Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zwei aktive Domänenkontroller im selben Netz oder Virus - was hat die Files zerstört?

Frage Microsoft Windows Netzwerk

Mitglied: pinkpaul

pinkpaul (Level 1) - Jetzt verbinden

18.04.2009, aktualisiert 10:46 Uhr, 4358 Aufrufe, 3 Kommentare

Ich kann nicht glauben, daß Windows so einfach eine so schwere Verwundbarkeit von Domäne-Kontrollern zulassen würde?

Folgendes ist uns passiert: eine Vertragsfirma hat in unserem Betrieb ein Datenerfassungsnetzwerk eingerichtet. Zufällig hat diese Firma für ihr Netzwerk den gleichen Domäne-Namen verwendet, den unser LAN auch hat. Beide Netzwerke basieren auf Windows Server 2003 R2 (Standard Edition) und haben je einen aktiven Domäne-Kontroller, das LAN hat weiters zwei redundante (sekundäre) Domäne-Kontroller, wobei der eine 200km entfernt an einem anderen Ort steht. Das Datenerfassungsnetzwerk stand mit unserem LAN über eine LINUX-Hardware-Firewall in Verbindung, wobei nur 5 ausgewählte Ports zum Datenaustausch von der Vertragsfirma freigegeben waren.
Nach Inbetriebnahme der Verbindung sah alles fein aus, aber 18 Stunden später standen in unserem Betrieb plötzlich alle netzwerkbasierten Anwendungen (Outlook-Mail, Etikettierstation, ...). Als ein paar Stunden später der Servicemann von Microsoft eintraf stellte er fest, daß beim aktiven LAN-Domäne-Kontroller als auch beim lokalen sekundären Domäne-Kontroller wichtige Files (DNS-Listen, ...) unwiderbringlich gelöscht waren. Wie das genau geschah, ließ sich nicht mehr feststellen, weil auch die Event-Viewer Files an beiden Servern gelöscht waren. Er meinte, es könnte entweder durch einen Virus oder durch einen Konflikt aufgrund der gleichnamigen Domänen dazu gekommen sein. Wir hatten uns leider vor ein paar Wochen Conficker.B eingefangen und Kasperski-Antivirus schlägt auch jetzt täglich noch mehrmals Alarm, weil offensichtlich noch immer Viren in unserem Netzwerk aktiviert werden.
Was mir an der Erklärung mit dem Domäne-Kontroller-Konflikt nicht klar ist, warum das Problem nicht sofort nach Inbetriebnahme aufgetreten ist, warum auch Log-Files verschwunden sind und warum das Problem sowohl am aktiven als auch an dem einen redundanten Domäne-Kontroller aufgetreten ist. Auch denke ich, daß Windows keine so simple schwere Verwundbarkeit eines Netzwerks zulassen würde. Ein Angreifer bräuchte ja nur einen Laptop als aktiven Domäne-Kontroller mit demselben Domänenamen wie das Zielnetzwerk aufsetzen und sich bei passender Gelegenheit irgendwo ins Netzwerk zu hängen, um es schwer zu schädigen?
Da ich nur IT-Laie (Prozessingenieur) bin möchte ich Experten fragen, ob bei jemandem schon einmal ein gleiches Problem aufgetreten ist und ob es wirklich durch einen Domäne-Konflikt zu einer solch schweren Schädigung kommen kann?
Mitglied: Arch-Stanton
18.04.2009 um 12:45 Uhr
Ihr habt bekanntermassen Viren in Eurem Netzwerk und beseitigt diese nicht? Selber schuld.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: mrtux
18.04.2009 um 13:41 Uhr
Hi !

Zitat von pinkpaul:
Kasperski-Antivirus schlägt auch jetzt täglich noch mehrmals
Alarm, weil offensichtlich noch immer Viren in unserem Netzwerk
aktiviert werden.

Hääää ? ### grumbl... ###

Windows keine so simple schwere Verwundbarkeit eines Netzwerks
zulassen würde.

Das hast Du aber bestimmt im Prospekt gelesen oder?

Da ich nur IT-Laie (Prozessingenieur) bin möchte ich Experten

Dann sollte Deine Firma jemanden einstellen oder eine externe Firma beauftragen, die auch Ahnung von Netzwerkadministration hat. Immer und überall das Gleiche:

"Wir haben doch jetzt soviel Kohle für die neue Anlage ausgegeben, da können wir uns einen Administrator nicht mehr leisten."

Solchen Firmen gehören die PCs weggenommen und wieder Schreibblöcke hingelegt.

mrtux
Bitte warten ..
Mitglied: Cubic83
18.04.2009 um 21:55 Uhr
@Tux

Das mag wohl stimmen, aber der kleine Arbeiter kann da wohl nix dafür. Also IT-Beauftragter/Mitarbeiter kann man nur mit den Mädels tanzen die auf der Tanzfläche sind.


Ich spekuliere jetzt aber ich denke nicht dass sich 2 gleiche Domains im Netzwerk derart stark stören würden, da ja auch Vertrauenstellungen eine Rolle spielen. Die Namensauflösung geht ja über den richtigen DC (weil IP). Eventuelle Broadcasts (domain.local) könnten von dem schnelleren Server beantwortet werden? Für DHCP gilt das gleiche. Weiss das jemand genau? Würde mich jetzt interessieren.

Als ich deinen Beitrag zuerst gelesen habe kam mir folgendes zuerst in den Sinn: Die zweite Firma hat Mist gebaut und versucht das zu vertuschen. Das löschen von Dateien wäre Möglich, aber der Eventlogs von einem Windows DC? Das scheint mir doch ein wenig zu spezifisch für ein allgemeines Virus wie den Fick er.



mfG
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
gelöst Seltsames Phänomen zerstört Windows-Registry - Virus oder nicht? (12)

Frage von HrwSiggi zum Thema Viren und Trojaner ...

Netzwerkgrundlagen
Warum keine zwei Netze zusammenfassen (9)

Frage von Protected zum Thema Netzwerkgrundlagen ...

Router & Routing
gelöst Routing zwischen zwei Netzen (31)

Frage von Xaero1982 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Zwei Clients mit selber IP-Adresse in einem Netzwerksegment (53)

Frage von Curb47 zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Viren und Trojaner

Neues Botnetz über IoT-Geräte

Information von certifiedit.net zum Thema Viren und Trojaner ...

Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(9)

Information von BassFishFox zum Thema Datenschutz ...

Heiß diskutierte Inhalte
Windows Installation
Windows 10 neu installieren (17)

Frage von imebro zum Thema Windows Installation ...

Router & Routing
Externe IP von innen erreichbar machen (15)

Frage von Windows10Gegner zum Thema Router & Routing ...

Windows Server
Frage zu Server Rack (11)

Frage von rainergugus zum Thema Windows Server ...