trojan 10 Geschrieben 18. November 2005 Melden Geschrieben 18. November 2005 moinmoin weiß jemand warum die winlogon.exe seit heute den port 83 aufgemacht hat? beim portscan steht beim port "enter password". Windows NT-Anmeldung (C:\WINDOWS\system32\winlogon.exe TCP: mit-ml-dev (83) ^^aus der firewall^^ cya trojan
Paris 10 Geschrieben 19. November 2005 Melden Geschrieben 19. November 2005 Hallo, von welchem BS sprichst du? Hast du schon mal einen Virenscan durchgeführt? Hast du in letzter Zeit Windows Updates oder dergleichen installiert? Gruß Paris
trojan 10 Geschrieben 20. November 2005 Autor Melden Geschrieben 20. November 2005 windows 2003 server standard, windows update wüsste ich jez nicht... viren sollten keine drauf sein... laut AVG, panda online scan und trendmicro online scan
Paris 10 Geschrieben 20. November 2005 Melden Geschrieben 20. November 2005 windows 2003 server standard, windows update wüsste ich jez nicht... viren sollten keine drauf sein... laut AVG, panda online scan und trendmicro online scan hast du sonst was neues installiert? Steht irgendwas im eventlog? Schau mal wann die winlogon das letzte mal geändert wurde!
zahni 587 Geschrieben 20. November 2005 Melden Geschrieben 20. November 2005 Schau Dir mit http://www.sysinternals.com/utilities/tcpview.html und http://www.sysinternals.com/Utilities/ProcessExplorer.html an, wer wirklich den Port öffnet. Bei der Gelegenheit kannst DU auch gleich http://www.sysinternals.com/Utilities/rootkitrevealer.html und http://www.safer-networking.org/de/download/ laufen lassen. -Zahni
trojan 10 Geschrieben 21. November 2005 Autor Melden Geschrieben 21. November 2005 ein "toller" kumpel hat sich den spaß gemacht und eine remote-shell draufgehauen... wie er das gemacht hat will er mir aber nicht sagen... zugriff auf den server hat er auf jedenfall nicht... also muss er irgendwie anders reingekommen sein... nur wie?! wenn man sich mit putty im raw-mode auf port 83 connected hat musste man ein pwd eingeben und schwupp hatte man die shell vor sich... :shock: :eek: thx zahni für die progs :) scheinen zu klappen, bis auf das rootkitrev :( "must be run from the console" ... habs von der console gestarte, da kommt das gleiche... winlogon.exe > Erstellt, Geändert > Freitag, 25. März 2005, 13:00:00 Dateiver. : 5.2.3790.1830 (srv03_sp1_rtm.050324-1447) die läuft zweimal , einmal mit 7mb ram und einmal mit 2,5mb ram... spybot rennt, werd wenn er was findet hier rein editieren [ Advertising.com - 9 Einträge Avenue A, Inc - 1 Eintrag DoubleClick - 1 Eintrag FastClick - 1 Eintrag MediaPlex - 1 Eintrag ValueClick - 1 Eintrag ] sind nur tracking-cookies, also nix weltbewegendes was haltet ihr von der tiny prof. firewall ? hab die zZ drauf um die connections zu sehen. danke für eure hilfe... kann sich den server mal jemand genauer von außen anschauen ob es wege gibt reinzukommen? wäre sehr nett, weil ich bin mit meinem latein am ende :( cya trojan
trojan 10 Geschrieben 22. November 2005 Autor Melden Geschrieben 22. November 2005 neuer tag neues glück ;) ich hoffe pushen ist hier erlaubt ;) kennt sich hier jmd php aus? ich hab was auf meinem server gefunden.... http://212.112.249.4/about.php < eine remote-shell auf php basis... hab den php-parser im apache abgestellt, wenn ihr das file testen wollt, müsst ihr nur den pass ändern, den hab ich leider nicht :( , und auf euren space legen (windows?)... cya trojan ach, (edit!) ist es eigentlich möglich einzelne Logs aus der Eventlog zu löschen?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden