Maxxine 10 Geschrieben 15. Mai 2004 Melden Teilen Geschrieben 15. Mai 2004 Hallo, gestern war mein Server bei einer CPU-Auslastung von über 71%, ausgelöst durch ca. 20 infizierte Rechner die sich alle mit dem Adminaccount anmelden wollten. Bis gestern abend haben wir alle wo es ging gesperrt heute sehe ich (von daheim) daß es schon wieder losgeht - bis Montag früh bin ich quasi machtlos, oder kann ich irgendwas tun?? Dieser spezielle Virus reagiert nicht auf das "Sasser-removal-Tool" und "McAffee" kennt ihn noch nicht, aber das ist ohnehin nicht mein Kaffee, weil die infizierten Rechner zwar in unserem Netz aber nicht unter unserer "Gewalt" stehen. Ich muß nur irgendwas tun um meinen Server vor dieser Anmeldeflut zu schützen, mit graut schon vor Montag wenn sich unsere User anmelden wollen :rolleyes: Den Adminaccount umzubenennen wird wohl nicht viel nützen, oder gibts da noch andere Möglichkeiten?? LG Maxxine Zitieren Link zu diesem Kommentar
Konfus 10 Geschrieben 15. Mai 2004 Melden Teilen Geschrieben 15. Mai 2004 Hoi, wenn Du einen 2003 Server hast lass mal in einer CMD "tasklist /svc" (bei 2000 müsste es tlist /s sein) laufen und prüfe besonders svchost.exe. Check die Ports mit netstat -a. Um den Server der zur Zeit eh inaktiv ist zu schützen würde ich einfach den Anmeldedienst pausieren lassen (net pause netlogon). Schau Dir auch die Run Keys in der Registry an oder google und saug ein Tool wie hijackthis um einen Snapshot über den Autostart usw. zu bekommen. mfg Zitieren Link zu diesem Kommentar
Bronto2k 10 Geschrieben 15. Mai 2004 Melden Teilen Geschrieben 15. Mai 2004 Ich hoffe du hast die anderen Admins sofort informiert über diese Sache ? Ansonsten halt gutes Passwort nehmen, die anderen Rechner aus dem Netz ausschließen wenn möglich. Ciao Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.