Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kann Ursache für DoS-Attacke nicht finden

Frage Sicherheit Erkennung und -Abwehr

Mitglied: laster

laster (Level 2) - Jetzt verbinden

15.11.2010 um 13:30 Uhr, 4652 Aufrufe, 4 Kommentare

Suche nach Ursache für DoS-Attacke über Port 80

Hallo,

wir haben auf einem Server (Win2008 Standard) seit vergangenem Freitag ein unidentifiziertes Programm, welches per Port 80 viele hunderte Verbindungen zu verschiedenen externen IP-Adressen aufbaut. Ergebnis: die Firewall lahmte und eine WebSeite eines uns bekannten Unternehmens ging in die Kniee.
Habe sofort auf der Firewall dem Server verboten, ins Internet zu kommen und das IPS schärfer eingestellt.
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Ich bin ratlos und will den Server nicht einfach neu installieren, ist nämlich unser Exchange...
Hat jemand eine Idee??

vG
LS
Mitglied: Neomatic
15.11.2010 um 13:37 Uhr
Hallo,

hast du mal mit TCPview geschaut, welcher Prozess diese Verbindungen aufbaut?

Gruß

Neomatic
Bitte warten ..
Mitglied: Pjordorf
15.11.2010 um 13:43 Uhr
Hallo,

Zitat von laster:
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Du wirst doch erkennen können welcher prozess die Verbindungen aufbaut? Ein netstat -on oder -oa hilft dir da doch erstmal weiter. Dann gibt es noch so viele Hilfsmittel wie z.B. TCPView von www.sysinternals.com.

Dein Server ist nicht auch noch Proxy oder Router?

Gruß,
Peter
Bitte warten ..
Mitglied: laster
15.11.2010 um 15:10 Uhr
Hallo Neomatic, hallo Pjordorf,

das ist mit jetzt richtig peinlich, dass ich auf diese einfache Sache nicht gekommen bin!
Das Programm, welches die DoS-Attacken durchführt ist "c:\Program Files\System Center Operations Manager 2007\MonitoringHost.exe" und gehört zum Microsoft System-Center-Operations-Manager. Gehört zum Agenten für unse Monitoring System. Habe gleich mal per MD5 die EXE mit den anderen (auf den anderen Servern) verglichen, ist identisch. Aber die anderen Server fahren keine Attacken.
Jetzt ist die Frage, warum tut der SCOM-Agent sowas??

vG
LS
Bitte warten ..
Mitglied: laster
15.03.2011 um 20:49 Uhr
HAllo,

zum Abschluss die Auflösung:
Der SCOM-Agent hatte die (definierte) Aufgabe, unserer Webseite auf Verfügbarkeit zu prüfen. Und dann gab es noch die (übersehene) Option, auch alle Links (Verlinkungen zu anderen Seiten) auf der Seite zu prüfen.
Warum die WebSeite des oben erwähnten Unternehmens dadurch ein Problem bkam, weiss ich nicht. Jedenfalls haben wir die Link-Überprüfung deaktiviert und damit das Problem behoben.

vG
LS
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Computer finden den neuen WSUS nicht (33)

Frage von PizzaPepperoni zum Thema Windows Server ...

Batch & Shell
Nummerierte dateien lücke finden .batch (2)

Frage von franky89 zum Thema Batch & Shell ...

Switche und Hubs
gelöst Brücke zwischen zwei VLANS finden (9)

Frage von D1Ck3n zum Thema Switche und Hubs ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (16)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

CMS
Lokales Wordpress im LAN - wie aufsetzen? (16)

Frage von Static zum Thema CMS ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar (14)

Frage von guntis zum Thema LAN, WAN, Wireless ...

Windows Userverwaltung
gelöst Wie verfahrt Ihr mit den Windows-Benutzerkonten und -dateien von ausgeschiedenen Mitarbeitern? (14)

Frage von Bl0ckS1z3 zum Thema Windows Userverwaltung ...