Jump to content
Sign in to follow this  
alias

Portscan - Auffälligkeiten

Recommended Posts

Hallo und guten Tag.

 

Habe ja in den letzten Tagen hier einige Probleme mit unserem Server gepostet. Nun habe ich mal einen Portscan laufen lassen. Vielleicht könnt Ihr irgendwelche Auffälligkeiten feststellen. Wäre für jeden Hinweis dankbar. Nun zum Portscan:

 

TCP: 10.66.70.100 [7-echo]

TCP: 10.66.70.100 [9-discard]

TCP: 10.66.70.100 [13-daytime]

TCP: 10.66.70.100 [17-qotd]

TCP: 10.66.70.100 [19-chargen]

TCP: 10.66.70.100 [42-nameserver]

TCP: 10.66.70.100 [53-domain]

TCP: 10.66.70.100 [80-www-http]

TCP: 10.66.70.100 [88-kerberos]

TCP: 10.66.70.100 [135-epmap]

TCP: 10.66.70.100 [139-netbios-ssn]

TCP: 10.66.70.100 [389-ldap]

TCP: 10.66.70.100 [445-microsoft-ds]

TCP: 10.66.70.100 [464-kpasswd]

TCP: 10.66.70.100 [593-http-rpc-epmap]

TCP: 10.66.70.100 [636-ldaps]

TCP: 10.66.70.100 [1026-icq] :confused:

TCP: 10.66.70.100 [1029-icq] | ncacn_http/1.0 :confused:

TCP: 10.66.70.100 [1038]

TCP: 10.66.70.100 [1097-sunclustermgr]

TCP: 10.66.70.100 [1107-isoipsigport-2]

TCP: 10.66.70.100 [1108-ratio-adp]

TCP: 10.66.70.100 [1115-ardus-trns]

TCP: 10.66.70.100 [1119]

TCP: 10.66.70.100 [1120]

TCP: 10.66.70.100 [1131]

TCP: 10.66.70.100 [2155-backdoor] :confused:

TCP: 10.66.70.100 [2638-sybaseanywhere]

TCP: 10.66.70.100 [3268-msft-gc]

TCP: 10.66.70.100 [3269-msft-gc-ssl]

TCP: 10.66.70.100 [3372-tip2] :confused:

TCP: 10.66.70.100 [3389-ms-wbt-server]

TCP: 10.66.70.100 [6101-synchronet-rtc]

TCP: 10.66.70.100 [8000-irdmi]

TCP: 10.66.70.100 [8443-pcsync-https]

 

:confused:

 

Muss dazu sagen, dass eigentlich nur die W2K-Grundinstallation, mit Office und einer Sybase-Datenbank drauf ist.

 

Danke Euch im voraus,

 

Frank

Share this post


Link to post

Ich hoffe, Du hast eine gute Firewall vorgeschaltet oder es handelt sich um einen Rechner, der alleine vor sich hintuckert, ohne Netz.

 

Prinzip: Alles, was man nicht unbedingt und zwingend benötigt, abstellen, etwa die Ports bis 20, die sind - glaube ich - in den einfachen TCP-Netzwerkdiensten drin.

 

------------

Gruß, Auer

Share this post


Link to post

Hi, danke für die Antwort.

 

Es handelt sich "leider" um einen Netzrechner. Und den kann ich leider nicht mehr managen. Geschweige denn, Dienste abstellen, starten oder beenden.

 

Denke wohl, dass ich da ein größeres Problem habe... :cry:

 

Frank

Share this post


Link to post

such dir mal unter google das prog fport, das führst du aus und lässt das ergebnis in eine text-datei schreiben, dann siehst du gan zgenau, welche anwendung welchen port will !!!

 

aber dein server scheint nicht ganz sauber zu sein !!!

 

woe sehen die udp verbindungen aus ????

Share this post


Link to post

Solange dies alles offiziell installierte Programme sind, ist die Liste natürlich ok. Das Prinzip bei Diensten und Portbelegungen ist, möglichst alles zu minimalisieren, um bei Softwarebugs keine unnötigen Risiken einzugehen.

 

Zwei Fragen: C:\Ent32\Ent32.exe auf 18881 - ist das ein absichtlich installiertes Programm? Der IIS läuft auf dem ungewöhnlichen Port 1131 anstatt auf einem der drei Standardports für http (80), ftp (21) oder SMTP (25). Wurde dies absichtlich so installiert oder wurde der IIS von einem Dritten gestartet?

 

Bei den anderen Diensten gehe ich davon aus, daß sie alle absichtlich aktiv sind und benötigt werden.

 

-------------

Gruß, Auer

Share this post


Link to post

Hallo, auer,

 

bei der Ent32.exe handelt es sich um eine USV der Fa. Microdowell.

 

Der IIS ist von meinem Vorgänger bzw. meiner Vorgängerin installiert worden :shock: . Wofür, ist hier im Moment eigentlich fraglich. Die Dame ist zur Zeit im Urlaub.

 

Frank

Share this post


Link to post

Hallo alias,

 

wenn dieser Rechner ohne Schutz (Firewall) im Internet hängt, kannst du genausogut auf eurer Website das Passwort des Admin veröffentlichen. Der Server stellt eine Einladung mit weit sichtbarer Leuchtreklame dar.

 

Wenn er noch nicht missbraucht wird für unerlaubten Dateitausch oder DDoS-Attacken, dann wird es nur eine Frage der Zeit sein, bis ein Hacker euren Server lahm legt.

 

Wer auch immer die Verantwortung für den Rechner hat, sollte dringenst Sicherheitsmaßnahmen einleiten! Die sind jedoch nicht mal schnell auf 5, 6 Seiten erklärt. Imzweifelsfall besorgt euch eine Hardware-Firewall, die vorkonfiguriert einsatzbereit ist.

 

Der Schaden, der euch durch Ausfälle oder Missbrauch entstehen wird, steht in keinem Verhältnis zu den Kosten der Anschaffung einer Firewall!

 

Grüße

Olaf

Share this post


Link to post

Hi, olaf,

 

der Rechner geht über eine Datenzentrale* in das Internet. Und die ist (eigentlich) über eine Hardware-Firewall abgesichert.

 

Da ich aber diesen Humpen neu installieren werde wird er in Zukunft nicht mehr für das Internet freigegeben werden.

 

*Die Frage ist, ob diese "Fachleute" dort alles im Griff haben... :suspect:

 

 

Frank

Share this post


Link to post

Datenzentrale??? = Rechenzentrum?

Na egal, ich wollte dich nur darauf aufmerksam machen, dass es einem administrativen Suicidversuch gleichkommt, wenn ein Win-Server ohne weitere Maßnahmen an's Internet angeschlossen wird.

 

Viel Glück und wenig Angriffe

Olaf

Share this post


Link to post

Ich habe mir mal das von @solinske empfohlene fport geholt und auf meinen Rechner angewandt. Zu meiner Verblüffung stellte sich heraus, daß auch bei mir der IIS noch einen weiteren Port belegt - 1028. Ich verstehe allerdings nicht, warum in deiner zuerst geposteten Liste der IIS den Standardport 80-www-http belegt, das fPort diesen jedoch nicht findet.

 

Das Heikle am IIS ist, daß es für diesen diverse BufferOverflows und anderes gab (CodeRed). Läuft dieser also und fehlt ein relevanter Patch, so kann auch ein Mitarbeiter von innen sich durch dieses Loch Adminrechte verschaffen - es gibt nun einmal auch Angriffe von innen, von außen her ist der Server nicht erreichbar. Besorge dir von Microsoft hfnetchk, damit kannst Du prüfen, ob Dein Rechner in bezug auf Patches auf dem neuesten Stand ist. Ansonsten: Abschalten, wenn ihn jemand braucht, wird er sich schon melden.

 

-------------

Gruß, Auer

Share this post


Link to post

@auer,

 

wenn es gehen würde, würde ich ja Patches installieren bzw. deinstallieren. Aber ich muß sagen, nach einer Update-Session der Maschine (über Microsoft - Auto-Update) und einem Neustart der Kiste lässt sich diese nun nicht mehr "managen". Ich komme noch nicht mal mehr in die Systemsteuerung (Explorer hängt sich auf) geschweige denn kann ich Dienste anhalten, beenden oder starten.

 

Selbst eine Deinstallation der Patches von Microsoft funktioniert nicht. Wollte vor einigen Tagen das kompl. SP4 drüber bügeln, ging aber leider, wie oben erwähnt, nicht.

 

Was mich verwundert ist, dass dieses erst nach einer Auto-Windows-Update-"Prozedur" so abgeht... :confused:

 

Frank

Share this post


Link to post

@olaf,

 

da kannst du mal sehen, wie es in meiner Birne mittlerweile aussieht (Datenzentrale). Natürlich handelt es sich um ein Rechenzentrum, über das wir über einen Proxy ins Internet tauchen.

 

Aber ich sagte schon, mit der Maschine wohl nicht mehr.

 

Frank

 

P.S. Besten Dank für die Wünsche :wink2:

Share this post


Link to post

Das hat zwar nichts mehr mit deiner ursprünglichen Frage zu tun. Aber wenn Du nicht einmal mehr in die Dienstverwaltung kommst bzw. der Explorer abstürzt, dann stimmen da doch ganz andere Dinge nicht mehr? Sicherung -> Neuinstallation, auf das dortige OS ist doch dann kein Verlaß mehr.

 

-------------

Gruß, Auer

Share this post


Link to post

wozu brauchst du die einfachen TCP/ip Dienste ??? - abschalten !!!

 

du kannst ja mal auf die seite

 

http://www.portscan.de

 

gehen und einen schnelltest machen, dann siehst du, ob die jungs im RZ aufpassen !!!

 

ist nur ein abklopfen der ports, es werden keine trojane (etc) eingespielt !!!

 

@auer

gibt es den hfnetchk noch .- ich dachte ms macht jetzt alles über den msbsa ???

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...