geschickter Angriff von außen?!...brauche dringend Rat
Ich brauche dringend eure Hilfe! Ich hab das Problem, dass jemand einen unserer Server wahrscheinlich als Fileserver missbraucht und um drauf zu kommen, geschickter weise vorher auch den IPSec Dienst abschaltet...
Hi Leute,
Wir haben bei mir im Unternehmen einen Windows 2003 Server mit angeschlossenem RAID-System( 3 ext. Raids a' 1,5 TB). Also die sind derzeit eigentlich noch komplett gesperrt, also hier intern hat niemand Zugriffsrechte über das Netzwerk. Da alle drei somit auch noch nicht mit Daten belegt sind, bietet sich hier jedem natürlich ein interessanter Speicherplatz für Files, wie movies, pics etc.
So wie es aussieht kommt der Hacker nicht drauf, wenn die IP-Sicherheitsrichtlinien aktiviert sind, nur dass Problem: Er kann den IPSec Dienst abschalten.
Neben dem Abschalten des IPSec Dienstes hat er auch die Eventlogs gelöscht. Er war gestern Abend das letzte mal drauf und hat das RAID richtig zum glühen gebracht. Die neuesten Einträge in den Logs sind also von heute ab 0.48 Uhr.
Kann mir jemand weiterhelfen, wie ich dem auf die Schliche komme?
Wenn ihr noch Infos braucht, kein Problem, sagt bescheid!
DANKE schonmal für eure Hilfe
mfg
Red
Hi Leute,
Wir haben bei mir im Unternehmen einen Windows 2003 Server mit angeschlossenem RAID-System( 3 ext. Raids a' 1,5 TB). Also die sind derzeit eigentlich noch komplett gesperrt, also hier intern hat niemand Zugriffsrechte über das Netzwerk. Da alle drei somit auch noch nicht mit Daten belegt sind, bietet sich hier jedem natürlich ein interessanter Speicherplatz für Files, wie movies, pics etc.
So wie es aussieht kommt der Hacker nicht drauf, wenn die IP-Sicherheitsrichtlinien aktiviert sind, nur dass Problem: Er kann den IPSec Dienst abschalten.
Neben dem Abschalten des IPSec Dienstes hat er auch die Eventlogs gelöscht. Er war gestern Abend das letzte mal drauf und hat das RAID richtig zum glühen gebracht. Die neuesten Einträge in den Logs sind also von heute ab 0.48 Uhr.
Kann mir jemand weiterhelfen, wie ich dem auf die Schliche komme?
Wenn ihr noch Infos braucht, kein Problem, sagt bescheid!
DANKE schonmal für eure Hilfe
mfg
Red
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 25100
Url: https://administrator.de/forum/geschickter-angriff-von-aussen-brauche-dringend-rat-25100.html
Ausgedruckt am: 23.12.2024 um 20:12 Uhr
27 Kommentare
Neuester Kommentar
Hallo Red,
ich verstehe Deine Anfrage leider nicht ganz.
Wenn das Raid keine Freigabe hat, dann kann niemand übers Netzwerk darauf zugreifen und es kann somit auch keine Spielwiese für die Mitarbeiter sein.
Ist es ein Member-Server oder ein DC?
Hast Du schon das Administrator-Kennwort geändert?
Was sagt Dein Virenschutzprogramm, auch schon mit anderen Virenprogrammen getestet?
Nach Würmern usw. gesucht?
Nach Root-Kits gesucht?
Den Dienst mit einem eigenen Account versehen?
Grüße
Guido
ich verstehe Deine Anfrage leider nicht ganz.
Wenn das Raid keine Freigabe hat, dann kann niemand übers Netzwerk darauf zugreifen und es kann somit auch keine Spielwiese für die Mitarbeiter sein.
Ist es ein Member-Server oder ein DC?
Hast Du schon das Administrator-Kennwort geändert?
Was sagt Dein Virenschutzprogramm, auch schon mit anderen Virenprogrammen getestet?
Nach Würmern usw. gesucht?
Nach Root-Kits gesucht?
Den Dienst mit einem eigenen Account versehen?
Grüße
Guido
Versteckte Dateien hören sich nach Root-Kit an.
Wenn Du das Root-Kit nicht findet, dann kannst Du nur noch F12 drücken (Server neu mit RIS betanken) oder von Hand neu aufsetzen.
Man weiss leider nie, wie das Programm arbeitet und läuft, eigenständig, an einem Dienst angehängt, etc.
Ein weiterer Betrieb des Servers im Netzwerk ist viel zu gefährlich!
Grüße
Guido
Wenn Du das Root-Kit nicht findet, dann kannst Du nur noch F12 drücken (Server neu mit RIS betanken) oder von Hand neu aufsetzen.
Man weiss leider nie, wie das Programm arbeitet und läuft, eigenständig, an einem Dienst angehängt, etc.
Ein weiterer Betrieb des Servers im Netzwerk ist viel zu gefährlich!
Grüße
Guido
Hallo Florian,
Anti-Root Kits gibt es noch nicht sehr viele.
Eines findest Du z. B. bei http://www.sysinternals.com/utilities/rootkitrevealer.html (freeware)
Erklärung zu Rootkits:
http://www.spiegel.de/netzwelt/technologie/0,1518,392380,00.html
Testversion von F-Secure
http://www.f-secure.de/blacklight/
Ein Tool von MS
http://research.microsoft.com/rootkit/
Wie gesagt, Rootkits sind megaschwer zu entdecken, da diese Attacken noch nicht so verbreitet sind.
Mit einfachen Worten könnte man sagen, dass Du Dir einen Virus eingefangen hast, der sehr tief im System sitzt und somit nicht erkannt wird und die (Bild-Dateien) so verändert, dass sie nicht auf normalen Wege sichtbar gemacht werden können.
Es wird dabei mehr als nur das "Hidden-Attribut" gesetzt.
Grüße
Guido
Anti-Root Kits gibt es noch nicht sehr viele.
Eines findest Du z. B. bei http://www.sysinternals.com/utilities/rootkitrevealer.html (freeware)
Erklärung zu Rootkits:
http://www.spiegel.de/netzwelt/technologie/0,1518,392380,00.html
Testversion von F-Secure
http://www.f-secure.de/blacklight/
Ein Tool von MS
http://research.microsoft.com/rootkit/
Wie gesagt, Rootkits sind megaschwer zu entdecken, da diese Attacken noch nicht so verbreitet sind.
Mit einfachen Worten könnte man sagen, dass Du Dir einen Virus eingefangen hast, der sehr tief im System sitzt und somit nicht erkannt wird und die (Bild-Dateien) so verändert, dass sie nicht auf normalen Wege sichtbar gemacht werden können.
Es wird dabei mehr als nur das "Hidden-Attribut" gesetzt.
Grüße
Guido
ziemlich interessant, da nutzt jemand deinen server als dump.
check doch erstmal das naheliegenste:
WIE kommt der user auf den Server, muss ja an eurer firewall vorbei, dort mal die logfiles checken, danach sehen wir weiter. wenn noch.
wenn du wissen moechtest wer das ist, und du dir SICHER bist das er nirgends sonst zugreifen kann, wuerde ich alles an logging aktivieren was moeglich ist.
auch solltest du mal tcpview tools installieren um zu sehen, ueber welche ports kommuniziert werden.
check doch erstmal das naheliegenste:
WIE kommt der user auf den Server, muss ja an eurer firewall vorbei, dort mal die logfiles checken, danach sehen wir weiter. wenn noch.
wenn du wissen moechtest wer das ist, und du dir SICHER bist das er nirgends sonst zugreifen kann, wuerde ich alles an logging aktivieren was moeglich ist.
auch solltest du mal tcpview tools installieren um zu sehen, ueber welche ports kommuniziert werden.
Wenn das so ist wie du beschreibst, schaue dir erst mal an welche Berechtigungen bei euch die User haben, und ob irgendwelche neu sind. Ich nehme an ihr habt eine Domain. Es kann ja eigentlich nur ein existierender User sein der da die falschen Berechtigungen hat, oder eure Adminkonton sind gehackt, oder ein Trojaner oder ein großes Software Sicherheitsloch mit schlechter Firewall.
Als erstes solltest du mal nachschauen, wer der Besitzer der Datein ist. Dadurch hast du vielleicht die Möglichkeit als erstes mal die heraus zu finden welcher User die Datein anlegt.
rechte Maus auf Ordner/Datei, NTFS Berechtigung, Eigenschaften, Besitzer. Wenn?s ein Admin-Account ist, kann da auch ein falscher User stehen. Schaue nach Erstellungs- und Veränderungs- Daten der Datein.
Du mußt erst mal herausfinden wie der Kollege Bösewicht in deinem Netzwerk vorgeht, um im später richtig zu fassen. Du mußt schauen das du ohne große Veränderungen ( damit du ihn nicht warnst ) viel herausfindest. Baue doch erst mal eine neue WS auf. Installiere da dann mal einen echt guten Virenscanner und scanne erst mal die Server Platten über das Netzwerk ( c$....) ab. Schaue dir mit Netstat auf den Servern an, ob du irgendwelche ungewöhnliche Ports offen hast. Schaue in der Regi nach ob du dort Software im Autostart hast die nicht normal sind. Suche dazu nach Runonce und run Schlüssel. (z.b. HKLM\software\microsoft\windows\current..\run)
Sichere doch per "geplannte Tasks" die Ereignisanzeigen Files auf einem anderen Rechner
Stichwort Batchdatei. Überwache den Administrator Account ( anmelden, abmelden ). Versuche erst mal Informationen zu sammeln. schau ob du irgendein Muster erkennen kannst, um anschließend gezielt den Weg nachzuvollziehen, denn der Angreifer nimmt.
Später schaue dir die Firewalls an, welche Ports offen sind die nicht offen sein müßen und schließe sie. Spiele Sicherheitsupdates ein. Lasse anschließend alle Windows Kennwörter von den Usern ändern ( sage das sei eine Sicherheitstechnische Wartungsmassnahme ) 8stellig Buchstaben Zahlen groß-klein. Ändere WPA WEB Keys bei Wlan Geräte, nehme den Mac-filter zuhilfe.
Mit freundlichen Grüßen
Metzger
Da ich den Beitrag wärend meiner Arbeit geschrieben habe, entschuldigt wenn ich vielleicht viel wiederhole. Hatte seid kurz vor 9 angefangen.
Als erstes solltest du mal nachschauen, wer der Besitzer der Datein ist. Dadurch hast du vielleicht die Möglichkeit als erstes mal die heraus zu finden welcher User die Datein anlegt.
rechte Maus auf Ordner/Datei, NTFS Berechtigung, Eigenschaften, Besitzer. Wenn?s ein Admin-Account ist, kann da auch ein falscher User stehen. Schaue nach Erstellungs- und Veränderungs- Daten der Datein.
Du mußt erst mal herausfinden wie der Kollege Bösewicht in deinem Netzwerk vorgeht, um im später richtig zu fassen. Du mußt schauen das du ohne große Veränderungen ( damit du ihn nicht warnst ) viel herausfindest. Baue doch erst mal eine neue WS auf. Installiere da dann mal einen echt guten Virenscanner und scanne erst mal die Server Platten über das Netzwerk ( c$....) ab. Schaue dir mit Netstat auf den Servern an, ob du irgendwelche ungewöhnliche Ports offen hast. Schaue in der Regi nach ob du dort Software im Autostart hast die nicht normal sind. Suche dazu nach Runonce und run Schlüssel. (z.b. HKLM\software\microsoft\windows\current..\run)
Sichere doch per "geplannte Tasks" die Ereignisanzeigen Files auf einem anderen Rechner
Stichwort Batchdatei. Überwache den Administrator Account ( anmelden, abmelden ). Versuche erst mal Informationen zu sammeln. schau ob du irgendein Muster erkennen kannst, um anschließend gezielt den Weg nachzuvollziehen, denn der Angreifer nimmt.
Später schaue dir die Firewalls an, welche Ports offen sind die nicht offen sein müßen und schließe sie. Spiele Sicherheitsupdates ein. Lasse anschließend alle Windows Kennwörter von den Usern ändern ( sage das sei eine Sicherheitstechnische Wartungsmassnahme ) 8stellig Buchstaben Zahlen groß-klein. Ändere WPA WEB Keys bei Wlan Geräte, nehme den Mac-filter zuhilfe.
Mit freundlichen Grüßen
Metzger
Da ich den Beitrag wärend meiner Arbeit geschrieben habe, entschuldigt wenn ich vielleicht viel wiederhole. Hatte seid kurz vor 9 angefangen.
Wofür soll der Server mal dienen ?
Welche User wissen das es den Server gibt ? Bedenke das sind die ersten verdächtigen.
Kläre an den passenden Stellen vor Ort, ob es machbar wäre, legal den Netzwerkvrekehr am Serveranschluß mit zuschneiden. Kläre vorher die nötigen Eckdaten ab, was du machen mußt, das man dir nicht an die Karre ... kann. ( Etherreal oder andere Netzwerkanalyse Tools). ( Server mit einem mitschneide sonder PC an einem Hub und den anschließend an ein Switch der die Verbindung zum Netz hat. ) Somit kannst du bewerkstelligen, das du nur den Netzwerkverkehr mitschneidest, der den Server und den "" Missetäter "" betrifft.
Mfg Metzger
Welche User wissen das es den Server gibt ? Bedenke das sind die ersten verdächtigen.
Kläre an den passenden Stellen vor Ort, ob es machbar wäre, legal den Netzwerkvrekehr am Serveranschluß mit zuschneiden. Kläre vorher die nötigen Eckdaten ab, was du machen mußt, das man dir nicht an die Karre ... kann. ( Etherreal oder andere Netzwerkanalyse Tools). ( Server mit einem mitschneide sonder PC an einem Hub und den anschließend an ein Switch der die Verbindung zum Netz hat. ) Somit kannst du bewerkstelligen, das du nur den Netzwerkverkehr mitschneidest, der den Server und den "" Missetäter "" betrifft.
Mfg Metzger
@redline
Wende dich an einen kompetenten Spezialisten um das System zu prüfen...ausser du hast das nötige KnowHow. Verstehe mich bitte nicht falsch: ich war auch mal in einer ähnlichen Lage...und mein KnowHow war damals noch nicht ausreichend!
Ansonsten schliesse ich mich Tundra an: Da der Server gemäss deiner Aussage noch nicht produktiv ist und noch nicht als DC arbeitet, wäre eine Neuinstallation (ca. 2h) sicher das einfachste.
gretz drop
Wende dich an einen kompetenten Spezialisten um das System zu prüfen...ausser du hast das nötige KnowHow. Verstehe mich bitte nicht falsch: ich war auch mal in einer ähnlichen Lage...und mein KnowHow war damals noch nicht ausreichend!
Ansonsten schliesse ich mich Tundra an: Da der Server gemäss deiner Aussage noch nicht produktiv ist und noch nicht als DC arbeitet, wäre eine Neuinstallation (ca. 2h) sicher das einfachste.
gretz drop
Ich schliesse mich der Aussagen von Ivo (
Neuinstallation ) an, aber wichtiger ist es
erstmal, herraus zu finden, wie die Daten
darauf gekommen sind ( Virus Hacker User
...)
Weil was brinkt mir ein Neuaufgesetztes
System, das kurze Zeit später wieder
missbraucht wird.
Mfg Metzger
Neuinstallation ) an, aber wichtiger ist es
erstmal, herraus zu finden, wie die Daten
darauf gekommen sind ( Virus Hacker User
...)
Weil was brinkt mir ein Neuaufgesetztes
System, das kurze Zeit später wieder
missbraucht wird.
Mfg Metzger
also ich wuerde wissen wollen, WER mich gehacked hat.....
Hätte ich noch schreiben sollen ja.
Da wir größtenteils ja Systemadmins in verschiedenen Bereichen sind dachte ich es muss nicht extra erwähnt werden.
Natürlich immer zuvor mit den Zuständigen Mann/Frau darüber sprechen und sich absichern damit alles Korrekt abläuft und einem keiner was illegals oder Datenschutzverletzung vorwerfen kann.
Grüße Equinox
Da wir größtenteils ja Systemadmins in verschiedenen Bereichen sind dachte ich es muss nicht extra erwähnt werden.
Natürlich immer zuvor mit den Zuständigen Mann/Frau darüber sprechen und sich absichern damit alles Korrekt abläuft und einem keiner was illegals oder Datenschutzverletzung vorwerfen kann.
Grüße Equinox
Hätte ich noch schreiben sollen ja.
Da wir größtenteils ja
Systemadmins in verschiedenen Bereichen sind
dachte ich ...
damit alles
Korrekt abläuft und einem keiner was
illegals oder Datenschutzverletzung
vorwerfen kann.
Grüße Equinox
Da wir größtenteils ja
Systemadmins in verschiedenen Bereichen sind
dachte ich ...
damit alles
Korrekt abläuft und einem keiner was
illegals oder Datenschutzverletzung
vorwerfen kann.
Grüße Equinox
Ja so ist das aber bedenke, bei google sind wir auch zu finden und unsere Beiträge och.
Mfg Metzger
Vieleicht hilft dir unser Programm Scannet Pro 3.5
Starte den Adapter Monitor und beobachte die angesprochenen Ports.
Mit den Zusatzmodulen LAN2 und Sysinfo kannst du Schrittweise an dein Problem herangehen.Diese Funktionen sind auch in der shareware Version vorhanden.
http://www.profiler3d.de
Starte den Adapter Monitor und beobachte die angesprochenen Ports.
Mit den Zusatzmodulen LAN2 und Sysinfo kannst du Schrittweise an dein Problem herangehen.Diese Funktionen sind auch in der shareware Version vorhanden.
http://www.profiler3d.de
Ein gratis Tool was mir noch einfällt wäre "Honeypot".
Das ist eine Linux Distribution die sich live von CD starten lässt.
Für den Hacker siehts aus wie ein angrifssbereiter, ungesicherter Server.
Das Teil loggt aber alles was man nur loggen kann.
Greetz
DaFlow
Das ist eine Linux Distribution die sich live von CD starten lässt.
Für den Hacker siehts aus wie ein angrifssbereiter, ungesicherter Server.
Das Teil loggt aber alles was man nur loggen kann.
Greetz
DaFlow
Nicht direkt. Ich weiß nicht ob es sowas auch als Anwendung gibt.
Aber es würde reichen eine alte Kiste hinzupacken und von der CD zu booten.
Der "Hacker" fällt bestimmt drauf rein. Bzw. sieht sich das System das als "ungeschützt" gilt bestimmt an. Und das reicht. Denn alle Möglichen Logfiles, die man braucht hat man dann
Aber es würde reichen eine alte Kiste hinzupacken und von der CD zu booten.
Der "Hacker" fällt bestimmt drauf rein. Bzw. sieht sich das System das als "ungeschützt" gilt bestimmt an. Und das reicht. Denn alle Möglichen Logfiles, die man braucht hat man dann
Wiso jemand DEINEN Server als Fileserver missbrauchen sollte, und sich dabei strafbar machen sollte, ist mir schleierhaft, zumal es genug Gratis Dienste gibt mit denen man grosse Files anderen verfügbar machen kann.
Wenn man zu doof ist seinen Microsaft Server abzusichern bevor man ihn ans Internet anschlisst, sollte man sich einen anderen Job suchen - meine Meinung.
Mir kommt die Sache irgendwie spanisch vor...
Wenn man zu doof ist seinen Microsaft Server abzusichern bevor man ihn ans Internet anschlisst, sollte man sich einen anderen Job suchen - meine Meinung.
Mir kommt die Sache irgendwie spanisch vor...
@ redline
hat er doch er hat geschrieben !
@ duno
Hast du nicht ein bissel mit deiner Aussage übertrieben ? ( anderer Job )
Denke solche Fehler passieren auch den Cracks die 3mal mehr auf dem
Kasten haben als du !
Wer arbeitet macht Fehler, wer viel arbeitet macht viele Fehler, wer garnicht ....
Gegen neue Viren bist du genauso verletzlich wie wir anderen auch.
Naja sei es drum. Ich werde mich aber nun aus dem Thema herraus halten
und dazu die * halten und die Finger weiter pflegen
Mfg Metzger
hat er doch er hat geschrieben !
@ duno
Hast du nicht ein bissel mit deiner Aussage übertrieben ? ( anderer Job )
Denke solche Fehler passieren auch den Cracks die 3mal mehr auf dem
Kasten haben als du !
Wer arbeitet macht Fehler, wer viel arbeitet macht viele Fehler, wer garnicht ....
Gegen neue Viren bist du genauso verletzlich wie wir anderen auch.
Naja sei es drum. Ich werde mich aber nun aus dem Thema herraus halten
und dazu die * halten und die Finger weiter pflegen
Mfg Metzger
!
@ duno
Hast du nicht ein bissel mit deiner Aussage
übertrieben ? ( anderer Job )
Denke solche Fehler passieren auch den
Cracks die 3mal mehr auf dem
Kasten haben als du !
Wer arbeitet macht Fehler, wer viel arbeitet
macht viele Fehler, wer garnicht ....
Gegen neue Viren bist du genauso verletzlich
wie wir anderen auch.
Nunja - es gibt wohl immer einen, der mehr draufhat als ein anderer.
Wer will das messen? Und vor allem - wen interessierts?
Wenn ich mein Auto in die Werkstatt bringe, erwarte ich nicht dass der Mechaniker 10 Jahre Erfahrung in einem Rennstall gemacht hat.
Dass er es hinkriegt, meine Bremsklötze zu erneuern und den Reifendruck zu prüfen, erwarte ich aber auf jeden Fall.
Wenn man schon einen Microsaft Server direkt ins Internet hängen will, und es Angreifer schaffen das Teil als Fileserver zu missbrauchen, hat man einfach versagt.
Wenn mir das bei der Arbeit passiert wäre ich meinen Job los.
@ duno
Hast du nicht ein bissel mit deiner Aussage
übertrieben ? ( anderer Job )
Denke solche Fehler passieren auch den
Cracks die 3mal mehr auf dem
Kasten haben als du !
Wer arbeitet macht Fehler, wer viel arbeitet
macht viele Fehler, wer garnicht ....
Gegen neue Viren bist du genauso verletzlich
wie wir anderen auch.
Nunja - es gibt wohl immer einen, der mehr draufhat als ein anderer.
Wer will das messen? Und vor allem - wen interessierts?
Wenn ich mein Auto in die Werkstatt bringe, erwarte ich nicht dass der Mechaniker 10 Jahre Erfahrung in einem Rennstall gemacht hat.
Dass er es hinkriegt, meine Bremsklötze zu erneuern und den Reifendruck zu prüfen, erwarte ich aber auf jeden Fall.
Wenn man schon einen Microsaft Server direkt ins Internet hängen will, und es Angreifer schaffen das Teil als Fileserver zu missbrauchen, hat man einfach versagt.
Wenn mir das bei der Arbeit passiert wäre ich meinen Job los.