Jump to content

Gehackt worden, seitdem gehen manche Befehle nicht mehr


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

unser Webserver W2k3 (alle patches) wurde gehackt, seitdem sind viele befehle im Command Prompt nicht mehr verfügbar, z.b. Net, Netstat,Ping,Tracert,Ipconfig etc.

Die jeweiligen Dateien (ping.exe net.exe etc) sind am server selber nicht mehr auffindbar, auch nicht versteckt (habe mit attrib nachgeschaut) . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann.

Kopiere ich die jeweiligen dateien unter anderem namen auf den server z.b.

ping.exe ->p.exe und versuche diese dann zu starten macht er dies auch nicht.

 

kann mir jemand bei diesem Problem helfen ?

 

mfg

philipp

Link zu diesem Kommentar

Hallo Philipp,

 

da sind wir wieder beim Thema: Sicherheit ist kein technischer Zustand !!

 

Egal was du nutzt um deine Daten / Anwendungen zu betreiben, das Problem

ist der User welche diese bedient.

 

Es bringt dir nicht zu sagen Windows, Linux, Unix und was ich noch vergessen habe

ist unsicher ... es kommt drauf an was man daraus macht !

 

Deshalb wäre mir die Analyse jetzt der wichtigste Punkt nachdem die Daten gesichert

und der Server vom Netz genommen wurde.

 

Wie gesagt, eine komplette Neuinstallation und Hardening des Servers sind dann der

Weg welchen ich dir anraten würde.

 

 

 

 

.

Link zu diesem Kommentar

in zukunft soll dort ein linux firewall davor, da ja windows nicht so sicher zu sein scheint.

 

Klasse Taktik, wenn die Linux Firewall genauso sorglos administriert wurde wie der Windows Server ist die genauso schnell gehackt ...

Ihr solltes das Problem bekämpfen (warum konnte ein an sich sicheres System gehackt werden) und nicht die augenscheinlichen Symptome.

Link zu diesem Kommentar
. wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann.

 

:confused:

 

Also sind sie doch noch da. Was bekommst Du den für eine Fehlermeldung wenn Du Ping aufrufst? Stimmen die Systemvariablen zun den Befehlen?

 

Ich würde mich jetzt nicht darauf versteifen das der Servergehakt wurde und jemand den Pingbefehl versteckt hat.

 

Gruß

 

tcpip

Link zu diesem Kommentar

wenn ich Ping etc aufrufe bekomme "entweder falsch geschriebenich Befehl nicht gefunden"

das mit den systemvariablem ist egal, da ich auch wie gesagt die ping.exe übers Netzwerk in p.exe kopiert hab und wenn ich dort im verzeichnis wo die exe liegt diese ausführe geht es auch nicht, also scheint nicht nur das anzeigen gewisser Netwerkbefehle (ping net netstat etc) sondern auch das ausführen irgendwie blockiert worden zu sein.

Link zu diesem Kommentar

Nebensächliche Frage: Warum ist das Ding noch nicht platt und neu aufgesetzt? Warum suchst du hier noch nach irgendwelchen Wegen, das Ding zu reparieren, .... :suspect:

 

Dein Server ist gehackt worden, obwohl komplexe Kennwörter und und und !! Wenn es wirklich so ist, dann hat das jemand gemacht, der mehr Ahnung hast als Du. Dem Server kannst du nicht mehr so weit trauen, wie du ihn auch nur sehen kannst :shock:

 

Ich will dir was sagen: Wenn das jemand war mit Ahnung, dann macht der da Sachen auf dem Server, da kannst du nächstehs Jahr noch suchen und findest nicht alles, angefangen von nicht sichtbaren Adminkonten, über Dateien, die Du nie zu Gesicht bekommst, und Registry Einträge, die du nicht oder ein Antivirenprogramm und sonst niemand finden und auslesen wird.

 

Also, mach hin .... ;)

 

grizzly999

Link zu diesem Kommentar
Hallo,

Die jeweiligen Dateien (ping.exe net.exe etc) sind am server selber nicht mehr auffindbar, auch nicht versteckt (habe mit attrib nachgeschaut) . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann.

Kopiere ich die jeweiligen dateien unter anderem namen auf den server z.b.

ping.exe ->p.exe und versuche diese dann zu starten macht er dies auch nicht.

Wie Velius { und andere} schon sagten: du bist eine Spam- / Virenschleuder.

 

Dein Trojaner ist schlecht aber für dich wirksam: er kompromitiert deine CMD und das darauf basierende API ( kein Kernel API sonst würdest du via Netzwerk auch nichts sehen)

 

Klartext - die CMD.EXE ist nicht mehr das was sie sein sollte, der Webgemeinde tust du einen riesigen Gefallen- nimm das Teil vom Netz und neu Installieren!

 

Lass die suche am Live-Objekt sein, scheinbar kommst du mit einem Wissen da nicht weiter. Weg vom Netz mit dem teil, auch deiner Firma zuliebe!

Link zu diesem Kommentar
Wie Velius { und andere} schon sagten: du bist eine Spam- / Virenschleuder.

Das wäre ja noch das Wenigste. Das "Machtwort", wie es Stoni nett beschrieben hat, ist nicht von mir, sondern eigentlich vom Microsoft Sicherheits-Guru Jesper Johansson in einem Vortrag auf der TechEd 2005 in Amsterdam. Dort hat er Live gezeigt, wie er in 10 Schritten, angefangen bei einem Server in der DMZ, die ganze Domäne unter seine Kontrolle gebracht hat. Faszinierend und erschreckend zugleich diese Demonstration, kann ich nur sagen.

 

Sein Fazit am Ende war: Die Domäne kannst du neu aufsetzen, denn, Zitat:

 

If I am a hacker and in your network, and I don't want YOU to find ME, you will never find me

 

 

grizzly999

 

P.S: Hier ist diese "Machtdemonstration" im Kapitel "10 Steps to hack your network" drin beschrieben. Nicht nur deswegen, sondern allgemein ein äußerst empfehlenswertes Security Buch: Amazon.de: Protect Your Windows Network. From Perimeter to Data (Microsoft Technology): English Books: Jesper M. Johansson,Steve Riley

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...