Gehackt worden, seitdem gehen manche Befehle nicht mehr

[philippr]

Hallo,

unser Webserver W2k3 (alle patches) wurde gehackt, seitdem sind viele befehle im Command Prompt nicht mehr verfügbar, z.b. Net, Netstat,Ping,Tracert,Ipconfig etc.
Die jeweiligen Dateien (ping.exe net.exe etc) sind am server selber nicht mehr auffindbar, auch nicht versteckt (habe mit attrib nachgeschaut) . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann.
Kopiere ich die jeweiligen dateien unter anderem namen auf den server z.b.
ping.exe ->p.exe und versuche diese dann zu starten macht er dies auch nicht.

kann mir jemand bei diesem Problem helfen ?

mfg
philipp

[XP-Fan]

Hallo Philipp,

der einzigste Weg ist eine Datensicherung der Webdaten zu machen und den Server
neu aufzusetzen. Alles Andere geht in Richtung unverantwortlich und Suizid.

Was für mich relevant wäre: Warum und wie wurde der Server geknackt ?
Was gibt es an Schutzmaßnahmen für die Zukunft ....

[philippr]

wie er gehackt worden ist wüßte ich auch mal gerne, passwörter sind alle mit groß/kleinbuchstaben zahlen und sonderzeichen >8 stellen.

in zukunft soll dort ein linux firewall davor, da ja windows nicht so sicher zu sein scheint.

[patrick210778]

Zitat von philippr Kopiere ich die jeweiligen dateien unter anderem namen auf den server z.b. ping.exe ->p.exe und versuche diese dann zu starten macht er dies auch nicht.

Pfade passen alle?

[XP-Fan]

Hallo Philipp,

da sind wir wieder beim Thema: Sicherheit ist kein technischer Zustand !!

Egal was du nutzt um deine Daten / Anwendungen zu betreiben, das Problem
ist der User welche diese bedient.

Es bringt dir nicht zu sagen Windows, Linux, Unix und was ich noch vergessen habe
ist unsicher ... es kommt drauf an was man daraus macht !

Deshalb wäre mir die Analyse jetzt der wichtigste Punkt nachdem die Daten gesichert
und der Server vom Netz genommen wurde.

Wie gesagt, eine komplette Neuinstallation und Hardening des Servers sind dann der
Weg welchen ich dir anraten würde.




.

[Velius]

Zitat von philippr Die jeweiligen Dateien (ping.exe net.exe etc) sind am server selber nicht mehr auffindbar, auch nicht versteckt (habe mit attrib nachgeschaut) . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden.

Kling nach einem Rootkit. Platt- und neu machen!

[Dr.Melzer]

Zitat von philippr in zukunft soll dort ein linux firewall davor, da ja windows nicht so sicher zu sein scheint.

Klasse Taktik, wenn die Linux Firewall genauso sorglos administriert wurde wie der Windows Server ist die genauso schnell gehackt ...
Ihr solltes das Problem bekämpfen (warum konnte ein an sich sicheres System gehackt werden) und nicht die augenscheinlichen Symptome.

[philippr]

wenn du sagst so "sorglos" dann sag mir doch bitte was ich falsch gemacht habe ?
sichere passwörter, nur die nötigsten Ports offen, sämtliche patches .


mfg
philipp

[tcpip]

. wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann.

Also sind sie doch noch da. Was bekommst Du den für eine Fehlermeldung wenn Du Ping aufrufst? Stimmen die Systemvariablen zun den Befehlen?

Ich würde mich jetzt nicht darauf versteifen das der Servergehakt wurde und jemand den Pingbefehl versteckt hat.

Gruß

tcpip

[GerhardG]

eine firewall ist mal ein erster schritt zu (etwas) mehr sicherheit. jedoch sind die großen angriffsflächen wie iis weiter zugänglich. ich würde den server vom netz nehmen, image ziehen und weitere untersuchungen in einer vm machen.

möglichkeiten gibt es viele, insbesondere über ftp/asp/php.