Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2003 - Hackerangriff oder Trojaner?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: doctorbeat

doctorbeat (Level 1) - Jetzt verbinden

31.03.2009, aktualisiert 06.04.2009, 4780 Aufrufe, 4 Kommentare

Hallo zusammen,

bei uns in der Firma ginge es heute mal richtig rund.

Heute morgen um 9.29 Uhr hat ein Angreifer / Virus unsere gesamten Projekdaten auf dem Fileserver von Verzeichnis A bis T gelöscht.
Das ganze sind ca. 500 GB und mehrere 100.000 Dateien. Die Ordner wurden nicht gelöscht. Dazu brauchte es gerade mal 3 Minuten!!!

Wir wissen, dass die Netzwerkfreigabe verwendet wurde (also nicht lokal) und der Zugriff als Domänen-Admin ausgeführt wurde, da auch ein Verzeichnis dabei war, auf das kein anderer User Rechte hat... Alle anderen Daten auf den Servern sind noch vorhanden.

Wir haben die Überwachung bis dato leider nicht aktiviert gehabt, sodass wir nicht wirklich sehen können, von wo aus der Zugriff kam. Jetzt wird das geloggt...

Jetzt lassen wir den ganzen Tag im Netzwerk die verschiedensten Antiviren-Programme laufen, doch ohne Erfolg. Außerdem haben wir das Admin-Passwort geändert.

Unsere Umgebung:

- Alle Server sind Windows Server 2003 RC2 mit automatischen Updates an.
- Sonicwall Pro 2040.(neuste Firmware, 4.0.2)
- Proxyserver in der DMZ ist ein Apache 2.2
- Alle anderen Server stehen im LAN und sind nicht von aussen zugänglich.
- 3 Dienste werden durchgeschleift: HTTPS, SMTP und Blackberry.
- Meines Wissens nach sind alle eingesetzten Softwares auf einem relativ neuen Stand (min. Ende 2008). Außer SMTP -> standard ISS-SMTP

Das Sonicwall-Log ergab keine Angriffe zu der Uhrzeit, außer ein üblicher IP-SPOOF...

Jetzt bin ich mal gespannt, ob ihr dazu eine Idee habt, was da heute morgen passiert ist!?

Könnte das der böse Conficker gewesen sein? Wie zum Teufel kommt der an unseren Admin-Account? Wurden wir gehackt?

Ich hoffe ihr könnt mir helfen.

Grüße
Doc
Mitglied: 60730
31.03.2009 um 19:19 Uhr
Servus,

"was" das war - keine Ahnung. WURM / VIRUS oder doch nur ein [STRG] [X] von einem, der das Admin Passwort / unter dessen Accpount gemapptes Laufwerk hatte??

Aber da du die genaue Uhrzeit hast - mal auf den Clients nachsehen, ob ein System zu diesem Zeitpunkt (-5 minuten) eingeschaltet wurde.

Evtl. kommst du so "näher" zum Ziel.

Gruß
Bitte warten ..
Mitglied: DerWoWusste
31.03.2009 um 20:26 Uhr
Ich würde in der Nachbereitung am Server auch Scans mit dem MBSA machen, manchmal fällt dann doch einiges auf, das vergessen wurde, zum Beispiel lokale Adminkonten. Auch ein lokales Adminkonto hätte sich Zugriff und Löschrechte auf das "Dom.-Admin-exklusive" Verzeichnis verschaffen können, seid Euch nicht so sicher, dass es ein Domänenadmin war. Wieso seid Ihr sicher, dass eine Freigabe zum Löschen verwendet wurde? Und wie lest Ihr ab, dass es 3 Minuten waren?
Seid Ihr sicher, dass im Sicherheitsereignisprotokoll nicht doch Anmeldeereignisse verzeichnet werden?

Eine Infektion kann schuld sein, aber ich halte anderes für wahrscheinlicher. Ein Adminkennwort kann auf viele Weisen verloren gehen, wenn es für Supporteinsätze genutzt wird, wird es nicht gerade sicherer...
-shoulder surfing bleibt die einfachste Methode
-als lokaler Admin gecachte Kennwörter des Domänenadmins auslesen - durchaus schnell machbar, lokales Kennwortcaching unbedingt auf 1 Kennwort reduzieren. oder ganz abschalten
-werden Workstations vom Domänenadmin geöffnet und dann ungesperrt verlassen ist eh alles hinüber
-nutzt ein Domänenadmin vom Client aus in einer Benutzersitzung $-Freigaben des Servers, riskiert er stets, zu vergessen, diese abzumelden (d.h. Netzlaufwerk trennen und nicht nur Explorer schließen) - sollte man gar nicht erst riskieren.
-lokale Admins können mit Keyloggern arbeiten
Bitte warten ..
Mitglied: Frank
01.04.2009 um 01:28 Uhr
Hi,

was meinst Du mit "Überwachung nicht aktiv". Auch keine Ereignisanzeige auf dem Server? Ich würde erst einmal versuchen, den genauen Zeitpunkt der Löschung oder des Zugriffs zu ermitteln. Ich kenne jetzt den Server 2003 nicht genau aber wenn die Ereignisanzeige vorhanden ist, mache erst einmal eine Sicherung davon (man weiß ja nie). Die Quelle "Winlogon" unter Anwendungen sollte Dir doch den Login und den Rechner des Angreifers zeigen. Ich würde versuchen genau herauszufinden, wann und von welcher IP-Adresse der Angreifer kam. Dann kannst Du ggf. anhand der IP-Adresse auch den User/Angreifer/Virus finden. Da Du aber etwas von "per Netzwerkfreigabe" geschrieben hast, glaube ich sowieso eher an einen menschlichen Angreifer. Alternativ, wenn Du keine Daten mehr auf dem Windows Server findest (Protokoll oder Logfiles), drehe die Suche um und schau Dir die Protokolle/Logfiles der Arbeitsplätze mal genauer an (je nachdem wie viele es sind und ob die Netzwerkfreigabe aus dem internen Netzwerk stammt (sonst ist es sinnlos)). Wenn die IP-Adresse nicht aus dem internen Netzwerk stamm kann man sie in der Regel über Whois Dienste etc. auch auflösen und den Besitzer finden. Hängt also davon ab, was für Daten Du raus gefunden/raus finden wirst. Schau auch mal unter der Sonicwall nach den Zugriffen nach (nicht nur nach Angriffen). Wenn es z.B. ein ehemaliger Mitarbeiter ist, sieht es nie nach einem Angriff aus. Wenn dann alles nichts bringt und Du gar keine Spuren mehr im System findest, schau mal nach, wer und wann zu letzt die Firewall konfiguriert hat. Ist er noch ein Mitarbeiter von Euch? (ich weiß das ist ein böser Gedanke, aber auch schon vorgekommen).

Das es der Conficker Virus ist glaube ich nicht, bisher habe ich noch nicht gelesen, dass er Dateien löscht.

Es kann übrigens auch noch etwas ganz triviales sein. Überprüfe mal Deine Festplatte oder Deinen Raid-Verbund genau. Hier und da ist es uns früher schon mal unter Windows-Server passiert, dass unser Raid ein paar Daten verschluckt hat, wenn die Platten komplett vollgelaufen oder eine davon defekt war.

Ich hoffe das hilft Dir ein wenig weiter ..

Gruß
Frank
Bitte warten ..
Mitglied: gnarff
05.04.2009 um 23:54 Uhr
Dass es in einer Produktionsumgebung mit deratigen Datenbestaenden erst zu einem Crash kommen muss, bis endlich Standardueberwachungsmethoden zum Einsatz kommen finde ich ehrlich gesagt recht heftig.

Wuermer verbreiten sich ueber Netzwerkfreigaben, wenn aber tatsaechlich ein deratiger Schaedling in eurem Netzwerk unterwegs sein sollte, halte ich es nicht fuer sehr verstaendlich warum er nur die Verzeichnisse von A -T loeschen sollte und den Rest unangetastet laesst.

Wuermer kann man auch mit Rootkitfunktionen ausstatten, sodass eure Bemuehungen mit verschieden AV-Loesungen wohl ins Nichts fuehren werden.

Wenn also im SonicWALL - Log nichts aussergewoehliches vermerkt ist, ausser ein "ueblicher IP-Spoofing Angriff" [huestel], dann wuerde ich auch zu der Annahme neigen, dass der Angreifer im eigenen Haus sitzt oder es sich um das Produkt technischen oder menschlichen Versagens handelt.

IP-Spoofing dient nicht nur zur Durchfuehrung von DOS-Angriffen, sondern ist auch bestens geeignet um Sicherheitsvorkehrungen auszuhebeln:
IP spoofing can also be a method of attack used by network intruders to defeat network security measures, such as authentication based on IP addresses. [...] This type of attack is most effective where trust relationships exist between machines. For example, it is common on some corporate networks to have internal systems trust each other, so that a user can log in without a username or password provided he is connecting from another machine on the internal network (and so must already be logged in). By spoofing a connection from a trusted machine, an attacker may be able to access the target machine without authenticating.
Um nur auf eine Angriffmoeglichkeit hingewiesen zu haben...

Saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...