Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kann Ursache für DoS-Attacke nicht finden

Frage Sicherheit Erkennung und -Abwehr

Mitglied: laster

laster (Level 2) - Jetzt verbinden

15.11.2010 um 13:30 Uhr, 4676 Aufrufe, 4 Kommentare

Suche nach Ursache für DoS-Attacke über Port 80

Hallo,

wir haben auf einem Server (Win2008 Standard) seit vergangenem Freitag ein unidentifiziertes Programm, welches per Port 80 viele hunderte Verbindungen zu verschiedenen externen IP-Adressen aufbaut. Ergebnis: die Firewall lahmte und eine WebSeite eines uns bekannten Unternehmens ging in die Kniee.
Habe sofort auf der Firewall dem Server verboten, ins Internet zu kommen und das IPS schärfer eingestellt.
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Ich bin ratlos und will den Server nicht einfach neu installieren, ist nämlich unser Exchange...
Hat jemand eine Idee??

vG
LS
Mitglied: Neomatic
15.11.2010 um 13:37 Uhr
Hallo,

hast du mal mit TCPview geschaut, welcher Prozess diese Verbindungen aufbaut?

Gruß

Neomatic
Bitte warten ..
Mitglied: Pjordorf
15.11.2010 um 13:43 Uhr
Hallo,

Zitat von laster:
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Du wirst doch erkennen können welcher prozess die Verbindungen aufbaut? Ein netstat -on oder -oa hilft dir da doch erstmal weiter. Dann gibt es noch so viele Hilfsmittel wie z.B. TCPView von www.sysinternals.com.

Dein Server ist nicht auch noch Proxy oder Router?

Gruß,
Peter
Bitte warten ..
Mitglied: laster
15.11.2010 um 15:10 Uhr
Hallo Neomatic, hallo Pjordorf,

das ist mit jetzt richtig peinlich, dass ich auf diese einfache Sache nicht gekommen bin!
Das Programm, welches die DoS-Attacken durchführt ist "c:\Program Files\System Center Operations Manager 2007\MonitoringHost.exe" und gehört zum Microsoft System-Center-Operations-Manager. Gehört zum Agenten für unse Monitoring System. Habe gleich mal per MD5 die EXE mit den anderen (auf den anderen Servern) verglichen, ist identisch. Aber die anderen Server fahren keine Attacken.
Jetzt ist die Frage, warum tut der SCOM-Agent sowas??

vG
LS
Bitte warten ..
Mitglied: laster
15.03.2011 um 20:49 Uhr
HAllo,

zum Abschluss die Auflösung:
Der SCOM-Agent hatte die (definierte) Aufgabe, unserer Webseite auf Verfügbarkeit zu prüfen. Und dann gab es noch die (übersehene) Option, auch alle Links (Verlinkungen zu anderen Seiten) auf der Seite zu prüfen.
Warum die WebSeite des oben erwähnten Unternehmens dadurch ein Problem bkam, weiss ich nicht. Jedenfalls haben wir die Link-Überprüfung deaktiviert und damit das Problem behoben.

vG
LS
Bitte warten ..
Ähnliche Inhalte
Windows 7
Zwischenablage gesperrt - Ursache finden
Frage von staybbWindows 75 Kommentare

Hallo, ich nutze Windows 7 x64 SP1. Seit kurzem kann ich keine Copy+Paste Funktion mehr nutzen. Sie wird einfach ...

Viren und Trojaner
Ransomware-Attacke - aber welche?
gelöst Frage von textilforscherViren und Trojaner10 Kommentare

Hallo Gemeinde, wir sind heute Mittag in den "Genuss" einer Ransomware-Attacke gekommen, leider finde ich bisher keinen Anhaltspunkt, um ...

Batch & Shell
DOS-BATCH erkennt den Befehl "FIND c" nicht
Frage von yousaintBatch & Shell10 Kommentare

Hallo zusammen würde gerne den Befehl FIND /c unter DOS verwenden um die Zeilenanzahl aus einer PiPE zu erhalten. ...

Verschlüsselung & Zertifikate
TLS sicher vor Replay-Attacken?
gelöst Frage von MimetypeVerschlüsselung & Zertifikate1 Kommentar

Hallo, ich habe mir gerade mal etwas TLS angesehen. Die Erzeugung/Austausch des Schlüssels erfolgt ja sicher, sodass es für ...

Neue Wissensbeiträge
Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 1 StundeMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 14 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 21 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 22 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...