Jump to content
Sign in to follow this  
thork

unbekannter benutzer "service_ms"

Recommended Posts

hallo,

 

ich habe das gefühl, bei usn auf dem server hat sich jemand eingeschlichen.

es existiert ein benutzer unter lokale benutzer "service_ms"

 

der server ist als standalone im internet eingebunden. nur ein user hat die rechte per remote darauf zuzugreifen.

 

aber woher kommt der benutzer?

 

gruß thork

Share this post


Link to post
Share on other sites

Der "offizielle" Supportuser von Microsoft beginnt mit "SUPPORT_" und trägt die Beschreibung "Herstellerkonto für Hilfe- und Supportdienste".

 

Ich wäre da auch skeptisch.

Ändere schnellstmöglich das Admin-Konto und deaktiveiere mal den User.

Danach kann man mal in Erfahrung bringen, was der User schon angerichtet hat...

Share this post


Link to post
Share on other sites

schon gemacht.

 

und jetzt die schlimme nachricht... wir sind gehackt worden. im system volume verzeichnis befindet sich eine scan500.exe und ca. 60 gb an aktuellen filmen. ich bekomme die daten nicht gelöscht.

 

kann mir wer sagen wie ich den mist da wieder runter bekomme? da mit einfachen befehlen oder löschaktionen das ganze gesperrt ist und der zugriff verweigert wird

 

oje...

Share this post


Link to post
Share on other sites

vielen dank. das hilft mir schon mal weiter

 

so bekomme ich die 60 gb wieder weg, aber...

 

ich bekomme den dienst scan500.exe nicht gelöscht. er schreibst sich 2 mal rein und ist immer wieder sofort da, nachdem ich ihn gekillt habe

 

[EDIT] hat sich erledigt, ich kann 2 prozesse gleichzeitig killen, dann gehts

Share this post


Link to post
Share on other sites

und eine komplett renovierung des sicherheitskonzeptes wäre dann wohl auch angebracht, nicht das plötzlich die gleichen 60 gb wieder woanders auftauchen :)

Share this post


Link to post
Share on other sites

ihr habt da villeicht schon recht.

 

leider ist das nicht soi einfach möglich, da der rechner in einem rechenzentrum steht.

 

wir haben unseren fehler gefunden. der webserver hatte einige sicherheitslücken, windows selbst hatte alle updates bis zum letzten installiert.

 

die kennwörter aller datenbanken und aller user wurden neu angelegt.

 

ich hoffe mal, das es damit war. sonst müssen wir echt in den sauren apfel beissen.

 

 

 

eine frage hätte ich da aber doch. wie konnte trotz firewall das tool auf die platte? oder hat sich jemand das kennwort "geklaut" und ist über den remote rein? wobei es nach allen sicherheitsrichtlinien angelegt war

Share this post


Link to post
Share on other sites

ein ordentlicher hoster hat im normalfall eine remote konsole oder zumindestens einen "reset service". eine neuinstallation sollte also keine große sache sein. ich würde dir drigend eine neuinstallation anraten. würdest du gerne kunde bei einer firma sein die deine daten auf ehemals gehackten server lagert? derartige arbeitsweise kann überaus geschäfts schädigend, wenn nicht sogar strafbar sein.

 

ich würde den server zudem erst wieder online bringen wenn du die lücke wirklich gefunden hast. welcher webserver mit welcher angeblicher lücke? welche webapps laufen auf dem server?

Share this post


Link to post
Share on other sites

Gegenfragen:

 

Läuft der Server bei Euch im RZ oder bei einem Provider?

Server OS? Du sprachst von Windows, aber welches?

Welcher WWW-Server? IIS? Apache?

 

Alles Fragen, ohne deren Antworten man auf die Glaskugel starrt...

Share this post


Link to post
Share on other sites

also... es ist ein privater Game Server der bei einem provider im rz steht

 

als BS läuft Windows Server 2003 SP2

der webserver ist das aktuelle xampp paket

 

ok, mit der neuinstallation muß ich mir mal überlegen. klar das ist die bessere variante.

 

danke erst mal

Share this post


Link to post
Share on other sites

nach der neuinstallation würde ich als erstes mal xampp weglassen und nur die pakete installieren die du für den gameserver wirklich brauchst.

Share this post


Link to post
Share on other sites

@ gerhardg

naja... wir brauchen nen html, php webserver mit sql datenbank und activeperl für stats :-)

allerdings gab es wohl haufenweise sicherheitslücken in dem xampp was wir hatten. die neue version sollte besser sein.

 

 

so, wir haben uns für eine neuinstallation entschieden.

 

nun benötige ich mal eine kleine info. derzeit hatten wir nur die standartfirewall, reicht diese aus? oder lag es daran, dass der server nicht sicher ist / war

 

wie kann ich testen ob sicherheitslücken auf dem server offen sind. so kleine scans wie symantec sie anbietet reichen wohl nicht aus, oder?!

Share this post


Link to post
Share on other sites

grundsätzlich reicht die standardfirewall. du solltest aber nicht vergessen was die aufgaben der firewall sind. diese ist nicht für die sicherheit des webservers zuständig. ganz im gegenteil, durch die öffnung des ports ermöglicht sie externen den zugriff auf den server ;)

 

installier die ganzen produkte von hand und trage dich in den entsprechenden security newslettern der einzelnen hersteller ein. praktisch alle bieten auch entsprechende dokus für die sichere konfiguration an.

Share this post


Link to post
Share on other sites

das war auch eine meiner ideen mit dem "alles manuell" installieren.

 

aufwendig, aber sicherer.

 

oje... aus schaden wird man klug

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...