Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kann Ursache für DoS-Attacke nicht finden

Frage Sicherheit Erkennung und -Abwehr

Mitglied: laster

laster (Level 2) - Jetzt verbinden

15.11.2010 um 13:30 Uhr, 4633 Aufrufe, 4 Kommentare

Suche nach Ursache für DoS-Attacke über Port 80

Hallo,

wir haben auf einem Server (Win2008 Standard) seit vergangenem Freitag ein unidentifiziertes Programm, welches per Port 80 viele hunderte Verbindungen zu verschiedenen externen IP-Adressen aufbaut. Ergebnis: die Firewall lahmte und eine WebSeite eines uns bekannten Unternehmens ging in die Kniee.
Habe sofort auf der Firewall dem Server verboten, ins Internet zu kommen und das IPS schärfer eingestellt.
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Ich bin ratlos und will den Server nicht einfach neu installieren, ist nämlich unser Exchange...
Hat jemand eine Idee??

vG
LS
Mitglied: Neomatic
15.11.2010 um 13:37 Uhr
Hallo,

hast du mal mit TCPview geschaut, welcher Prozess diese Verbindungen aufbaut?

Gruß

Neomatic
Bitte warten ..
Mitglied: Pjordorf
15.11.2010 um 13:43 Uhr
Hallo,

Zitat von laster:
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Du wirst doch erkennen können welcher prozess die Verbindungen aufbaut? Ein netstat -on oder -oa hilft dir da doch erstmal weiter. Dann gibt es noch so viele Hilfsmittel wie z.B. TCPView von www.sysinternals.com.

Dein Server ist nicht auch noch Proxy oder Router?

Gruß,
Peter
Bitte warten ..
Mitglied: laster
15.11.2010 um 15:10 Uhr
Hallo Neomatic, hallo Pjordorf,

das ist mit jetzt richtig peinlich, dass ich auf diese einfache Sache nicht gekommen bin!
Das Programm, welches die DoS-Attacken durchführt ist "c:\Program Files\System Center Operations Manager 2007\MonitoringHost.exe" und gehört zum Microsoft System-Center-Operations-Manager. Gehört zum Agenten für unse Monitoring System. Habe gleich mal per MD5 die EXE mit den anderen (auf den anderen Servern) verglichen, ist identisch. Aber die anderen Server fahren keine Attacken.
Jetzt ist die Frage, warum tut der SCOM-Agent sowas??

vG
LS
Bitte warten ..
Mitglied: laster
15.03.2011 um 20:49 Uhr
HAllo,

zum Abschluss die Auflösung:
Der SCOM-Agent hatte die (definierte) Aufgabe, unserer Webseite auf Verfügbarkeit zu prüfen. Und dann gab es noch die (übersehene) Option, auch alle Links (Verlinkungen zu anderen Seiten) auf der Seite zu prüfen.
Warum die WebSeite des oben erwähnten Unternehmens dadurch ein Problem bkam, weiss ich nicht. Jedenfalls haben wir die Link-Überprüfung deaktiviert und damit das Problem behoben.

vG
LS
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Sendefehler 2101 - Firewall die Ursache (3)

Frage von honeybee zum Thema Firewall ...

Batch & Shell
gelöst Dateien zusammenführen inkl. finden von doppelten Einträgen (3)

Frage von miczar zum Thema Batch & Shell ...

Debian
Kann Linux nicht im bios finden! (3)

Frage von pixelBf zum Thema Debian ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...