redline
Goto Top

geschickter Angriff von außen?!...brauche dringend Rat

Ich brauche dringend eure Hilfe! Ich hab das Problem, dass jemand einen unserer Server wahrscheinlich als Fileserver missbraucht und um drauf zu kommen, geschickter weise vorher auch den IPSec Dienst abschaltet...

Hi Leute,

Wir haben bei mir im Unternehmen einen Windows 2003 Server mit angeschlossenem RAID-System( 3 ext. Raids a' 1,5 TB). Also die sind derzeit eigentlich noch komplett gesperrt, also hier intern hat niemand Zugriffsrechte über das Netzwerk. Da alle drei somit auch noch nicht mit Daten belegt sind, bietet sich hier jedem natürlich ein interessanter Speicherplatz für Files, wie movies, pics etc.

So wie es aussieht kommt der Hacker nicht drauf, wenn die IP-Sicherheitsrichtlinien aktiviert sind, nur dass Problem: Er kann den IPSec Dienst abschalten.

Neben dem Abschalten des IPSec Dienstes hat er auch die Eventlogs gelöscht. Er war gestern Abend das letzte mal drauf und hat das RAID richtig zum glühen gebracht. Die neuesten Einträge in den Logs sind also von heute ab 0.48 Uhr.

Kann mir jemand weiterhelfen, wie ich dem auf die Schliche komme?
Wenn ihr noch Infos braucht, kein Problem, sagt bescheid!


DANKE schonmal für eure Hilfe

mfg

Red

Content-ID: 25100

Url: https://administrator.de/forum/geschickter-angriff-von-aussen-brauche-dringend-rat-25100.html

Ausgedruckt am: 23.12.2024 um 20:12 Uhr

Tundra
Tundra 03.02.2006 um 09:07:22 Uhr
Goto Top
Hallo Red,

ich verstehe Deine Anfrage leider nicht ganz. face-sad
Wenn das Raid keine Freigabe hat, dann kann niemand übers Netzwerk darauf zugreifen und es kann somit auch keine Spielwiese für die Mitarbeiter sein.

Ist es ein Member-Server oder ein DC?
Hast Du schon das Administrator-Kennwort geändert?
Was sagt Dein Virenschutzprogramm, auch schon mit anderen Virenprogrammen getestet?
Nach Würmern usw. gesucht?
Nach Root-Kits gesucht?
Den Dienst mit einem eigenen Account versehen?

Grüße
Guido
redline
redline 03.02.2006 um 09:16:21 Uhr
Goto Top
Hi Guido,

es sind natürlich keine Mitarbeiter oder ähnliches die darauf zugreifen. DAs Problem liegt irgendwo extern, dass heißt da hat jemand eine sehr große kriminelle Energie! *g* ...naja und wenn ich wüsste, wie derjenige das macht, würd ich ja nicht eure Hilfe brauchen! face-wink

Also ich lasse gerade mal das Tool getDataback for NTFS drüber laufen und es tauchen jede Menge mp3 und Bilder auf. Also im Klartext: Da legt jemand illegaler WEise seine Musikdateien mit den entsprechenden Covern ab.

Das Gerät ist noch nicht als Domain-Controller eingerichtet sollte aber bald DC werden.

Also es sind Files auf der Platte aber ich kann Sie normal über Windows oder DOS nicht sehen. WEnn ich den Namen der Ordner im DOS angebe, wo die File gespeichert sind, findet dos auch den Ordner....
redline
redline 03.02.2006 um 09:17:31 Uhr
Goto Top
Virenprogramme sagen alle nichts!
Also nach Würmern,Viren, Trojanern hab ich gesucht....
Den Dienst hab ich noch nicht mit einem eigenen Account versehen!
Tundra
Tundra 03.02.2006 um 09:23:28 Uhr
Goto Top
Versteckte Dateien hören sich nach Root-Kit an. face-sad

Wenn Du das Root-Kit nicht findet, dann kannst Du nur noch F12 drücken (Server neu mit RIS betanken) oder von Hand neu aufsetzen.

Man weiss leider nie, wie das Programm arbeitet und läuft, eigenständig, an einem Dienst angehängt, etc.

Ein weiterer Betrieb des Servers im Netzwerk ist viel zu gefährlich!

Grüße
Guido
redline
redline 03.02.2006 um 09:31:06 Uhr
Goto Top
Klär mich mal ein bisschen über die Root-Kids auf, weil da hab ich noch weniger als überhaupt keine Ahnung von!

Wie kann ich die finden?

Grüße

Florian
Tundra
Tundra 03.02.2006 um 09:52:37 Uhr
Goto Top
Hallo Florian,

Anti-Root Kits gibt es noch nicht sehr viele.
Eines findest Du z. B. bei http://www.sysinternals.com/utilities/rootkitrevealer.html (freeware)

Erklärung zu Rootkits:
http://www.spiegel.de/netzwelt/technologie/0,1518,392380,00.html

Testversion von F-Secure
http://www.f-secure.de/blacklight/

Ein Tool von MS
http://research.microsoft.com/rootkit/

Wie gesagt, Rootkits sind megaschwer zu entdecken, da diese Attacken noch nicht so verbreitet sind.

Mit einfachen Worten könnte man sagen, dass Du Dir einen Virus eingefangen hast, der sehr tief im System sitzt und somit nicht erkannt wird und die (Bild-Dateien) so verändert, dass sie nicht auf normalen Wege sichtbar gemacht werden können.
Es wird dabei mehr als nur das "Hidden-Attribut" gesetzt.

Grüße
Guido
14078
14078 03.02.2006 um 11:02:45 Uhr
Goto Top
ziemlich interessant, da nutzt jemand deinen server als dump.

check doch erstmal das naheliegenste:

WIE kommt der user auf den Server, muss ja an eurer firewall vorbei, dort mal die logfiles checken, danach sehen wir weiter. wenn noch.

wenn du wissen moechtest wer das ist, und du dir SICHER bist das er nirgends sonst zugreifen kann, wuerde ich alles an logging aktivieren was moeglich ist.

auch solltest du mal tcpview tools installieren um zu sehen, ueber welche ports kommuniziert werden.
Metzger-MCP
Metzger-MCP 03.02.2006 um 11:52:27 Uhr
Goto Top
Wenn das so ist wie du beschreibst, schaue dir erst mal an welche Berechtigungen bei euch die User haben, und ob irgendwelche neu sind. Ich nehme an ihr habt eine Domain. Es kann ja eigentlich nur ein existierender User sein der da die falschen Berechtigungen hat, oder eure Adminkonton sind gehackt, oder ein Trojaner oder ein großes Software Sicherheitsloch mit schlechter Firewall.

Als erstes solltest du mal nachschauen, wer der Besitzer der Datein ist. Dadurch hast du vielleicht die Möglichkeit als erstes mal die heraus zu finden welcher User die Datein anlegt.
rechte Maus auf Ordner/Datei, NTFS Berechtigung, Eigenschaften, Besitzer. Wenn?s ein Admin-Account ist, kann da auch ein falscher User stehen. Schaue nach Erstellungs- und Veränderungs- Daten der Datein.

Du mußt erst mal herausfinden wie der Kollege Bösewicht in deinem Netzwerk vorgeht, um im später richtig zu fassen. Du mußt schauen das du ohne große Veränderungen ( damit du ihn nicht warnst ) viel herausfindest. Baue doch erst mal eine neue WS auf. Installiere da dann mal einen echt guten Virenscanner und scanne erst mal die Server Platten über das Netzwerk ( c$....) ab. Schaue dir mit Netstat auf den Servern an, ob du irgendwelche ungewöhnliche Ports offen hast. Schaue in der Regi nach ob du dort Software im Autostart hast die nicht normal sind. Suche dazu nach Runonce und run Schlüssel. (z.b. HKLM\software\microsoft\windows\current..\run)

Sichere doch per "geplannte Tasks" die Ereignisanzeigen Files auf einem anderen Rechner
Stichwort Batchdatei. Überwache den Administrator Account ( anmelden, abmelden ). Versuche erst mal Informationen zu sammeln. schau ob du irgendein Muster erkennen kannst, um anschließend gezielt den Weg nachzuvollziehen, denn der Angreifer nimmt.

Später schaue dir die Firewalls an, welche Ports offen sind die nicht offen sein müßen und schließe sie. Spiele Sicherheitsupdates ein. Lasse anschließend alle Windows Kennwörter von den Usern ändern ( sage das sei eine Sicherheitstechnische Wartungsmassnahme ) 8stellig Buchstaben Zahlen groß-klein. Ändere WPA WEB Keys bei Wlan Geräte, nehme den Mac-filter zuhilfe.

Mit freundlichen Grüßen
Metzger

Da ich den Beitrag wärend meiner Arbeit geschrieben habe, entschuldigt wenn ich vielleicht viel wiederhole. Hatte seid kurz vor 9 angefangen. face-smile
redline
redline 03.02.2006 um 11:59:16 Uhr
Goto Top
Ja da taucht schon das erste Problem auf, die Ideen hatte ich ja auch schon alle. Aber ich arbeiter hier an einem Institut der Universität, somit geht alles was von außen kommt über unser TU Rechenzentrum! Da dort nichts nachweisbar ist, kommt der Hacker aus dem internen Uni-Netz und ist wahrscheinlich einer der Studenten/Studentinnen.

Das Gerät war eigentlich sicher, da, wie bereits geschrieben, die IP- Sec Einstellungen aktiv waren.

Die meisten Sachen die an Logs anfallen sind wahrscheinlich durch ein Rootkit mit gelöscht worden.
Metzger-MCP
Metzger-MCP 03.02.2006 um 12:31:59 Uhr
Goto Top
Wofür soll der Server mal dienen ?

Welche User wissen das es den Server gibt ? Bedenke das sind die ersten verdächtigen.

Kläre an den passenden Stellen vor Ort, ob es machbar wäre, legal den Netzwerkvrekehr am Serveranschluß mit zuschneiden. Kläre vorher die nötigen Eckdaten ab, was du machen mußt, das man dir nicht an die Karre ... kann. ( Etherreal oder andere Netzwerkanalyse Tools). ( Server mit einem mitschneide sonder PC an einem Hub und den anschließend an ein Switch der die Verbindung zum Netz hat. ) Somit kannst du bewerkstelligen, das du nur den Netzwerkverkehr mitschneidest, der den Server und den "" Missetäter "" betrifft.

Mfg Metzger
17243
17243 03.02.2006 um 22:36:58 Uhr
Goto Top
@redline

Wende dich an einen kompetenten Spezialisten um das System zu prüfen...ausser du hast das nötige KnowHow. Verstehe mich bitte nicht falsch: ich war auch mal in einer ähnlichen Lage...und mein KnowHow war damals noch nicht ausreichend!

Ansonsten schliesse ich mich Tundra an: Da der Server gemäss deiner Aussage noch nicht produktiv ist und noch nicht als DC arbeitet, wäre eine Neuinstallation (ca. 2h) sicher das einfachste.

gretz drop
Metzger-MCP
Metzger-MCP 06.02.2006 um 15:45:50 Uhr
Goto Top
Ich schliesse mich der Aussagen von Ivo ( Neuinstallation ) an, aber wichtiger ist es erstmal, herraus zu finden, wie die Daten darauf gekommen sind ( Virus Hacker User ...)

Weil was brinkt mir ein Neuaufgesetztes System, das kurze Zeit später wieder missbraucht wird.

Mfg Metzger
14078
14078 06.02.2006 um 17:46:56 Uhr
Goto Top
Ich schliesse mich der Aussagen von Ivo (
Neuinstallation ) an, aber wichtiger ist es
erstmal, herraus zu finden, wie die Daten
darauf gekommen sind ( Virus Hacker User
...)

Weil was brinkt mir ein Neuaufgesetztes
System, das kurze Zeit später wieder
missbraucht wird.

Mfg Metzger

also ich wuerde wissen wollen, WER mich gehacked hat.....
redline
redline 07.02.2006 um 07:21:46 Uhr
Goto Top
Sicher ist das wichtig und interessant.
Also, wie gesagt, ich konnte bereits herausfinden, dass es sich um ein rootkit handelt und die Daten kann ich mittlerweile über DOS bzw. mit Hilfe von "getDataBackforNTFS" einsehen kann.

Jetzt ziehe ich mir erstmal ein Image, schaue mir die Daten sauber und in Ruhe, ...ohne Rootkit... an. Dann kann ich euch auch sagen, ob ich mehr rausgefunden habe und sehen konnte.

Da ich mich bis vor kurzer Zeit noch nicht mit Rootkits auskannte, also noch gar nicht, ist ein früherer Angriff auch an mir vorbei gegangen. Jetzt weiß ich, das wir auf diesem Gerät schon einmal ein Rootkit hatten. Ich nehme mal an, das es hier irgendwo Probleme beim löschen gab und der Hacker so wieder auf das System gekommen ist, trotz IPSec.
Equinox
Equinox 07.02.2006 um 19:46:32 Uhr
Goto Top
Wie wäre es mit einem Sniffer der dann die Logs weiterleitet?
Somit Logs nicht am Sniffer Rechner und Schwer bis garnicht nachzuvollziehen wohin.
Vorrausgesetzt er bemerkt überhaupt das ein Sniffer mitrennt.
Metzger-MCP
Metzger-MCP 08.02.2006 um 08:53:34 Uhr
Goto Top
Ja dazu muß man sich aber speziell absichern. Es ist nicht legal einfach mir nichts dir nichts alles mit zu sniffen.

Mfg Metzger
Equinox
Equinox 08.02.2006 um 16:39:49 Uhr
Goto Top
Hätte ich noch schreiben sollen ja.

Da wir größtenteils ja Systemadmins in verschiedenen Bereichen sind dachte ich es muss nicht extra erwähnt werden.
Natürlich immer zuvor mit den Zuständigen Mann/Frau darüber sprechen und sich absichern damit alles Korrekt abläuft und einem keiner was illegals oder Datenschutzverletzung vorwerfen kann.


Grüße Equinox
Metzger-MCP
Metzger-MCP 09.02.2006 um 09:20:07 Uhr
Goto Top
Hätte ich noch schreiben sollen ja.

Da wir größtenteils ja
Systemadmins in verschiedenen Bereichen sind
dachte ich ...
damit alles
Korrekt abläuft und einem keiner was
illegals oder Datenschutzverletzung
vorwerfen kann.


Grüße Equinox

Ja so ist das aber bedenke, bei google sind wir auch zu finden und unsere Beiträge och.

Mfg Metzger
Handrich
Handrich 12.02.2006 um 08:37:45 Uhr
Goto Top
Vieleicht hilft dir unser Programm Scannet Pro 3.5
Starte den Adapter Monitor und beobachte die angesprochenen Ports.
Mit den Zusatzmodulen LAN2 und Sysinfo kannst du Schrittweise an dein Problem herangehen.Diese Funktionen sind auch in der shareware Version vorhanden.
http://www.profiler3d.de
17627
17627 06.03.2006 um 08:30:50 Uhr
Goto Top
Ein gratis Tool was mir noch einfällt wäre "Honeypot".
Das ist eine Linux Distribution die sich live von CD starten lässt.
Für den Hacker siehts aus wie ein angrifssbereiter, ungesicherter Server.
Das Teil loggt aber alles was man nur loggen kann.

Greetz

DaFlow
redline
redline 06.03.2006 um 11:13:45 Uhr
Goto Top
und das ding kann ich auf dem Win 2003 Server laufen lassen????
17627
17627 06.03.2006 um 14:15:17 Uhr
Goto Top
Nicht direkt. Ich weiß nicht ob es sowas auch als Anwendung gibt.
Aber es würde reichen eine alte Kiste hinzupacken und von der CD zu booten.
Der "Hacker" fällt bestimmt drauf rein. Bzw. sieht sich das System das als "ungeschützt" gilt bestimmt an. Und das reicht. Denn alle Möglichen Logfiles, die man braucht hat man dann face-smile
redline
redline 07.03.2006 um 07:09:58 Uhr
Goto Top
Hört sich auf jeden Fall gut an, schauen wir mal was ich draus machen kann! Aber für diesen aktuellen Fall hier, hab ich die Kollegen schon. Sie waren nicht ganz so schlau bzw. schnell wie ich! Bislang hab ich drei gefunden und bei denen belasse ich es in diesem Fall auch...

face-wink

thanks and greetz
27119
27119 05.07.2006 um 15:16:23 Uhr
Goto Top
Wiso jemand DEINEN Server als Fileserver missbrauchen sollte, und sich dabei strafbar machen sollte, ist mir schleierhaft, zumal es genug Gratis Dienste gibt mit denen man grosse Files anderen verfügbar machen kann.

Wenn man zu doof ist seinen Microsaft Server abzusichern bevor man ihn ans Internet anschlisst, sollte man sich einen anderen Job suchen - meine Meinung.
Mir kommt die Sache irgendwie spanisch vor...
redline
redline 05.07.2006 um 15:42:33 Uhr
Goto Top
1. Du solltest erstmal die Daten (Mehrzahl von Datum ?!) durchsehen und dann siehst du wie lange dieses ding schon gegessen ist.

2. Lass die dummen Sprüche, wenn man keine Ahnung (von der IT Welt) hat, einfach mal die ......halten.

greetz
Metzger-MCP
Metzger-MCP 06.07.2006 um 08:45:53 Uhr
Goto Top
@ redline

hat er doch face-smile er hat geschrieben !

@ duno

Hast du nicht ein bissel mit deiner Aussage übertrieben ? ( anderer Job )
Denke solche Fehler passieren auch den Cracks die 3mal mehr auf dem
Kasten haben als du !
Wer arbeitet macht Fehler, wer viel arbeitet macht viele Fehler, wer garnicht ....
Gegen neue Viren bist du genauso verletzlich wie wir anderen auch.
Naja sei es drum. Ich werde mich aber nun aus dem Thema herraus halten
und dazu die * halten und die Finger weiter pflegen face-smile

Mfg Metzger
27119
27119 06.07.2006 um 12:11:41 Uhr
Goto Top
!

@ duno

Hast du nicht ein bissel mit deiner Aussage
übertrieben ? ( anderer Job )
Denke solche Fehler passieren auch den
Cracks die 3mal mehr auf dem
Kasten haben als du !
Wer arbeitet macht Fehler, wer viel arbeitet
macht viele Fehler, wer garnicht ....
Gegen neue Viren bist du genauso verletzlich
wie wir anderen auch.


Nunja - es gibt wohl immer einen, der mehr draufhat als ein anderer.
Wer will das messen? Und vor allem - wen interessierts?

Wenn ich mein Auto in die Werkstatt bringe, erwarte ich nicht dass der Mechaniker 10 Jahre Erfahrung in einem Rennstall gemacht hat.
Dass er es hinkriegt, meine Bremsklötze zu erneuern und den Reifendruck zu prüfen, erwarte ich aber auf jeden Fall.

Wenn man schon einen Microsaft Server direkt ins Internet hängen will, und es Angreifer schaffen das Teil als Fileserver zu missbrauchen, hat man einfach versagt.
Wenn mir das bei der Arbeit passiert wäre ich meinen Job los.