trojan 10 Geschrieben 18. November 2005 Melden Teilen Geschrieben 18. November 2005 moinmoin weiß jemand warum die winlogon.exe seit heute den port 83 aufgemacht hat? beim portscan steht beim port "enter password". Windows NT-Anmeldung (C:\WINDOWS\system32\winlogon.exe TCP: mit-ml-dev (83) ^^aus der firewall^^ cya trojan Zitieren Link zu diesem Kommentar
trojan 10 Geschrieben 19. November 2005 Autor Melden Teilen Geschrieben 19. November 2005 keiner ne idee? Zitieren Link zu diesem Kommentar
Paris 10 Geschrieben 19. November 2005 Melden Teilen Geschrieben 19. November 2005 Hallo, von welchem BS sprichst du? Hast du schon mal einen Virenscan durchgeführt? Hast du in letzter Zeit Windows Updates oder dergleichen installiert? Gruß Paris Zitieren Link zu diesem Kommentar
trojan 10 Geschrieben 20. November 2005 Autor Melden Teilen Geschrieben 20. November 2005 windows 2003 server standard, windows update wüsste ich jez nicht... viren sollten keine drauf sein... laut AVG, panda online scan und trendmicro online scan Zitieren Link zu diesem Kommentar
Paris 10 Geschrieben 20. November 2005 Melden Teilen Geschrieben 20. November 2005 windows 2003 server standard, windows update wüsste ich jez nicht... viren sollten keine drauf sein... laut AVG, panda online scan und trendmicro online scan hast du sonst was neues installiert? Steht irgendwas im eventlog? Schau mal wann die winlogon das letzte mal geändert wurde! Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 20. November 2005 Melden Teilen Geschrieben 20. November 2005 Schau Dir mit http://www.sysinternals.com/utilities/tcpview.html und http://www.sysinternals.com/Utilities/ProcessExplorer.html an, wer wirklich den Port öffnet. Bei der Gelegenheit kannst DU auch gleich http://www.sysinternals.com/Utilities/rootkitrevealer.html und http://www.safer-networking.org/de/download/ laufen lassen. -Zahni Zitieren Link zu diesem Kommentar
trojan 10 Geschrieben 21. November 2005 Autor Melden Teilen Geschrieben 21. November 2005 ein "toller" kumpel hat sich den spaß gemacht und eine remote-shell draufgehauen... wie er das gemacht hat will er mir aber nicht sagen... zugriff auf den server hat er auf jedenfall nicht... also muss er irgendwie anders reingekommen sein... nur wie?! wenn man sich mit putty im raw-mode auf port 83 connected hat musste man ein pwd eingeben und schwupp hatte man die shell vor sich... :shock: :eek: thx zahni für die progs :) scheinen zu klappen, bis auf das rootkitrev :( "must be run from the console" ... habs von der console gestarte, da kommt das gleiche... winlogon.exe > Erstellt, Geändert > Freitag, 25. März 2005, 13:00:00 Dateiver. : 5.2.3790.1830 (srv03_sp1_rtm.050324-1447) die läuft zweimal , einmal mit 7mb ram und einmal mit 2,5mb ram... spybot rennt, werd wenn er was findet hier rein editieren [ Advertising.com - 9 Einträge Avenue A, Inc - 1 Eintrag DoubleClick - 1 Eintrag FastClick - 1 Eintrag MediaPlex - 1 Eintrag ValueClick - 1 Eintrag ] sind nur tracking-cookies, also nix weltbewegendes was haltet ihr von der tiny prof. firewall ? hab die zZ drauf um die connections zu sehen. danke für eure hilfe... kann sich den server mal jemand genauer von außen anschauen ob es wege gibt reinzukommen? wäre sehr nett, weil ich bin mit meinem latein am ende :( cya trojan Zitieren Link zu diesem Kommentar
trojan 10 Geschrieben 22. November 2005 Autor Melden Teilen Geschrieben 22. November 2005 neuer tag neues glück ;) ich hoffe pushen ist hier erlaubt ;) kennt sich hier jmd php aus? ich hab was auf meinem server gefunden.... http://212.112.249.4/about.php < eine remote-shell auf php basis... hab den php-parser im apache abgestellt, wenn ihr das file testen wollt, müsst ihr nur den pass ändern, den hab ich leider nicht :( , und auf euren space legen (windows?)... cya trojan ach, (edit!) ist es eigentlich möglich einzelne Logs aus der Eventlog zu löschen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.