Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hackerangriff ?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: 54291

54291 (Level 1)

26.09.2007, aktualisiert 30.09.2007, 12134 Aufrufe, 10 Kommentare

Ich habe einen WinXP SP2 mit Apache als Webserver laufen.
Als ich mich heute per Remote mit ihm verbunden habe (was ich nicht so oft tue) musste ich ein geöffnetes DOS Fenster und den Taskmanager erblicken.
Anbei ein Screenshot von dem DOS Fenster.

dac0bdca3d732d129644f0ba5c5e0e88-dos_fenster - Klicke auf das Bild, um es zu vergrößern

Kann mir jemand erklären, was da in dem Fenster steht, was da passiert ist?

Danke
Mitglied: aqui
26.09.2007 um 18:11 Uhr
Da hat scheinbar einer bei dir versucht über ein unsichers PHP Script, CGI oder was auch immer einen FTP oder TFTP Transfer zu starten um Daten auf oder von deinem Server zu holen.

Da kann man nur hoffen das du die Ports TCP 20 und TCP 21 in deiner Firewall gesperrt hats (FTP)

Wenn du das Fenster nicht selber vergessen hast gibts wohl wirklich ne undichte Stelle auf dem Server. Sollte einen bei Microsoft OS ja nicht besonders wundern....
Wie wärs mal mit einem Apache auf Linux ?
Bitte warten ..
Mitglied: 54291
26.09.2007 um 18:17 Uhr
Port 20 und 21 sind nicht offen, FTP läuft nicht.
Könnte es auch über einen anderen Port möglich sein?
Apache mit Linux wäre schön, aber mit Linux kenne ich mich leider gar nicht aus.
Vielleicht werde ich das ganze einfach nach 1und1 umziehen.

Aber du meinst, das jemand über FTP versucht hat etwas aufzuspielen oder herunterzuladen.
Das ist ein Ding.
Wie kann ich noch da gegen schützen? PC hängt hinter Router FritzBox.
In der Box ist nur ein Port 3292 geöffnet. Auf dem PC ist noch eine extra Firewall und Virenschutz von McAfee installiert.
Bitte warten ..
Mitglied: 51705
26.09.2007 um 20:21 Uhr
Aber du meinst, das jemand über FTP
versucht hat etwas aufzuspielen oder
herunterzuladen.

Unwahrscheinlich, eher hatte jemand per RDP oder physisch Zugriff auf den Rechner.

EDIT:
Quatsch gelöscht.

EDIT2:
Die Aussage zur Sicherheit von MS / Linux ist nicht gerade objektiv.
Bitte warten ..
Mitglied: 54291
26.09.2007 um 21:25 Uhr
@ srmerlin
also meinst du, dass wirklich jemand auf dem rechner war (sich damit verbunden hat)?
oder war es nur ein virus, trojaner oder so der ein automatisches script ausgeführt hat?

ich weiß noch nicht wie ich mich davor schütze. am besten "power off"
Bitte warten ..
Mitglied: 51705
26.09.2007 um 22:19 Uhr
Du hast einen Screenshot vom Desktop, also muß jemand am Desktop gearbeitet haben. Virus, Hacker, etc. sind da unwahrscheinlich.
Bitte warten ..
Mitglied: 54291
26.09.2007 um 22:53 Uhr
den screenshot habe ich selber gemacht.
ich habe mich heute mal wieder seit ca. 1 Woche mit dem Server per RDP mit dem Server verbunden und habe das geöffnete DOS Fenster und den geöffneten Taskmanager vorgefunden.
Ich bin mir zu 100% sicher, dass ich das selber nicht war.
sonst kann es von meinem pc auch niemand gewesen sein. (kein wlan usw.)
Bitte warten ..
Mitglied: 51705
26.09.2007 um 23:18 Uhr
Die Screenshots laufen doch im User-Kontext, also hat jemand die Login-Daten.
Bitte warten ..
Mitglied: gnarff
30.09.2007 um 00:23 Uhr
Hallo rbueld!

Das was da auf dem Server waltet und schaltet hat einen Namen: Backdoor.Win32.Rbot.dvd
Das erkennt man daran, dass die Datei mswinsvcr.exe vorhanden ist.
Avira hat dem Schaedling den Namen Worm/IrcBot.uxm gegeben.
Du darfst Deinen Server neu aufsetzen...

saludos
gnarff
Bitte warten ..
Mitglied: 54291
30.09.2007 um 10:05 Uhr
Danke gnarff, mal eine richtig gute Antwort. Zwar keine Erfreuliche aber jetzt weiß ich woran ich bin.
Du meinst Server neu aufsetzen?
Meint ihr nicht das ein Antivirus Programm oder ein Adaware oder Spyware Programm das Vieh wegbekommt?
Ich werde auf jeden Fall mal ein bisschen ausprobieren. Bis dahin bleibt er vom Netz.
Den Virenscanner hatte ich auch schon nach dem Angriff laufen lassen, reine vorsichtsmassnahme aber er hat nichts gefunden.
Bitte warten ..
Mitglied: gnarff
30.09.2007 um 16:20 Uhr
Danke gnarff, mal eine richtig gute Antwort.
Zwar keine Erfreuliche aber jetzt weiß
ich woran ich bin.
Du meinst Server neu aufsetzen?
Produktionsumgebung = Neu Aufsetzen

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (22)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...