philippr 10 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Hallo, unser Webserver W2k3 (alle patches) wurde gehackt, seitdem sind viele befehle im Command Prompt nicht mehr verfügbar, z.b. Net, Netstat,Ping,Tracert,Ipconfig etc. Die jeweiligen Dateien (ping.exe net.exe etc) sind am server selber nicht mehr auffindbar, auch nicht versteckt (habe mit attrib nachgeschaut) . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann. Kopiere ich die jeweiligen dateien unter anderem namen auf den server z.b. ping.exe ->p.exe und versuche diese dann zu starten macht er dies auch nicht. kann mir jemand bei diesem Problem helfen ? mfg philipp Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Hallo Philipp, der einzigste Weg ist eine Datensicherung der Webdaten zu machen und den Server neu aufzusetzen. Alles Andere geht in Richtung unverantwortlich und Suizid. Was für mich relevant wäre: Warum und wie wurde der Server geknackt ? Was gibt es an Schutzmaßnahmen für die Zukunft .... Zitieren Link zu diesem Kommentar
philippr 10 Geschrieben 15. Februar 2007 Autor Melden Teilen Geschrieben 15. Februar 2007 wie er gehackt worden ist wüßte ich auch mal gerne, passwörter sind alle mit groß/kleinbuchstaben zahlen und sonderzeichen >8 stellen. in zukunft soll dort ein linux firewall davor, da ja windows nicht so sicher zu sein scheint. Zitieren Link zu diesem Kommentar
patrick210778 10 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Kopiere ich die jeweiligen dateien unter anderem namen auf den server z.b. ping.exe ->p.exe und versuche diese dann zu starten macht er dies auch nicht. Pfade passen alle? Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Hallo Philipp, da sind wir wieder beim Thema: Sicherheit ist kein technischer Zustand !! Egal was du nutzt um deine Daten / Anwendungen zu betreiben, das Problem ist der User welche diese bedient. Es bringt dir nicht zu sagen Windows, Linux, Unix und was ich noch vergessen habe ist unsicher ... es kommt drauf an was man daraus macht ! Deshalb wäre mir die Analyse jetzt der wichtigste Punkt nachdem die Daten gesichert und der Server vom Netz genommen wurde. Wie gesagt, eine komplette Neuinstallation und Hardening des Servers sind dann der Weg welchen ich dir anraten würde. . Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Die jeweiligen Dateien (ping.exe net.exe etc) sind am server selber nicht mehr auffindbar, auch nicht versteckt (habe mit attrib nachgeschaut) . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. Kling nach einem Rootkit. Platt- und neu machen!;) Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 in zukunft soll dort ein linux firewall davor, da ja windows nicht so sicher zu sein scheint. Klasse Taktik, wenn die Linux Firewall genauso sorglos administriert wurde wie der Windows Server ist die genauso schnell gehackt ... Ihr solltes das Problem bekämpfen (warum konnte ein an sich sicheres System gehackt werden) und nicht die augenscheinlichen Symptome. Zitieren Link zu diesem Kommentar
philippr 10 Geschrieben 15. Februar 2007 Autor Melden Teilen Geschrieben 15. Februar 2007 wenn du sagst so "sorglos" dann sag mir doch bitte was ich falsch gemacht habe ? sichere passwörter, nur die nötigsten Ports offen, sämtliche patches . mfg philipp Zitieren Link zu diesem Kommentar
tcpip 12 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann. Also sind sie doch noch da. Was bekommst Du den für eine Fehlermeldung wenn Du Ping aufrufst? Stimmen die Systemvariablen zun den Befehlen? Ich würde mich jetzt nicht darauf versteifen das der Servergehakt wurde und jemand den Pingbefehl versteckt hat. Gruß tcpip Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 eine firewall ist mal ein erster schritt zu (etwas) mehr sicherheit. jedoch sind die großen angriffsflächen wie iis weiter zugänglich. ich würde den server vom netz nehmen, image ziehen und weitere untersuchungen in einer vm machen. möglichkeiten gibt es viele, insbesondere über ftp/asp/php. Zitieren Link zu diesem Kommentar
philippr 10 Geschrieben 15. Februar 2007 Autor Melden Teilen Geschrieben 15. Februar 2007 wenn ich Ping etc aufrufe bekomme "entweder falsch geschriebenich Befehl nicht gefunden" das mit den systemvariablem ist egal, da ich auch wie gesagt die ping.exe übers Netzwerk in p.exe kopiert hab und wenn ich dort im verzeichnis wo die exe liegt diese ausführe geht es auch nicht, also scheint nicht nur das anzeigen gewisser Netwerkbefehle (ping net netstat etc) sondern auch das ausführen irgendwie blockiert worden zu sein. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Nebensächliche Frage: Warum ist das Ding noch nicht platt und neu aufgesetzt? Warum suchst du hier noch nach irgendwelchen Wegen, das Ding zu reparieren, .... :suspect: Dein Server ist gehackt worden, obwohl komplexe Kennwörter und und und !! Wenn es wirklich so ist, dann hat das jemand gemacht, der mehr Ahnung hast als Du. Dem Server kannst du nicht mehr so weit trauen, wie du ihn auch nur sehen kannst :shock: Ich will dir was sagen: Wenn das jemand war mit Ahnung, dann macht der da Sachen auf dem Server, da kannst du nächstehs Jahr noch suchen und findest nicht alles, angefangen von nicht sichtbaren Adminkonten, über Dateien, die Du nie zu Gesicht bekommst, und Registry Einträge, die du nicht oder ein Antivirenprogramm und sonst niemand finden und auslesen wird. Also, mach hin .... ;) grizzly999 Zitieren Link zu diesem Kommentar
Stoni 10 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 @grizzly das nenne ich mal ein MACHTWORT. Hast Du vollkommen recht, ohne das hier weiter auzudiskutieren. Stoni Zitieren Link zu diesem Kommentar
Das Urmel 10 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Hallo,Die jeweiligen Dateien (ping.exe net.exe etc) sind am server selber nicht mehr auffindbar, auch nicht versteckt (habe mit attrib nachgeschaut) . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann. Kopiere ich die jeweiligen dateien unter anderem namen auf den server z.b. ping.exe ->p.exe und versuche diese dann zu starten macht er dies auch nicht. Wie Velius { und andere} schon sagten: du bist eine Spam- / Virenschleuder. Dein Trojaner ist schlecht aber für dich wirksam: er kompromitiert deine CMD und das darauf basierende API ( kein Kernel API sonst würdest du via Netzwerk auch nichts sehen) Klartext - die CMD.EXE ist nicht mehr das was sie sein sollte, der Webgemeinde tust du einen riesigen Gefallen- nimm das Teil vom Netz und neu Installieren! Lass die suche am Live-Objekt sein, scheinbar kommst du mit einem Wissen da nicht weiter. Weg vom Netz mit dem teil, auch deiner Firma zuliebe! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Februar 2007 Melden Teilen Geschrieben 15. Februar 2007 Wie Velius { und andere} schon sagten: du bist eine Spam- / Virenschleuder. Das wäre ja noch das Wenigste. Das "Machtwort", wie es Stoni nett beschrieben hat, ist nicht von mir, sondern eigentlich vom Microsoft Sicherheits-Guru Jesper Johansson in einem Vortrag auf der TechEd 2005 in Amsterdam. Dort hat er Live gezeigt, wie er in 10 Schritten, angefangen bei einem Server in der DMZ, die ganze Domäne unter seine Kontrolle gebracht hat. Faszinierend und erschreckend zugleich diese Demonstration, kann ich nur sagen. Sein Fazit am Ende war: Die Domäne kannst du neu aufsetzen, denn, Zitat: If I am a hacker and in your network, and I don't want YOU to find ME, you will never find me grizzly999 P.S: Hier ist diese "Machtdemonstration" im Kapitel "10 Steps to hack your network" drin beschrieben. Nicht nur deswegen, sondern allgemein ein äußerst empfehlenswertes Security Buch: Amazon.de: Protect Your Windows Network. From Perimeter to Data (Microsoft Technology): English Books: Jesper M. Johansson,Steve Riley Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.