54291
Sep 26, 2007, updated at Sep 30, 2007 (UTC)
12557
10
0
Hackerangriff ?
Ich habe einen WinXP SP2 mit Apache als Webserver laufen.
Als ich mich heute per Remote mit ihm verbunden habe (was ich nicht so oft tue) musste ich ein geöffnetes DOS Fenster und den Taskmanager erblicken.
Anbei ein Screenshot von dem DOS Fenster.
Kann mir jemand erklären, was da in dem Fenster steht, was da passiert ist?
Danke
Als ich mich heute per Remote mit ihm verbunden habe (was ich nicht so oft tue) musste ich ein geöffnetes DOS Fenster und den Taskmanager erblicken.
Anbei ein Screenshot von dem DOS Fenster.
Kann mir jemand erklären, was da in dem Fenster steht, was da passiert ist?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 69598
Url: https://administrator.de/contentid/69598
Printed on: April 26, 2024 at 07:04 o'clock
10 Comments
Latest comment
Da hat scheinbar einer bei dir versucht über ein unsichers PHP Script, CGI oder was auch immer einen FTP oder TFTP Transfer zu starten um Daten auf oder von deinem Server zu holen.
Da kann man nur hoffen das du die Ports TCP 20 und TCP 21 in deiner Firewall gesperrt hats (FTP)
Wenn du das Fenster nicht selber vergessen hast gibts wohl wirklich ne undichte Stelle auf dem Server. Sollte einen bei Microsoft OS ja nicht besonders wundern....
Wie wärs mal mit einem Apache auf Linux ?
Da kann man nur hoffen das du die Ports TCP 20 und TCP 21 in deiner Firewall gesperrt hats (FTP)
Wenn du das Fenster nicht selber vergessen hast gibts wohl wirklich ne undichte Stelle auf dem Server. Sollte einen bei Microsoft OS ja nicht besonders wundern....
Wie wärs mal mit einem Apache auf Linux ?
Port 20 und 21 sind nicht offen, FTP läuft nicht.
Könnte es auch über einen anderen Port möglich sein?
Apache mit Linux wäre schön, aber mit Linux kenne ich mich leider gar nicht aus.
Vielleicht werde ich das ganze einfach nach 1und1 umziehen.
Aber du meinst, das jemand über FTP versucht hat etwas aufzuspielen oder herunterzuladen.
Das ist ein Ding.
Wie kann ich noch da gegen schützen? PC hängt hinter Router FritzBox.
In der Box ist nur ein Port 3292 geöffnet. Auf dem PC ist noch eine extra Firewall und Virenschutz von McAfee installiert.
Könnte es auch über einen anderen Port möglich sein?
Apache mit Linux wäre schön, aber mit Linux kenne ich mich leider gar nicht aus.
Vielleicht werde ich das ganze einfach nach 1und1 umziehen.
Aber du meinst, das jemand über FTP versucht hat etwas aufzuspielen oder herunterzuladen.
Das ist ein Ding.
Wie kann ich noch da gegen schützen? PC hängt hinter Router FritzBox.
In der Box ist nur ein Port 3292 geöffnet. Auf dem PC ist noch eine extra Firewall und Virenschutz von McAfee installiert.
Aber du meinst, das jemand über FTP
versucht hat etwas aufzuspielen oder
herunterzuladen.
versucht hat etwas aufzuspielen oder
herunterzuladen.
Unwahrscheinlich, eher hatte jemand per RDP oder physisch Zugriff auf den Rechner.
EDIT:
Quatsch gelöscht.
EDIT2:
Die Aussage zur Sicherheit von MS / Linux ist nicht gerade objektiv.
@ srmerlin
also meinst du, dass wirklich jemand auf dem rechner war (sich damit verbunden hat)?
oder war es nur ein virus, trojaner oder so der ein automatisches script ausgeführt hat?
ich weiß noch nicht wie ich mich davor schütze. am besten "power off"
also meinst du, dass wirklich jemand auf dem rechner war (sich damit verbunden hat)?
oder war es nur ein virus, trojaner oder so der ein automatisches script ausgeführt hat?
ich weiß noch nicht wie ich mich davor schütze. am besten "power off"
Du hast einen Screenshot vom Desktop, also muß jemand am Desktop gearbeitet haben. Virus, Hacker, etc. sind da unwahrscheinlich.
den screenshot habe ich selber gemacht.
ich habe mich heute mal wieder seit ca. 1 Woche mit dem Server per RDP mit dem Server verbunden und habe das geöffnete DOS Fenster und den geöffneten Taskmanager vorgefunden.
Ich bin mir zu 100% sicher, dass ich das selber nicht war.
sonst kann es von meinem pc auch niemand gewesen sein. (kein wlan usw.)
ich habe mich heute mal wieder seit ca. 1 Woche mit dem Server per RDP mit dem Server verbunden und habe das geöffnete DOS Fenster und den geöffneten Taskmanager vorgefunden.
Ich bin mir zu 100% sicher, dass ich das selber nicht war.
sonst kann es von meinem pc auch niemand gewesen sein. (kein wlan usw.)
Die Screenshots laufen doch im User-Kontext, also hat jemand die Login-Daten.
Hallo rbueld!
Das was da auf dem Server waltet und schaltet hat einen Namen: Backdoor.Win32.Rbot.dvd
Das erkennt man daran, dass die Datei mswinsvcr.exe vorhanden ist.
Avira hat dem Schaedling den Namen Worm/IrcBot.uxm gegeben.
Du darfst Deinen Server neu aufsetzen...
saludos
gnarff
Das was da auf dem Server waltet und schaltet hat einen Namen: Backdoor.Win32.Rbot.dvd
Das erkennt man daran, dass die Datei mswinsvcr.exe vorhanden ist.
Avira hat dem Schaedling den Namen Worm/IrcBot.uxm gegeben.
Du darfst Deinen Server neu aufsetzen...
saludos
gnarff
Danke gnarff, mal eine richtig gute Antwort. Zwar keine Erfreuliche aber jetzt weiß ich woran ich bin.
Du meinst Server neu aufsetzen?
Meint ihr nicht das ein Antivirus Programm oder ein Adaware oder Spyware Programm das Vieh wegbekommt?
Ich werde auf jeden Fall mal ein bisschen ausprobieren. Bis dahin bleibt er vom Netz.
Den Virenscanner hatte ich auch schon nach dem Angriff laufen lassen, reine vorsichtsmassnahme aber er hat nichts gefunden.
Du meinst Server neu aufsetzen?
Meint ihr nicht das ein Antivirus Programm oder ein Adaware oder Spyware Programm das Vieh wegbekommt?
Ich werde auf jeden Fall mal ein bisschen ausprobieren. Bis dahin bleibt er vom Netz.
Den Virenscanner hatte ich auch schon nach dem Angriff laufen lassen, reine vorsichtsmassnahme aber er hat nichts gefunden.
Danke gnarff, mal eine richtig gute Antwort.
Zwar keine Erfreuliche aber jetzt weiß
ich woran ich bin.
Du meinst Server neu aufsetzen?
saludos
gnarff