.exe verursacht wurde. Der Portscanner zeigte mir wohin die Verbindung und von wo diese Verbindung aufgebaut wurde. In dem Verzeichnis "Gemeinsame Dateien" ertsellte der Angreifer einen Unterordner mit dem Namen "Systemdate" und darin war die fälschliche SVCHOST.exe, welche für alles verantwortlich war (Ordner als Systemorder getarnt). Nun war es einfach, regedit, alles nach diesen Eintrag absuchen, löschen und den "Systemdate" Ordner löschen , das wars.
Vermutlich ergab sich folgende Arbetsweise des Trojaners:

Eindringen ins System, bei Rechnern mit Adminrechten einschreiben in die Registrierung, erstellen des Ordeners "Systemdate", löschen der cmd zeilen, löschen des eigentlichen Trojaners-> kein Scanner findet mehr den Eindringling, Trojaner als SVCHOST.exe getarnt....

Dies funktioniert aber scheinbar nur bei Win2000/2003/XP Rechnern/Servern, denn bei einem NT4.0 Server wurde der eigentliche Trojaner vom Virenscanner nach dem Scannen gefunden, da er sich wohl bei "alten" System nicht einnisten kann.

So, mag mich jeder korrigieren, is lang geworden, war aber dennoch die Kurzform.

Möglichrweise ist dies für viele ein alter Hut, aber ich habe nichts darüber gefunden und vielleicht ist es für den ein oder anderen hilfreich.

Zu guter letzt kann man sagen: verlasst euch niemals auf die Scanner Viren/Antispy, wie man sieht nützen diese nicht 100% und immer Augen auf.....

Schönen Tag noch

/closed
Mitglied: cykes
21.06.2007 um 10:23 Uhr
Hi,

zunächst einmal würde ich sämtliche Maschinen im abgesicherten Modus mit Virenscanner und S&D
durchscannen (mindestens aber die Maschinen, auf denen irgendwelche "Aktionen" bemerkt
wurden). Am besten die Maschinen vorher komplett vom Netz trennen.

Wenn ich das richtig verstanden habe, verwendet ihr für die Remote-Administration VNC.
Das in jedem Fall auf die aktuelle Version updaten und am besten wäre sowieso eine
VPN Verbidung zur Fernadministration und auch für den Zugriff auf den Terminalserver.
Dann braucht nur der VPN Port nach aussen offen zu sein und sonst nichts.
Selbst ein nicht 100% sicheres PPTP (Microsoft) VPN ist besser als direkter Zugriff per
VNC/Remote Desktop über DynDNS.

Gruß

cykes
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Neue MACs im Netzwerk automatisch finden (4)

Frage von MedicalAd zum Thema Netzwerke ...

Viren und Trojaner
Eindringling nimmt offenbar MongoDB-Datenbanken als Geisel (1)

Link von sabines zum Thema Viren und Trojaner ...

Monitoring
Internetleitung ausgelastet. Verursachenden Client finden (27)

Frage von fnatic zum Thema Monitoring ...

Monitoring
gelöst Netzwerkproblem ( Auslastung) mit Wireshark finden (4)

Frage von Thekivi zum Thema Monitoring ...

Neue Wissensbeiträge
Viren und Trojaner

Ransomware or Wiper? RedBoot Encrypts Files but also Modifies Partition Table

Information von BassFishFox zum Thema Viren und Trojaner ...

Notebook & Zubehör

WOL bei HP Notebooks

(6)

Erfahrungsbericht von Henere zum Thema Notebook & Zubehör ...

LAN, WAN, Wireless

Neue Cisco Catalyst-Serie 9000

Information von Kuemmel zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows 10
Netzwerkkarte schaltet sich erst nach dem Logon ein (23)

Frage von DerWoWusste zum Thema Windows 10 ...

Windows Server
Seit IP Umstellung DC DNS Fehler (18)

Frage von Yaimael zum Thema Windows Server ...

Netzwerke
Mobile Einwahl IPSec VPN von iPhone iPad T-Mobile zur Pfsense (16)

Frage von Spitzbube zum Thema Netzwerke ...

Weiterbildung
gelöst Fest angestellter Admin oder Systemhaus Admin mit Kundenbetreuung? (15)

Frage von Voiper zum Thema Weiterbildung ...