Jump to content

unbekannter benutzer "service_ms"


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

hallo,

 

ich habe das gefühl, bei usn auf dem server hat sich jemand eingeschlichen.

es existiert ein benutzer unter lokale benutzer "service_ms"

 

der server ist als standalone im internet eingebunden. nur ein user hat die rechte per remote darauf zuzugreifen.

 

aber woher kommt der benutzer?

 

gruß thork

Link to post

Der "offizielle" Supportuser von Microsoft beginnt mit "SUPPORT_" und trägt die Beschreibung "Herstellerkonto für Hilfe- und Supportdienste".

 

Ich wäre da auch skeptisch.

Ändere schnellstmöglich das Admin-Konto und deaktiveiere mal den User.

Danach kann man mal in Erfahrung bringen, was der User schon angerichtet hat...

Link to post

schon gemacht.

 

und jetzt die schlimme nachricht... wir sind gehackt worden. im system volume verzeichnis befindet sich eine scan500.exe und ca. 60 gb an aktuellen filmen. ich bekomme die daten nicht gelöscht.

 

kann mir wer sagen wie ich den mist da wieder runter bekomme? da mit einfachen befehlen oder löschaktionen das ganze gesperrt ist und der zugriff verweigert wird

 

oje...

Link to post

vielen dank. das hilft mir schon mal weiter

 

so bekomme ich die 60 gb wieder weg, aber...

 

ich bekomme den dienst scan500.exe nicht gelöscht. er schreibst sich 2 mal rein und ist immer wieder sofort da, nachdem ich ihn gekillt habe

 

[EDIT] hat sich erledigt, ich kann 2 prozesse gleichzeitig killen, dann gehts

Link to post

ihr habt da villeicht schon recht.

 

leider ist das nicht soi einfach möglich, da der rechner in einem rechenzentrum steht.

 

wir haben unseren fehler gefunden. der webserver hatte einige sicherheitslücken, windows selbst hatte alle updates bis zum letzten installiert.

 

die kennwörter aller datenbanken und aller user wurden neu angelegt.

 

ich hoffe mal, das es damit war. sonst müssen wir echt in den sauren apfel beissen.

 

 

 

eine frage hätte ich da aber doch. wie konnte trotz firewall das tool auf die platte? oder hat sich jemand das kennwort "geklaut" und ist über den remote rein? wobei es nach allen sicherheitsrichtlinien angelegt war

Link to post

ein ordentlicher hoster hat im normalfall eine remote konsole oder zumindestens einen "reset service". eine neuinstallation sollte also keine große sache sein. ich würde dir drigend eine neuinstallation anraten. würdest du gerne kunde bei einer firma sein die deine daten auf ehemals gehackten server lagert? derartige arbeitsweise kann überaus geschäfts schädigend, wenn nicht sogar strafbar sein.

 

ich würde den server zudem erst wieder online bringen wenn du die lücke wirklich gefunden hast. welcher webserver mit welcher angeblicher lücke? welche webapps laufen auf dem server?

Link to post

Gegenfragen:

 

Läuft der Server bei Euch im RZ oder bei einem Provider?

Server OS? Du sprachst von Windows, aber welches?

Welcher WWW-Server? IIS? Apache?

 

Alles Fragen, ohne deren Antworten man auf die Glaskugel starrt...

Link to post

also... es ist ein privater Game Server der bei einem provider im rz steht

 

als BS läuft Windows Server 2003 SP2

der webserver ist das aktuelle xampp paket

 

ok, mit der neuinstallation muß ich mir mal überlegen. klar das ist die bessere variante.

 

danke erst mal

Link to post

@ gerhardg

naja... wir brauchen nen html, php webserver mit sql datenbank und activeperl für stats :-)

allerdings gab es wohl haufenweise sicherheitslücken in dem xampp was wir hatten. die neue version sollte besser sein.

 

 

so, wir haben uns für eine neuinstallation entschieden.

 

nun benötige ich mal eine kleine info. derzeit hatten wir nur die standartfirewall, reicht diese aus? oder lag es daran, dass der server nicht sicher ist / war

 

wie kann ich testen ob sicherheitslücken auf dem server offen sind. so kleine scans wie symantec sie anbietet reichen wohl nicht aus, oder?!

Link to post

grundsätzlich reicht die standardfirewall. du solltest aber nicht vergessen was die aufgaben der firewall sind. diese ist nicht für die sicherheit des webservers zuständig. ganz im gegenteil, durch die öffnung des ports ermöglicht sie externen den zugriff auf den server ;)

 

installier die ganzen produkte von hand und trage dich in den entsprechenden security newslettern der einzelnen hersteller ein. praktisch alle bieten auch entsprechende dokus für die sichere konfiguration an.

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...