Gehackt worden, seitdem gehen manche Befehle nicht mehr

[philippr 10]

Hallo,

 

unser Webserver W2k3 (alle patches) wurde gehackt, seitdem sind viele befehle im Command Prompt nicht mehr verfügbar, z.b. Net, Netstat,Ping,Tracert,Ipconfig etc.

Die jeweiligen Dateien (ping.exe net.exe etc) sind am server selber nicht mehr auffindbar, auch nicht versteckt (habe mit attrib nachgeschaut) . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann.

Kopiere ich die jeweiligen dateien unter anderem namen auf den server z.b.

ping.exe ->p.exe und versuche diese dann zu starten macht er dies auch nicht.

 

kann mir jemand bei diesem Problem helfen ?

 

mfg

philipp

[XP-Fan 215]

Hallo Philipp,

 

der einzigste Weg ist eine Datensicherung der Webdaten zu machen und den Server

neu aufzusetzen. Alles Andere geht in Richtung unverantwortlich und Suizid.

 

Was für mich relevant wäre: Warum und wie wurde der Server geknackt ?

Was gibt es an Schutzmaßnahmen für die Zukunft ....

[philippr 10]

wie er gehackt worden ist wüßte ich auch mal gerne, passwörter sind alle mit groß/kleinbuchstaben zahlen und sonderzeichen >8 stellen.

 

in zukunft soll dort ein linux firewall davor, da ja windows nicht so sicher zu sein scheint.

[patrick210778 10]

Kopiere ich die jeweiligen dateien unter anderem namen auf den server z.b.

ping.exe ->p.exe und versuche diese dann zu starten macht er dies auch nicht.

 

Pfade passen alle?

[XP-Fan 215]

Hallo Philipp,

 

da sind wir wieder beim Thema: Sicherheit ist kein technischer Zustand !!

 

Egal was du nutzt um deine Daten / Anwendungen zu betreiben, das Problem

ist der User welche diese bedient.

 

Es bringt dir nicht zu sagen Windows, Linux, Unix und was ich noch vergessen habe

ist unsicher ... es kommt drauf an was man daraus macht !

 

Deshalb wäre mir die Analyse jetzt der wichtigste Punkt nachdem die Daten gesichert

und der Server vom Netz genommen wurde.

 

Wie gesagt, eine komplette Neuinstallation und Hardening des Servers sind dann der

Weg welchen ich dir anraten würde.

 

 

 

 

.

[Velius 10]

Die jeweiligen Dateien (ping.exe net.exe etc) sind am server selber nicht mehr auffindbar, auch nicht versteckt (habe mit attrib nachgeschaut) . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden.

 

Kling nach einem Rootkit. Platt- und neu machen!;)

[Dr.Melzer 191]

in zukunft soll dort ein linux firewall davor, da ja windows nicht so sicher zu sein scheint.

 

Klasse Taktik, wenn die Linux Firewall genauso sorglos administriert wurde wie der Windows Server ist die genauso schnell gehackt ...

Ihr solltes das Problem bekämpfen (warum konnte ein an sich sicheres System gehackt werden) und nicht die augenscheinlichen Symptome.

[philippr 10]

wenn du sagst so "sorglos" dann sag mir doch bitte was ich falsch gemacht habe ?

sichere passwörter, nur die nötigsten Ports offen, sämtliche patches .

 

 

mfg

philipp

[tcpip 12]

. wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann.

 

 

Also sind sie doch noch da. Was bekommst Du den für eine Fehlermeldung wenn Du Ping aufrufst? Stimmen die Systemvariablen zun den Befehlen?

 

Ich würde mich jetzt nicht darauf versteifen das der Servergehakt wurde und jemand den Pingbefehl versteckt hat.

 

Gruß

 

tcpip

[GerhardG 10]

eine firewall ist mal ein erster schritt zu (etwas) mehr sicherheit. jedoch sind die großen angriffsflächen wie iis weiter zugänglich. ich würde den server vom netz nehmen, image ziehen und weitere untersuchungen in einer vm machen.

 

möglichkeiten gibt es viele, insbesondere über ftp/asp/php.

[philippr 10]

wenn ich Ping etc aufrufe bekomme "entweder falsch geschriebenich Befehl nicht gefunden"

das mit den systemvariablem ist egal, da ich auch wie gesagt die ping.exe übers Netzwerk in p.exe kopiert hab und wenn ich dort im verzeichnis wo die exe liegt diese ausführe geht es auch nicht, also scheint nicht nur das anzeigen gewisser Netwerkbefehle (ping net netstat etc) sondern auch das ausführen irgendwie blockiert worden zu sein.

[grizzly999 11]

Nebensächliche Frage: Warum ist das Ding noch nicht platt und neu aufgesetzt? Warum suchst du hier noch nach irgendwelchen Wegen, das Ding zu reparieren, .... :suspect:

 

Dein Server ist gehackt worden, obwohl komplexe Kennwörter und und und !! Wenn es wirklich so ist, dann hat das jemand gemacht, der mehr Ahnung hast als Du. Dem Server kannst du nicht mehr so weit trauen, wie du ihn auch nur sehen kannst :shock:

 

Ich will dir was sagen: Wenn das jemand war mit Ahnung, dann macht der da Sachen auf dem Server, da kannst du nächstehs Jahr noch suchen und findest nicht alles, angefangen von nicht sichtbaren Adminkonten, über Dateien, die Du nie zu Gesicht bekommst, und Registry Einträge, die du nicht oder ein Antivirenprogramm und sonst niemand finden und auslesen wird.

 

Also, mach hin .... ;)

 

grizzly999

[Stoni 10]

@grizzly

das nenne ich mal ein MACHTWORT.

Hast Du vollkommen recht, ohne das hier weiter auzudiskutieren.

 

Stoni

[Das Urmel 10]

Hallo,

Die jeweiligen Dateien (ping.exe net.exe etc) sind am server selber nicht mehr auffindbar, auch nicht versteckt (habe mit attrib nachgeschaut) . wenn ich mich allerdings übers Netzwerk in das Verzeichnis (c:\windows\system32) begebe sind die dateien vorhanden. also müssen die so versteckt sein das ich die als lokal angemeldeter Administrator nicht sehen kann.

Kopiere ich die jeweiligen dateien unter anderem namen auf den server z.b.

ping.exe ->p.exe und versuche diese dann zu starten macht er dies auch nicht.

Wie Velius { und andere} schon sagten: du bist eine Spam- / Virenschleuder.

 

Dein Trojaner ist schlecht aber für dich wirksam: er kompromitiert deine CMD und das darauf basierende API ( kein Kernel API sonst würdest du via Netzwerk auch nichts sehen)

 

Klartext - die CMD.EXE ist nicht mehr das was sie sein sollte, der Webgemeinde tust du einen riesigen Gefallen- nimm das Teil vom Netz und neu Installieren!

 

Lass die suche am Live-Objekt sein, scheinbar kommst du mit einem Wissen da nicht weiter. Weg vom Netz mit dem teil, auch deiner Firma zuliebe!

[grizzly999 11]

Wie Velius { und andere} schon sagten: du bist eine Spam- / Virenschleuder.

Das wäre ja noch das Wenigste. Das "Machtwort", wie es Stoni nett beschrieben hat, ist nicht von mir, sondern eigentlich vom Microsoft Sicherheits-Guru Jesper Johansson in einem Vortrag auf der TechEd 2005 in Amsterdam. Dort hat er Live gezeigt, wie er in 10 Schritten, angefangen bei einem Server in der DMZ, die ganze Domäne unter seine Kontrolle gebracht hat. Faszinierend und erschreckend zugleich diese Demonstration, kann ich nur sagen.

 

Sein Fazit am Ende war: Die Domäne kannst du neu aufsetzen, denn, Zitat:

 

If I am a hacker and in your network, and I don't want YOU to find ME, you will never find me

 

 

grizzly999

 

P.S: Hier ist diese "Machtdemonstration" im Kapitel "10 Steps to hack your network" drin beschrieben. Nicht nur deswegen, sondern allgemein ein äußerst empfehlenswertes Security Buch: Amazon.de: Protect Your Windows Network. From Perimeter to Data (Microsoft Technology): English Books: Jesper M. Johansson,Steve Riley