geschickter Angriff von außen?!...brauche dringend Rat

Versteckte Dateien hören sich nach Root-Kit an.

Wenn Du das Root-Kit nicht findet, dann kannst Du nur noch F12 drücken (Server neu mit RIS betanken) oder von Hand neu aufsetzen.

Man weiss leider nie, wie das Programm arbeitet und läuft, eigenständig, an einem Dienst angehängt, etc.

Ein weiterer Betrieb des Servers im Netzwerk ist viel zu gefährlich!

Grüße
Guido

Hallo Florian,

Anti-Root Kits gibt es noch nicht sehr viele.
Eines findest Du z. B. bei http://www.sysinternals.com/utilities/rootkitrevealer.html (freeware)

Erklärung zu Rootkits:
http://www.spiegel.de/netzwelt/technologie/0,1518,392380,00.html

Testversion von F-Secure
http://www.f-secure.de/blacklight/

Ein Tool von MS
http://research.microsoft.com/rootkit/

Wie gesagt, Rootkits sind megaschwer zu entdecken, da diese Attacken noch nicht so verbreitet sind.

Mit einfachen Worten könnte man sagen, dass Du Dir einen Virus eingefangen hast, der sehr tief im System sitzt und somit nicht erkannt wird und die (Bild-Dateien) so verändert, dass sie nicht auf normalen Wege sichtbar gemacht werden können.
Es wird dabei mehr als nur das "Hidden-Attribut" gesetzt.

Grüße
Guido

ziemlich interessant, da nutzt jemand deinen server als dump.

check doch erstmal das naheliegenste:

WIE kommt der user auf den Server, muss ja an eurer firewall vorbei, dort mal die logfiles checken, danach sehen wir weiter. wenn noch.

wenn du wissen moechtest wer das ist, und du dir SICHER bist das er nirgends sonst zugreifen kann, wuerde ich alles an logging aktivieren was moeglich ist.

auch solltest du mal tcpview tools installieren um zu sehen, ueber welche ports kommuniziert werden.

Wenn das so ist wie du beschreibst, schaue dir erst mal an welche Berechtigungen bei euch die User haben, und ob irgendwelche neu sind. Ich nehme an ihr habt eine Domain. Es kann ja eigentlich nur ein existierender User sein der da die falschen Berechtigungen hat, oder eure Adminkonton sind gehackt, oder ein Trojaner oder ein großes Software Sicherheitsloch mit schlechter Firewall.

Als erstes solltest du mal nachschauen, wer der Besitzer der Datein ist. Dadurch hast du vielleicht die Möglichkeit als erstes mal die heraus zu finden welcher User die Datein anlegt.
rechte Maus auf Ordner/Datei, NTFS Berechtigung, Eigenschaften, Besitzer. Wenn?s ein Admin-Account ist, kann da auch ein falscher User stehen. Schaue nach Erstellungs- und Veränderungs- Daten der Datein.

Du mußt erst mal herausfinden wie der Kollege Bösewicht in deinem Netzwerk vorgeht, um im später richtig zu fassen. Du mußt schauen das du ohne große Veränderungen ( damit du ihn nicht warnst ) viel herausfindest. Baue doch erst mal eine neue WS auf. Installiere da dann mal einen echt guten Virenscanner und scanne erst mal die Server Platten über das Netzwerk ( c$....) ab. Schaue dir mit Netstat auf den Servern an, ob du irgendwelche ungewöhnliche Ports offen hast. Schaue in der Regi nach ob du dort Software im Autostart hast die nicht normal sind. Suche dazu nach Runonce und run Schlüssel. (z.b. HKLM\software\microsoft\windows\current..\run)

Sichere doch per "geplannte Tasks" die Ereignisanzeigen Files auf einem anderen Rechner
Stichwort Batchdatei. Überwache den Administrator Account ( anmelden, abmelden ). Versuche erst mal Informationen zu sammeln. schau ob du irgendein Muster erkennen kannst, um anschließend gezielt den Weg nachzuvollziehen, denn der Angreifer nimmt.

Später schaue dir die Firewalls an, welche Ports offen sind die nicht offen sein müßen und schließe sie. Spiele Sicherheitsupdates ein. Lasse anschließend alle Windows Kennwörter von den Usern ändern ( sage das sei eine Sicherheitstechnische Wartungsmassnahme ) 8stellig Buchstaben Zahlen groß-klein. Ändere WPA WEB Keys bei Wlan Geräte, nehme den Mac-filter zuhilfe.

Mit freundlichen Grüßen
Metzger

Da ich den Beitrag wärend meiner Arbeit geschrieben habe, entschuldigt wenn ich vielleicht viel wiederhole. Hatte seid kurz vor 9 angefangen.

Wofür soll der Server mal dienen ?

Welche User wissen das es den Server gibt ? Bedenke das sind die ersten verdächtigen.

Kläre an den passenden Stellen vor Ort, ob es machbar wäre, legal den Netzwerkvrekehr am Serveranschluß mit zuschneiden. Kläre vorher die nötigen Eckdaten ab, was du machen mußt, das man dir nicht an die Karre ... kann. ( Etherreal oder andere Netzwerkanalyse Tools). ( Server mit einem mitschneide sonder PC an einem Hub und den anschließend an ein Switch der die Verbindung zum Netz hat. ) Somit kannst du bewerkstelligen, das du nur den Netzwerkverkehr mitschneidest, der den Server und den "" Missetäter "" betrifft.

Mfg Metzger

@redline

Wende dich an einen kompetenten Spezialisten um das System zu prüfen...ausser du hast das nötige KnowHow. Verstehe mich bitte nicht falsch: ich war auch mal in einer ähnlichen Lage...und mein KnowHow war damals noch nicht ausreichend!

Ansonsten schliesse ich mich Tundra an: Da der Server gemäss deiner Aussage noch nicht produktiv ist und noch nicht als DC arbeitet, wäre eine Neuinstallation (ca. 2h) sicher das einfachste.

gretz drop

Ich schliesse mich der Aussagen von Ivo ( Neuinstallation ) an, aber wichtiger ist es erstmal, herraus zu finden, wie die Daten darauf gekommen sind ( Virus Hacker User ...)

Weil was brinkt mir ein Neuaufgesetztes System, das kurze Zeit später wieder missbraucht wird.

Mfg Metzger

also ich wuerde wissen wollen, WER mich gehacked hat.....

Wie wäre es mit einem Sniffer der dann die Logs weiterleitet?
Somit Logs nicht am Sniffer Rechner und Schwer bis garnicht nachzuvollziehen wohin.
Vorrausgesetzt er bemerkt überhaupt das ein Sniffer mitrennt.

Ja dazu muß man sich aber speziell absichern. Es ist nicht legal einfach mir nichts dir nichts alles mit zu sniffen.

Mfg Metzger

Hätte ich noch schreiben sollen ja.

Da wir größtenteils ja Systemadmins in verschiedenen Bereichen sind dachte ich es muss nicht extra erwähnt werden.
Natürlich immer zuvor mit den Zuständigen Mann/Frau darüber sprechen und sich absichern damit alles Korrekt abläuft und einem keiner was illegals oder Datenschutzverletzung vorwerfen kann.


Grüße Equinox

Ja so ist das aber bedenke, bei google sind wir auch zu finden und unsere Beiträge och.

Mfg Metzger

Vieleicht hilft dir unser Programm Scannet Pro 3.5
Starte den Adapter Monitor und beobachte die angesprochenen Ports.
Mit den Zusatzmodulen LAN2 und Sysinfo kannst du Schrittweise an dein Problem herangehen.Diese Funktionen sind auch in der shareware Version vorhanden.
http://www.profiler3d.de

Ein gratis Tool was mir noch einfällt wäre "Honeypot".
Das ist eine Linux Distribution die sich live von CD starten lässt.
Für den Hacker siehts aus wie ein angrifssbereiter, ungesicherter Server.
Das Teil loggt aber alles was man nur loggen kann.

Greetz

DaFlow

Nicht direkt. Ich weiß nicht ob es sowas auch als Anwendung gibt.
Aber es würde reichen eine alte Kiste hinzupacken und von der CD zu booten.
Der "Hacker" fällt bestimmt drauf rein. Bzw. sieht sich das System das als "ungeschützt" gilt bestimmt an. Und das reicht. Denn alle Möglichen Logfiles, die man braucht hat man dann

Wiso jemand DEINEN Server als Fileserver missbrauchen sollte, und sich dabei strafbar machen sollte, ist mir schleierhaft, zumal es genug Gratis Dienste gibt mit denen man grosse Files anderen verfügbar machen kann.

Wenn man zu doof ist seinen Microsaft Server abzusichern bevor man ihn ans Internet anschlisst, sollte man sich einen anderen Job suchen - meine Meinung.
Mir kommt die Sache irgendwie spanisch vor...

@ redline

hat er doch er hat geschrieben !

@ duno

Hast du nicht ein bissel mit deiner Aussage übertrieben ? ( anderer Job )
Denke solche Fehler passieren auch den Cracks die 3mal mehr auf dem
Kasten haben als du !
Wer arbeitet macht Fehler, wer viel arbeitet macht viele Fehler, wer garnicht ....
Gegen neue Viren bist du genauso verletzlich wie wir anderen auch.
Naja sei es drum. Ich werde mich aber nun aus dem Thema herraus halten
und dazu die * halten und die Finger weiter pflegen

Mfg Metzger