Hacker war via FTP auf Win2K Server

Mitglied: Aspin

Aspin (Level 1) - Jetzt verbinden

05.09.2006, aktualisiert 11.10.2006, 5427 Aufrufe, 5 Kommentare

Hacker Dateien, Ordner können nicht entfernt werden.

Hallo

Ein Hacker war auf meiner Win2K Server Kiste und hat es via IIS FTP Server geschafft Daten hochzuladen. Ziemlich viele :-) face-smile D.h. ganze CDs als WinRar.

Nun gut. Anderer FTP Server statt IIS FTP und er hatte keinen Zugriff mehr. Nur...

jetzt hat es div. Ordner und Unterordner die Sonderzeichen beinhalten. Stöbere ich diese über die Konsole auf so hat es nichts drin? Nur NTBackup hat die Dateien entdeckt und sichert die bösen, bösen CD WinRars. Beispiel:

\\Server\root\domain\html\? & % 345\.tmp\... und so weiter.
Versuche ich den Ordner '? & % 345' zu löschen, erhalte ich die Meldung: "kann nicht gelöscht werden: Die angegebene Datei wurde nicht gefunden.

Toll ist auch, dass ich leer Ordner habe. Versuche ich diese zu löschen, erhalte ich die gleiche Fehlermeldung wie oben. Ich weiss jedoch, dass da diese CDs drin sind.

Hhhhmmm... jemand eine Idee?
Mitglied: 16568
16568 (Level 4)
05.09.2006 um 19:35 Uhr
Das hier:

http://www.sysinternals.com/Utilities/RootkitRevealer.html

und das hier:

http://www.f-secure.de/blacklight/

über den IIS schrubben lassen, sollte Dir hoffentlich was anzeigen.
Ich gehe davon aus, daß Du als Domänen-Admin versucht hast, was zu löschen.

Nachdem Du den Rechner gesäubert hast, alle Daten sichern, System neu aufsetzen.
Wer's einmal schafft, hinterläßt meist Hintertürchen, damit er's wieder machen kann
(zumindest würde ich das so machen :-D face-big-smile )


Lonesome Walker
PS: Falls es kein Rootkit war, nochmal melden...
Bitte warten ..
Mitglied: Aspin
05.09.2006 um 20:55 Uhr
zunächst mal herzlichen Dank 'Lonesome' ;-) face-wink

werde ich tun und mich melden..

Marcel
Bitte warten ..
Mitglied: Aspin
08.09.2006 um 14:03 Uhr
Hallo
Hatte nun Zeit mich der Sache anzunehmen:

Der RootkitRevealer meldete über 3'000 Kidis und der Blacklight keine versteckte Dateien. Der entsprechende virt. Webserver wurde deaktiviert. Nun bleibt mir nichts anderes, als das System komplett neu aufzusetzen. Habe mich auch über Rootkit ein wenig schlauer gemacht. Anscheinend gibts keinen Scanner der erkennt und beseitigt. Sniff...

Gruss
Marcel
Bitte warten ..
Mitglied: wmeiss
06.10.2006 um 13:27 Uhr
Hi !
Ich würde mir überlegen, falls das technisch bei euch umsetzbar wäre, ggf. auf OpenSSH umzusteigen.
Da bist Du auch das Problem mit dem unverschlüsselten Datentransfer via FTP los.
Ist zwar ein bischen "komplizierter" als FTP, aber dementsprechend auch sicherer.

Hier ne kurze Beschreibung von Open SSH
http://www.dfn.de/content/fileadmin/1Dienstleistungen/GWIN/sonstiges/SS ...
http://www.golem.de/0609/48108.html

Hier die Downloadseite:
http://sshwindows.sourceforge.net/download/
Bitte warten ..
Mitglied: Aspin
11.10.2006 um 16:33 Uhr
Hallo wmeis

herzlichen Dank! Gleich zwei Fliegen mit einer Klappe. Suchte nämlich eine sicherere Alternative zu Remotedesktop. Voilà! Getestet habe ich es auf WinXP sowie Server, Notebook. Läuft einwandfrei.

;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic23 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 9 StundenFrageLAN, WAN, Wireless30 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Microsoft
Datenkrake - Browser
DennisWeberVor 1 TagErfahrungsberichtMicrosoft10 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 6 StundenFrageOff Topic19 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 7 StundenFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Cloud-Dienste
Cloud PBX bzw. IP Telefon für Ausland
decehakanVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, Ich suche Cloud Telefon ( Cloud PBX, IP-Telefon), sodass ich von Ausland aus über eine deutsche Rufnummer auf mein Handy erreichbar bin. ...