Jump to content

Portscan - Auffälligkeiten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo und guten Tag.

 

Habe ja in den letzten Tagen hier einige Probleme mit unserem Server gepostet. Nun habe ich mal einen Portscan laufen lassen. Vielleicht könnt Ihr irgendwelche Auffälligkeiten feststellen. Wäre für jeden Hinweis dankbar. Nun zum Portscan:

 

TCP: 10.66.70.100 [7-echo]

TCP: 10.66.70.100 [9-discard]

TCP: 10.66.70.100 [13-daytime]

TCP: 10.66.70.100 [17-qotd]

TCP: 10.66.70.100 [19-chargen]

TCP: 10.66.70.100 [42-nameserver]

TCP: 10.66.70.100 [53-domain]

TCP: 10.66.70.100 [80-www-http]

TCP: 10.66.70.100 [88-kerberos]

TCP: 10.66.70.100 [135-epmap]

TCP: 10.66.70.100 [139-netbios-ssn]

TCP: 10.66.70.100 [389-ldap]

TCP: 10.66.70.100 [445-microsoft-ds]

TCP: 10.66.70.100 [464-kpasswd]

TCP: 10.66.70.100 [593-http-rpc-epmap]

TCP: 10.66.70.100 [636-ldaps]

TCP: 10.66.70.100 [1026-icq] :confused:

TCP: 10.66.70.100 [1029-icq] | ncacn_http/1.0 :confused:

TCP: 10.66.70.100 [1038]

TCP: 10.66.70.100 [1097-sunclustermgr]

TCP: 10.66.70.100 [1107-isoipsigport-2]

TCP: 10.66.70.100 [1108-ratio-adp]

TCP: 10.66.70.100 [1115-ardus-trns]

TCP: 10.66.70.100 [1119]

TCP: 10.66.70.100 [1120]

TCP: 10.66.70.100 [1131]

TCP: 10.66.70.100 [2155-backdoor] :confused:

TCP: 10.66.70.100 [2638-sybaseanywhere]

TCP: 10.66.70.100 [3268-msft-gc]

TCP: 10.66.70.100 [3269-msft-gc-ssl]

TCP: 10.66.70.100 [3372-tip2] :confused:

TCP: 10.66.70.100 [3389-ms-wbt-server]

TCP: 10.66.70.100 [6101-synchronet-rtc]

TCP: 10.66.70.100 [8000-irdmi]

TCP: 10.66.70.100 [8443-pcsync-https]

 

:confused:

 

Muss dazu sagen, dass eigentlich nur die W2K-Grundinstallation, mit Office und einer Sybase-Datenbank drauf ist.

 

Danke Euch im voraus,

 

Frank

Link zu diesem Kommentar

Solange dies alles offiziell installierte Programme sind, ist die Liste natürlich ok. Das Prinzip bei Diensten und Portbelegungen ist, möglichst alles zu minimalisieren, um bei Softwarebugs keine unnötigen Risiken einzugehen.

 

Zwei Fragen: C:\Ent32\Ent32.exe auf 18881 - ist das ein absichtlich installiertes Programm? Der IIS läuft auf dem ungewöhnlichen Port 1131 anstatt auf einem der drei Standardports für http (80), ftp (21) oder SMTP (25). Wurde dies absichtlich so installiert oder wurde der IIS von einem Dritten gestartet?

 

Bei den anderen Diensten gehe ich davon aus, daß sie alle absichtlich aktiv sind und benötigt werden.

 

-------------

Gruß, Auer

Link zu diesem Kommentar

Hallo alias,

 

wenn dieser Rechner ohne Schutz (Firewall) im Internet hängt, kannst du genausogut auf eurer Website das Passwort des Admin veröffentlichen. Der Server stellt eine Einladung mit weit sichtbarer Leuchtreklame dar.

 

Wenn er noch nicht missbraucht wird für unerlaubten Dateitausch oder DDoS-Attacken, dann wird es nur eine Frage der Zeit sein, bis ein Hacker euren Server lahm legt.

 

Wer auch immer die Verantwortung für den Rechner hat, sollte dringenst Sicherheitsmaßnahmen einleiten! Die sind jedoch nicht mal schnell auf 5, 6 Seiten erklärt. Imzweifelsfall besorgt euch eine Hardware-Firewall, die vorkonfiguriert einsatzbereit ist.

 

Der Schaden, der euch durch Ausfälle oder Missbrauch entstehen wird, steht in keinem Verhältnis zu den Kosten der Anschaffung einer Firewall!

 

Grüße

Olaf

Link zu diesem Kommentar

Hi, olaf,

 

der Rechner geht über eine Datenzentrale* in das Internet. Und die ist (eigentlich) über eine Hardware-Firewall abgesichert.

 

Da ich aber diesen Humpen neu installieren werde wird er in Zukunft nicht mehr für das Internet freigegeben werden.

 

*Die Frage ist, ob diese "Fachleute" dort alles im Griff haben... :suspect:

 

 

Frank

Link zu diesem Kommentar

Ich habe mir mal das von @solinske empfohlene fport geholt und auf meinen Rechner angewandt. Zu meiner Verblüffung stellte sich heraus, daß auch bei mir der IIS noch einen weiteren Port belegt - 1028. Ich verstehe allerdings nicht, warum in deiner zuerst geposteten Liste der IIS den Standardport 80-www-http belegt, das fPort diesen jedoch nicht findet.

 

Das Heikle am IIS ist, daß es für diesen diverse BufferOverflows und anderes gab (CodeRed). Läuft dieser also und fehlt ein relevanter Patch, so kann auch ein Mitarbeiter von innen sich durch dieses Loch Adminrechte verschaffen - es gibt nun einmal auch Angriffe von innen, von außen her ist der Server nicht erreichbar. Besorge dir von Microsoft hfnetchk, damit kannst Du prüfen, ob Dein Rechner in bezug auf Patches auf dem neuesten Stand ist. Ansonsten: Abschalten, wenn ihn jemand braucht, wird er sich schon melden.

 

-------------

Gruß, Auer

Link zu diesem Kommentar

@auer,

 

wenn es gehen würde, würde ich ja Patches installieren bzw. deinstallieren. Aber ich muß sagen, nach einer Update-Session der Maschine (über Microsoft - Auto-Update) und einem Neustart der Kiste lässt sich diese nun nicht mehr "managen". Ich komme noch nicht mal mehr in die Systemsteuerung (Explorer hängt sich auf) geschweige denn kann ich Dienste anhalten, beenden oder starten.

 

Selbst eine Deinstallation der Patches von Microsoft funktioniert nicht. Wollte vor einigen Tagen das kompl. SP4 drüber bügeln, ging aber leider, wie oben erwähnt, nicht.

 

Was mich verwundert ist, dass dieses erst nach einer Auto-Windows-Update-"Prozedur" so abgeht... :confused:

 

Frank

Link zu diesem Kommentar

wozu brauchst du die einfachen TCP/ip Dienste ??? - abschalten !!!

 

du kannst ja mal auf die seite

 

http://www.portscan.de

 

gehen und einen schnelltest machen, dann siehst du, ob die jungs im RZ aufpassen !!!

 

ist nur ein abklopfen der ports, es werden keine trojane (etc) eingespielt !!!

 

@auer

gibt es den hfnetchk noch .- ich dachte ms macht jetzt alles über den msbsa ???

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...