Jump to content
Sign in to follow this  
Microby

Netzwerkproblem-Explorer

Recommended Posts

:D Hi Leute, :D

 

Ich bin nun ganz neu hier bei Euch obwohl ich schon oft mir Hilfe hier geholt habe. Ich muss dazu sagen, unbeleckt bin ich nicht , eher beruflich hauptsächlich in Netzwerkfragen vorbelastet (Ihr versteht hoffentlich wie ich das meine).

:confused: Nun habe ich aber wirklich mal ein Problem bei dem ich an meine Grenzen komme und ich hier bei Euch auch nichts gefunden habe. :confused:

 

Aber in Teamwork kommen doch imer die besten Lösungen zu Stande.

 

Also es geht um eine Serverdomäne. Bis letzte Woche lief alles ganz prima hier bei mir, nur hab ich einem fiesen Trojaner (trotz AntiVir) der per ICQ-Nachricht über die Router-Firewall drüber kam aufgesessen. Der Typ hat sich meine Config-Datei vom TotalCommander (dummerweise mit Passwörtern, man lernt nie aus...) gegriffen und dann auf meinen Websites einen Virenscript eingebaut. Nachdem Passwörter geändert wurden setzte ich sämtliche Rechner im Netz neu auf, man weiß ja nie. Seitdem bekomme ich kein stabiles Netz mehr hin. Also, die Einrichtung klappte ohne Problem, alles mit AD verwaltet, alle richtige Netzwerkadressen, DHCP vom Router, Server hat ne feste wegen DNS-Server, alles keine Probleme. Und dann, wenn der Server ne Weile läuft und ich mit den Clients mit dem Explorer auf die Serverlaufwerke (Dateiserver) zugreifen will, bleibt auf dem Client der Explorer hängen. Wenn ich dann mit dem Taskmanager den Explorer kille und neu reanimiere kann ich auf das Laufwer zugreifen. Dies passiert ohne Regelmäßigkeit Der Server hängt dann aber nicht.

Ob ich dabei der Domäne angeschlossen bin oder ob nicht, das spielt keine Rolle.

Ich hab ja auch schon an die Netzwerkkartentreiber gedacht, aber es ist auf beiden Clients, 1 Rechner, 1 Laptop, ... und es lief ja früher auch...

 

Ich weiß nicht mehr..., Leute fangt an zu fragen... Ach ja noch kurz: Reines XP-Netzwerk...

Share this post


Link to post

Hi!

 

Was hast Du für einen Server?

 

Wer ist für DNS zuständig?

 

Nach der Installation von AD erstellt Win im DNS einen "." Eintrag, der gelöscht werden muss.

Share this post


Link to post

Dankeschön, toll für die schnelle Reaktion.

2003, und der Server selber. 2003 erzeugt meines Wissens nach diesen ominösen "."-Eintrag nicht mehr. zumindest hab ich ihn nicht mehr gefunden. Beim 2000er Server geb ich Dir allerdings recht.

Share this post


Link to post

Den DNS hab ich durchs AD konfigurieren lassen bei der Heraufsetzung zum DC. Den DHCP lass ich übern Router laufen für den Fall das der Server mal aus ist.

Share this post


Link to post

Hi, hat keiner mehr ne Idee?

Habe inzwischen den Server nochmals komplett gekillt und nun kein DNS mehr zu laufen. Trotzdessen hab ich aber immer noch diese Probleme.

Share this post


Link to post

Vage Vermutungen: Der Hacker war ja wohl nicht der schlechteste - er wird noch irgendeine Hintertür eingebaut haben. Wenn sich der Explorer aufhängt, sieht das danach aus, als ob er versucht, auf eine zusätzliche Adresse zuzugreifen und dies nicht schafft. Es gibt einen Virus / Trojaner, der die hosts umschreibt bzw. den Reg-Schlüssel ändert, so daß eine andere hosts verwendet wird.

 

-------------

Gruß, Auer

Share this post


Link to post

Hi,

 

hmm, naja also die Hosts konnte ich ja überprüfen. Die sind sauber, also nur der local auf den Clients und beim Server der local und von Hand eingetragen die Addy der Servernetzwerkkarte in Verbindung der eigenen Domäne.

 

Also, die Art des Angriffs war ja wohl noch nicht so bekannt. Aber da sich das Teil rasend schnell über meine und wer weiß noch welche Websites inklusive ICQ-Clients verbreitet hat, denke ich mal das die bei Symantec usw. was davon mitbekommen haben, ich habe zumindest die letzten Tage fast täglich nen Update bekommen, sonst ist es eins in der Woche. Und mein Virenscanner und diverse Anti Trojaner finden aber nichts. Zumal ich alle Rechner komplett neu aufgesetzt habe.Aber selbst diverse Komplettscans brachten nix zu Tage.

 

Hast Du vielleicht ne Idee wonach ich in der Reg. suchen könnte?

 

Es ist auch so, wenn ich den Explorer per Task kille, beendet er zwar auf dem Desktop, im Manager hängt er aber noch fest. Wenn man ihn dann mittels neuem Task startet bekommt man Zugriff auf das Netzlaufwerk. Wenn man sich so (killen, reanimieren) durch alle Laufwerke durchgehangelt hat, hat man Zugriff auf alle Laufwerke.

Da man wie schon gesagt, z.B. mit dem Mailproggi aber immer Zugriff auf den Postordner der auch im Netz liegt hat, ist ja an sich nicht der Netzverkehr behindert.

 

Aber Deine Gedanken sind gut, nur wie weiter...?

Share this post


Link to post

Das mit der Hintertür könnte was dran sein. Wenn ich mir hier so meine Logfiles ansehe... Klar, früher hat man nie groß drauf geachtet. Aber ständig:

 

Tue Nov 18 15:27:08 2003 - teardrop attack - any

[wan,217.230.25.240,217.85.35.192:0] - [discard]

Tue Nov 18 15:28:16 2003 - stop blocking - ids

Tue Nov 18 15:28:23 2003 - syn flood attack - tcp

[wan,217.230.117.84,xxx.xxx.x.x:2291] - [discard]

Tue Nov 18 15:28:23 2003 - block attack - ids

Tue Nov 18 15:33:25 2003 - stop blocking - ids

 

Sieht doch nett aus, oder? Und das ist nur ein kleiner Auszug...

Scheint so als suche da jemand nach Rückruf.

Aber wonach kann ich suchen?

Share this post


Link to post

Keiner mehr nen Plan? Habe immer die jeweils neuesten Sicherheits-Patches von MS mit draufgenudelt. Bin drauf und dran nochmals den Server nochmals ohne die Teile zu installieren. Vorm Crash hatte ich nähmlich nur den, weiß ich KB8239..?, na den wegen dem Blaster darauf.

Share this post


Link to post

Der Reg-Schlüssel, der den Ort der hosts benennt, ist in http://www.mcseboard.de/showthread.php?threadid=15573 erwähnt. Sucht man bei Microsoft nach teardrop, gibt es sofort Hinweise auf TCP-Überflutungen. Entweder legt dir jemand von außen her dein System lahm oder - was ich eher befürchte - jemand wollte dein System verwenden, um einen DDOS - Angriff auf eine andere Firma zu starten. Und der Angriff bleibt nun im internen Netz stecken. Da scheint ziemlich viel im Argen zu sein.

 

-------------

Gruß, Auer

Share this post


Link to post

Danke für den Tipp.

 

Hat leider auch kein Ergebnis gebracht, die Regs sind sauber, selbst die TCP- Einträge sind alle supi... Und das Trojaner-Suchtool hat auch nix ergeben, auf allen Pladden...

Share this post


Link to post

Habe den server und die Clients nun nochmals komplett neu aufgesetzt Nachdem Beitritt zur Domäne hab ich mich dann mit nem Client an der Domäne angemeldet. Und das dauerte... Ich hab einfach ihn machen lassen, vorher hab ich ihn schon lang gekillt. Also es ist wohl doch ein reines Geschwindigkeitsproblem. Wenn ich mich angemeldet habe und auf die Netzlaufwerke gehe, lass ich ihn einfach machen, 15 min oder so und dann läufts. Zumindest dieses eine. DNS hab ich jetzt auf dem Server drauf, habs nachträglich installiert und für kleine Netzwerke, also nur Forwarding automatisch konfigurieren lassen. In der Ereignisanzeige sieht alles supi aus, also nix mehr wie früher, lauter DNS-Probleme. Beim Client ist auch der Server als DNS eingetragen.

Hat jemand nen Tipp?

Share this post


Link to post

Hi!

 

Also nichts ist wichtiger als ein richtig konfiguriertes DNS!

 

Dazu gehört aber auch eine revers Zone!

 

Auch wenn Einige sagen es geht auch ohne, aber wie?

 

DNS kann nur rund Laufen, wenn er richtig und vollständig konfiguriert ist!

 

Weiter sollte man die Abhängigkeiten von DNS und DHCP nicht ausser acht lassen.

 

Die gegenseitigen Einstellungen verzahnen das System und verkürzen Abfragen.

Share this post


Link to post

Hi Microby,

 

Du hast geschrieben das Du den DNS nach der Einrichtung des AD erstellt hast ?!

Wie hast Du dann bitte den AD Setupmanager beenden können ?

Desweiteren würde mich mal die genaue Konfiguration der Cleient und Server ( ipconfig /all ) interessieren wenn Du die mal Abbilden könntest ?

Wenn ich alles Richtig verstanden haben sind jetzt alle Rechner neu aufgesetzt und auf keinen Fall ein bekannter Virus drauf ?!

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...