Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kann Ursache für DoS-Attacke nicht finden

Frage Sicherheit Erkennung und -Abwehr

Mitglied: laster

laster (Level 2) - Jetzt verbinden

15.11.2010 um 13:30 Uhr, 4669 Aufrufe, 4 Kommentare

Suche nach Ursache für DoS-Attacke über Port 80

Hallo,

wir haben auf einem Server (Win2008 Standard) seit vergangenem Freitag ein unidentifiziertes Programm, welches per Port 80 viele hunderte Verbindungen zu verschiedenen externen IP-Adressen aufbaut. Ergebnis: die Firewall lahmte und eine WebSeite eines uns bekannten Unternehmens ging in die Kniee.
Habe sofort auf der Firewall dem Server verboten, ins Internet zu kommen und das IPS schärfer eingestellt.
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Ich bin ratlos und will den Server nicht einfach neu installieren, ist nämlich unser Exchange...
Hat jemand eine Idee??

vG
LS
Mitglied: Neomatic
15.11.2010 um 13:37 Uhr
Hallo,

hast du mal mit TCPview geschaut, welcher Prozess diese Verbindungen aufbaut?

Gruß

Neomatic
Bitte warten ..
Mitglied: Pjordorf
15.11.2010 um 13:43 Uhr
Hallo,

Zitat von laster:
Damit ist nach aussen das Problem gelöst, aber wir haben auf dem Server nichts gefunden, was die Verbindungen aufbaut.
Virenschutz ist installiert, eine Suche nach Malware mit verschiedenen Scannern hat nichts gebracht.
Wenn ich die Firewallregel deaktiviere, werden nach kurzer Zeit wieder hunderte Verbindungen aufgebaut!
Du wirst doch erkennen können welcher prozess die Verbindungen aufbaut? Ein netstat -on oder -oa hilft dir da doch erstmal weiter. Dann gibt es noch so viele Hilfsmittel wie z.B. TCPView von www.sysinternals.com.

Dein Server ist nicht auch noch Proxy oder Router?

Gruß,
Peter
Bitte warten ..
Mitglied: laster
15.11.2010 um 15:10 Uhr
Hallo Neomatic, hallo Pjordorf,

das ist mit jetzt richtig peinlich, dass ich auf diese einfache Sache nicht gekommen bin!
Das Programm, welches die DoS-Attacken durchführt ist "c:\Program Files\System Center Operations Manager 2007\MonitoringHost.exe" und gehört zum Microsoft System-Center-Operations-Manager. Gehört zum Agenten für unse Monitoring System. Habe gleich mal per MD5 die EXE mit den anderen (auf den anderen Servern) verglichen, ist identisch. Aber die anderen Server fahren keine Attacken.
Jetzt ist die Frage, warum tut der SCOM-Agent sowas??

vG
LS
Bitte warten ..
Mitglied: laster
15.03.2011 um 20:49 Uhr
HAllo,

zum Abschluss die Auflösung:
Der SCOM-Agent hatte die (definierte) Aufgabe, unserer Webseite auf Verfügbarkeit zu prüfen. Und dann gab es noch die (übersehene) Option, auch alle Links (Verlinkungen zu anderen Seiten) auf der Seite zu prüfen.
Warum die WebSeite des oben erwähnten Unternehmens dadurch ein Problem bkam, weiss ich nicht. Jedenfalls haben wir die Link-Überprüfung deaktiviert und damit das Problem behoben.

vG
LS
Bitte warten ..
Ähnliche Inhalte
Firewall
gelöst Sendefehler 2101 - Firewall die Ursache (4)

Frage von honeybee zum Thema Firewall ...

Netzwerke
gelöst Verbindung TAE-Dose - Router (7)

Frage von Skulled zum Thema Netzwerke ...

Netzwerke
gelöst Siemens ICCS auf Cat Dose (9)

Frage von ben1310 zum Thema Netzwerke ...

Erkennung und -Abwehr
Port 7547 SOAP Remote Code Execution Attack Against DSL Modems Internet Storm Center (5)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Humor (lol)

Taschenrechner in IOS kaputt!

(7)

Information von Lochkartenstanzer zum Thema Humor (lol) ...

Sicherheit

Kanadischer Geheimdienst veröffentlicht erstmals Sicherheitssoftware

(3)

Information von BassFishFox zum Thema Sicherheit ...

Virtualisierung

Docker Monitoring und Steuerung per "sen"

Tipp von Frank zum Thema Virtualisierung ...

Heiß diskutierte Inhalte