Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zwei aktive Domänenkontroller im selben Netz oder Virus - was hat die Files zerstört?

Frage Microsoft Windows Netzwerk

Mitglied: pinkpaul

pinkpaul (Level 1) - Jetzt verbinden

18.04.2009, aktualisiert 10:46 Uhr, 4363 Aufrufe, 3 Kommentare

Ich kann nicht glauben, daß Windows so einfach eine so schwere Verwundbarkeit von Domäne-Kontrollern zulassen würde?

Folgendes ist uns passiert: eine Vertragsfirma hat in unserem Betrieb ein Datenerfassungsnetzwerk eingerichtet. Zufällig hat diese Firma für ihr Netzwerk den gleichen Domäne-Namen verwendet, den unser LAN auch hat. Beide Netzwerke basieren auf Windows Server 2003 R2 (Standard Edition) und haben je einen aktiven Domäne-Kontroller, das LAN hat weiters zwei redundante (sekundäre) Domäne-Kontroller, wobei der eine 200km entfernt an einem anderen Ort steht. Das Datenerfassungsnetzwerk stand mit unserem LAN über eine LINUX-Hardware-Firewall in Verbindung, wobei nur 5 ausgewählte Ports zum Datenaustausch von der Vertragsfirma freigegeben waren.
Nach Inbetriebnahme der Verbindung sah alles fein aus, aber 18 Stunden später standen in unserem Betrieb plötzlich alle netzwerkbasierten Anwendungen (Outlook-Mail, Etikettierstation, ...). Als ein paar Stunden später der Servicemann von Microsoft eintraf stellte er fest, daß beim aktiven LAN-Domäne-Kontroller als auch beim lokalen sekundären Domäne-Kontroller wichtige Files (DNS-Listen, ...) unwiderbringlich gelöscht waren. Wie das genau geschah, ließ sich nicht mehr feststellen, weil auch die Event-Viewer Files an beiden Servern gelöscht waren. Er meinte, es könnte entweder durch einen Virus oder durch einen Konflikt aufgrund der gleichnamigen Domänen dazu gekommen sein. Wir hatten uns leider vor ein paar Wochen Conficker.B eingefangen und Kasperski-Antivirus schlägt auch jetzt täglich noch mehrmals Alarm, weil offensichtlich noch immer Viren in unserem Netzwerk aktiviert werden.
Was mir an der Erklärung mit dem Domäne-Kontroller-Konflikt nicht klar ist, warum das Problem nicht sofort nach Inbetriebnahme aufgetreten ist, warum auch Log-Files verschwunden sind und warum das Problem sowohl am aktiven als auch an dem einen redundanten Domäne-Kontroller aufgetreten ist. Auch denke ich, daß Windows keine so simple schwere Verwundbarkeit eines Netzwerks zulassen würde. Ein Angreifer bräuchte ja nur einen Laptop als aktiven Domäne-Kontroller mit demselben Domänenamen wie das Zielnetzwerk aufsetzen und sich bei passender Gelegenheit irgendwo ins Netzwerk zu hängen, um es schwer zu schädigen?
Da ich nur IT-Laie (Prozessingenieur) bin möchte ich Experten fragen, ob bei jemandem schon einmal ein gleiches Problem aufgetreten ist und ob es wirklich durch einen Domäne-Konflikt zu einer solch schweren Schädigung kommen kann?
Mitglied: Arch-Stanton
18.04.2009 um 12:45 Uhr
Ihr habt bekanntermassen Viren in Eurem Netzwerk und beseitigt diese nicht? Selber schuld.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: mrtux
18.04.2009 um 13:41 Uhr
Hi !

Zitat von pinkpaul:
Kasperski-Antivirus schlägt auch jetzt täglich noch mehrmals
Alarm, weil offensichtlich noch immer Viren in unserem Netzwerk
aktiviert werden.

Hääää ? ### grumbl... ###

Windows keine so simple schwere Verwundbarkeit eines Netzwerks
zulassen würde.

Das hast Du aber bestimmt im Prospekt gelesen oder?

Da ich nur IT-Laie (Prozessingenieur) bin möchte ich Experten

Dann sollte Deine Firma jemanden einstellen oder eine externe Firma beauftragen, die auch Ahnung von Netzwerkadministration hat. Immer und überall das Gleiche:

"Wir haben doch jetzt soviel Kohle für die neue Anlage ausgegeben, da können wir uns einen Administrator nicht mehr leisten."

Solchen Firmen gehören die PCs weggenommen und wieder Schreibblöcke hingelegt.

mrtux
Bitte warten ..
Mitglied: Cubic83
18.04.2009 um 21:55 Uhr
@Tux

Das mag wohl stimmen, aber der kleine Arbeiter kann da wohl nix dafür. Also IT-Beauftragter/Mitarbeiter kann man nur mit den Mädels tanzen die auf der Tanzfläche sind.


Ich spekuliere jetzt aber ich denke nicht dass sich 2 gleiche Domains im Netzwerk derart stark stören würden, da ja auch Vertrauenstellungen eine Rolle spielen. Die Namensauflösung geht ja über den richtigen DC (weil IP). Eventuelle Broadcasts (domain.local) könnten von dem schnelleren Server beantwortet werden? Für DHCP gilt das gleiche. Weiss das jemand genau? Würde mich jetzt interessieren.

Als ich deinen Beitrag zuerst gelesen habe kam mir folgendes zuerst in den Sinn: Die zweite Firma hat Mist gebaut und versucht das zu vertuschen. Das löschen von Dateien wäre Möglich, aber der Eventlogs von einem Windows DC? Das scheint mir doch ein wenig zu spezifisch für ein allgemeines Virus wie den Fick er.



mfG
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Seltsames Phänomen zerstört Windows-Registry - Virus oder nicht?
gelöst Frage von HrwSiggiViren und Trojaner12 Kommentare

Hallo. Wir momentan ein äußerst seltsames Problem, bei dem ich mir nicht sicher bin ob es sich um einen ...

Router & Routing
Routing zwischen zwei Netzen
gelöst Frage von Xaero1982Router & Routing31 Kommentare

Hallo Zusammen, simples Szenario, was mich aber gerade verzweifeln lässt Fritzbox: 192.168.178.1 Dann habe ich einen Microtik 750gl rangehangen. ...

Router & Routing
Routing zwischen zwei Netzen - welche Hardware
Frage von jochenmuellRouter & Routing2 Kommentare

Hallo Zusammen, Habe ein Problem beim Verbinden von 2 Netzwerken. Hab relativ wenig Ahnung von Routing, bin ansonsten aber ...

LAN, WAN, Wireless
PfSense zwei Netze verbinden
Frage von raffzwoLAN, WAN, Wireless26 Kommentare

Hallo zusammen, ich habe hier ein Problem mit meiner pfSense. Ich möchte, dass das LAN und das RADIUS Netz ...

Neue Wissensbeiträge
Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 34 MinutenSicherheit2 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von Frank vor 58 MinutenSicherheit9 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 7 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 20 StundenMac OS X4 Kommentare

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
gelöst Frage von IngenieursBatch & Shell27 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von 92943Windows 1025 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Netzwerkgrundlagen
Welches Modem für VDSL 50000 der T-Com
Frage von Windows10GegnerNetzwerkgrundlagen18 Kommentare

Hallo, ein Kollege von mir will sich VDSL50000 von der T-Com holen, um daran einen Server zu betreiben. Ich ...