Jump to content

Netzwerkproblem-Explorer


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

:D Hi Leute, :D

 

Ich bin nun ganz neu hier bei Euch obwohl ich schon oft mir Hilfe hier geholt habe. Ich muss dazu sagen, unbeleckt bin ich nicht , eher beruflich hauptsächlich in Netzwerkfragen vorbelastet (Ihr versteht hoffentlich wie ich das meine).

:confused: Nun habe ich aber wirklich mal ein Problem bei dem ich an meine Grenzen komme und ich hier bei Euch auch nichts gefunden habe. :confused:

 

Aber in Teamwork kommen doch imer die besten Lösungen zu Stande.

 

Also es geht um eine Serverdomäne. Bis letzte Woche lief alles ganz prima hier bei mir, nur hab ich einem fiesen Trojaner (trotz AntiVir) der per ICQ-Nachricht über die Router-Firewall drüber kam aufgesessen. Der Typ hat sich meine Config-Datei vom TotalCommander (dummerweise mit Passwörtern, man lernt nie aus...) gegriffen und dann auf meinen Websites einen Virenscript eingebaut. Nachdem Passwörter geändert wurden setzte ich sämtliche Rechner im Netz neu auf, man weiß ja nie. Seitdem bekomme ich kein stabiles Netz mehr hin. Also, die Einrichtung klappte ohne Problem, alles mit AD verwaltet, alle richtige Netzwerkadressen, DHCP vom Router, Server hat ne feste wegen DNS-Server, alles keine Probleme. Und dann, wenn der Server ne Weile läuft und ich mit den Clients mit dem Explorer auf die Serverlaufwerke (Dateiserver) zugreifen will, bleibt auf dem Client der Explorer hängen. Wenn ich dann mit dem Taskmanager den Explorer kille und neu reanimiere kann ich auf das Laufwer zugreifen. Dies passiert ohne Regelmäßigkeit Der Server hängt dann aber nicht.

Ob ich dabei der Domäne angeschlossen bin oder ob nicht, das spielt keine Rolle.

Ich hab ja auch schon an die Netzwerkkartentreiber gedacht, aber es ist auf beiden Clients, 1 Rechner, 1 Laptop, ... und es lief ja früher auch...

 

Ich weiß nicht mehr..., Leute fangt an zu fragen... Ach ja noch kurz: Reines XP-Netzwerk...

Link zu diesem Kommentar

Vage Vermutungen: Der Hacker war ja wohl nicht der schlechteste - er wird noch irgendeine Hintertür eingebaut haben. Wenn sich der Explorer aufhängt, sieht das danach aus, als ob er versucht, auf eine zusätzliche Adresse zuzugreifen und dies nicht schafft. Es gibt einen Virus / Trojaner, der die hosts umschreibt bzw. den Reg-Schlüssel ändert, so daß eine andere hosts verwendet wird.

 

-------------

Gruß, Auer

Link zu diesem Kommentar

Hi,

 

hmm, naja also die Hosts konnte ich ja überprüfen. Die sind sauber, also nur der local auf den Clients und beim Server der local und von Hand eingetragen die Addy der Servernetzwerkkarte in Verbindung der eigenen Domäne.

 

Also, die Art des Angriffs war ja wohl noch nicht so bekannt. Aber da sich das Teil rasend schnell über meine und wer weiß noch welche Websites inklusive ICQ-Clients verbreitet hat, denke ich mal das die bei Symantec usw. was davon mitbekommen haben, ich habe zumindest die letzten Tage fast täglich nen Update bekommen, sonst ist es eins in der Woche. Und mein Virenscanner und diverse Anti Trojaner finden aber nichts. Zumal ich alle Rechner komplett neu aufgesetzt habe.Aber selbst diverse Komplettscans brachten nix zu Tage.

 

Hast Du vielleicht ne Idee wonach ich in der Reg. suchen könnte?

 

Es ist auch so, wenn ich den Explorer per Task kille, beendet er zwar auf dem Desktop, im Manager hängt er aber noch fest. Wenn man ihn dann mittels neuem Task startet bekommt man Zugriff auf das Netzlaufwerk. Wenn man sich so (killen, reanimieren) durch alle Laufwerke durchgehangelt hat, hat man Zugriff auf alle Laufwerke.

Da man wie schon gesagt, z.B. mit dem Mailproggi aber immer Zugriff auf den Postordner der auch im Netz liegt hat, ist ja an sich nicht der Netzverkehr behindert.

 

Aber Deine Gedanken sind gut, nur wie weiter...?

Link zu diesem Kommentar

Das mit der Hintertür könnte was dran sein. Wenn ich mir hier so meine Logfiles ansehe... Klar, früher hat man nie groß drauf geachtet. Aber ständig:

 

Tue Nov 18 15:27:08 2003 - teardrop attack - any

[wan,217.230.25.240,217.85.35.192:0] - [discard]

Tue Nov 18 15:28:16 2003 - stop blocking - ids

Tue Nov 18 15:28:23 2003 - syn flood attack - tcp

[wan,217.230.117.84,xxx.xxx.x.x:2291] - [discard]

Tue Nov 18 15:28:23 2003 - block attack - ids

Tue Nov 18 15:33:25 2003 - stop blocking - ids

 

Sieht doch nett aus, oder? Und das ist nur ein kleiner Auszug...

Scheint so als suche da jemand nach Rückruf.

Aber wonach kann ich suchen?

Link zu diesem Kommentar

Der Reg-Schlüssel, der den Ort der hosts benennt, ist in http://www.mcseboard.de/showthread.php?threadid=15573 erwähnt. Sucht man bei Microsoft nach teardrop, gibt es sofort Hinweise auf TCP-Überflutungen. Entweder legt dir jemand von außen her dein System lahm oder - was ich eher befürchte - jemand wollte dein System verwenden, um einen DDOS - Angriff auf eine andere Firma zu starten. Und der Angriff bleibt nun im internen Netz stecken. Da scheint ziemlich viel im Argen zu sein.

 

-------------

Gruß, Auer

Link zu diesem Kommentar

Habe den server und die Clients nun nochmals komplett neu aufgesetzt Nachdem Beitritt zur Domäne hab ich mich dann mit nem Client an der Domäne angemeldet. Und das dauerte... Ich hab einfach ihn machen lassen, vorher hab ich ihn schon lang gekillt. Also es ist wohl doch ein reines Geschwindigkeitsproblem. Wenn ich mich angemeldet habe und auf die Netzlaufwerke gehe, lass ich ihn einfach machen, 15 min oder so und dann läufts. Zumindest dieses eine. DNS hab ich jetzt auf dem Server drauf, habs nachträglich installiert und für kleine Netzwerke, also nur Forwarding automatisch konfigurieren lassen. In der Ereignisanzeige sieht alles supi aus, also nix mehr wie früher, lauter DNS-Probleme. Beim Client ist auch der Server als DNS eingetragen.

Hat jemand nen Tipp?

Link zu diesem Kommentar

Hi!

 

Also nichts ist wichtiger als ein richtig konfiguriertes DNS!

 

Dazu gehört aber auch eine revers Zone!

 

Auch wenn Einige sagen es geht auch ohne, aber wie?

 

DNS kann nur rund Laufen, wenn er richtig und vollständig konfiguriert ist!

 

Weiter sollte man die Abhängigkeiten von DNS und DHCP nicht ausser acht lassen.

 

Die gegenseitigen Einstellungen verzahnen das System und verkürzen Abfragen.

Link zu diesem Kommentar

Hi Microby,

 

Du hast geschrieben das Du den DNS nach der Einrichtung des AD erstellt hast ?!

Wie hast Du dann bitte den AD Setupmanager beenden können ?

Desweiteren würde mich mal die genaue Konfiguration der Cleient und Server ( ipconfig /all ) interessieren wenn Du die mal Abbilden könntest ?

Wenn ich alles Richtig verstanden haben sind jetzt alle Rechner neu aufgesetzt und auf keinen Fall ein bekannter Virus drauf ?!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...