gelöst Hackerangriff ?
Ich habe einen WinXP SP2 mit Apache als Webserver laufen.
Als ich mich heute per Remote mit ihm verbunden habe (was ich nicht so oft tue) musste ich ein geöffnetes DOS Fenster und den Taskmanager erblicken.
Anbei ein Screenshot von dem DOS Fenster.
Kann mir jemand erklären, was da in dem Fenster steht, was da passiert ist?
Danke
Als ich mich heute per Remote mit ihm verbunden habe (was ich nicht so oft tue) musste ich ein geöffnetes DOS Fenster und den Taskmanager erblicken.
Anbei ein Screenshot von dem DOS Fenster.
Kann mir jemand erklären, was da in dem Fenster steht, was da passiert ist?
Danke
10 Antworten
- LÖSUNG aqui schreibt am 26.09.2007 um 18:11:15 Uhr
- LÖSUNG 54291 schreibt am 26.09.2007 um 18:17:12 Uhr
- LÖSUNG 51705 schreibt am 26.09.2007 um 20:21:21 Uhr
- LÖSUNG 54291 schreibt am 26.09.2007 um 21:25:24 Uhr
- LÖSUNG 51705 schreibt am 26.09.2007 um 22:19:00 Uhr
- LÖSUNG 54291 schreibt am 26.09.2007 um 22:53:47 Uhr
- LÖSUNG 51705 schreibt am 26.09.2007 um 23:18:45 Uhr
- LÖSUNG gnarff schreibt am 30.09.2007 um 00:23:40 Uhr
- LÖSUNG 54291 schreibt am 30.09.2007 um 10:05:01 Uhr
- LÖSUNG gnarff schreibt am 30.09.2007 um 16:20:45 Uhr
- LÖSUNG 54291 schreibt am 30.09.2007 um 10:05:01 Uhr
- LÖSUNG gnarff schreibt am 30.09.2007 um 00:23:40 Uhr
- LÖSUNG 51705 schreibt am 26.09.2007 um 23:18:45 Uhr
- LÖSUNG 54291 schreibt am 26.09.2007 um 22:53:47 Uhr
- LÖSUNG 51705 schreibt am 26.09.2007 um 22:19:00 Uhr
- LÖSUNG 54291 schreibt am 26.09.2007 um 21:25:24 Uhr
- LÖSUNG 51705 schreibt am 26.09.2007 um 20:21:21 Uhr
- LÖSUNG 54291 schreibt am 26.09.2007 um 18:17:12 Uhr
LÖSUNG 26.09.2007 um 18:11 Uhr
Da hat scheinbar einer bei dir versucht über ein unsichers PHP Script, CGI oder was auch immer einen FTP oder TFTP Transfer zu starten um Daten auf oder von deinem Server zu holen.
Da kann man nur hoffen das du die Ports TCP 20 und TCP 21 in deiner Firewall gesperrt hats (FTP)
Wenn du das Fenster nicht selber vergessen hast gibts wohl wirklich ne undichte Stelle auf dem Server. Sollte einen bei Microsoft OS ja nicht besonders wundern....
Wie wärs mal mit einem Apache auf Linux ?
Da kann man nur hoffen das du die Ports TCP 20 und TCP 21 in deiner Firewall gesperrt hats (FTP)
Wenn du das Fenster nicht selber vergessen hast gibts wohl wirklich ne undichte Stelle auf dem Server. Sollte einen bei Microsoft OS ja nicht besonders wundern....
Wie wärs mal mit einem Apache auf Linux ?
LÖSUNG 26.09.2007 um 18:17 Uhr
Port 20 und 21 sind nicht offen, FTP läuft nicht.
Könnte es auch über einen anderen Port möglich sein?
Apache mit Linux wäre schön, aber mit Linux kenne ich mich leider gar nicht aus.
Vielleicht werde ich das ganze einfach nach 1und1 umziehen.
Aber du meinst, das jemand über FTP versucht hat etwas aufzuspielen oder herunterzuladen.
Das ist ein Ding.
Wie kann ich noch da gegen schützen? PC hängt hinter Router FritzBox.
In der Box ist nur ein Port 3292 geöffnet. Auf dem PC ist noch eine extra Firewall und Virenschutz von McAfee installiert.
Könnte es auch über einen anderen Port möglich sein?
Apache mit Linux wäre schön, aber mit Linux kenne ich mich leider gar nicht aus.
Vielleicht werde ich das ganze einfach nach 1und1 umziehen.
Aber du meinst, das jemand über FTP versucht hat etwas aufzuspielen oder herunterzuladen.
Das ist ein Ding.
Wie kann ich noch da gegen schützen? PC hängt hinter Router FritzBox.
In der Box ist nur ein Port 3292 geöffnet. Auf dem PC ist noch eine extra Firewall und Virenschutz von McAfee installiert.
LÖSUNG 26.09.2007 um 20:21 Uhr
Aber du meinst, das jemand über FTP
versucht hat etwas aufzuspielen oder
herunterzuladen.
versucht hat etwas aufzuspielen oder
herunterzuladen.
Unwahrscheinlich, eher hatte jemand per RDP oder physisch Zugriff auf den Rechner.
EDIT:
Quatsch gelöscht.
EDIT2:
Die Aussage zur Sicherheit von MS / Linux ist nicht gerade objektiv.
LÖSUNG 26.09.2007 um 21:25 Uhr
@ srmerlin
also meinst du, dass wirklich jemand auf dem rechner war (sich damit verbunden hat)?
oder war es nur ein virus, trojaner oder so der ein automatisches script ausgeführt hat?
ich weiß noch nicht wie ich mich davor schütze. am besten "power off"
also meinst du, dass wirklich jemand auf dem rechner war (sich damit verbunden hat)?
oder war es nur ein virus, trojaner oder so der ein automatisches script ausgeführt hat?
ich weiß noch nicht wie ich mich davor schütze. am besten "power off"
LÖSUNG 26.09.2007 um 22:19 Uhr
Du hast einen Screenshot vom Desktop, also muß jemand am Desktop gearbeitet haben. Virus, Hacker, etc. sind da unwahrscheinlich.
LÖSUNG 26.09.2007 um 22:53 Uhr
den screenshot habe ich selber gemacht.
ich habe mich heute mal wieder seit ca. 1 Woche mit dem Server per RDP mit dem Server verbunden und habe das geöffnete DOS Fenster und den geöffneten Taskmanager vorgefunden.
Ich bin mir zu 100% sicher, dass ich das selber nicht war.
sonst kann es von meinem pc auch niemand gewesen sein. (kein wlan usw.)
ich habe mich heute mal wieder seit ca. 1 Woche mit dem Server per RDP mit dem Server verbunden und habe das geöffnete DOS Fenster und den geöffneten Taskmanager vorgefunden.
Ich bin mir zu 100% sicher, dass ich das selber nicht war.
sonst kann es von meinem pc auch niemand gewesen sein. (kein wlan usw.)
LÖSUNG 26.09.2007 um 23:18 Uhr
Die Screenshots laufen doch im User-Kontext, also hat jemand die Login-Daten.
LÖSUNG 30.09.2007 um 00:23 Uhr
Hallo rbueld!
Das was da auf dem Server waltet und schaltet hat einen Namen: Backdoor.Win32.Rbot.dvd
Das erkennt man daran, dass die Datei mswinsvcr.exe vorhanden ist.
Avira hat dem Schaedling den Namen Worm/IrcBot.uxm gegeben.
Du darfst Deinen Server neu aufsetzen...
saludos
gnarff
Das was da auf dem Server waltet und schaltet hat einen Namen: Backdoor.Win32.Rbot.dvd
Das erkennt man daran, dass die Datei mswinsvcr.exe vorhanden ist.
Avira hat dem Schaedling den Namen Worm/IrcBot.uxm gegeben.
Du darfst Deinen Server neu aufsetzen...
saludos
gnarff
LÖSUNG 30.09.2007 um 10:05 Uhr
Danke gnarff, mal eine richtig gute Antwort. Zwar keine Erfreuliche aber jetzt weiß ich woran ich bin.
Du meinst Server neu aufsetzen?
Meint ihr nicht das ein Antivirus Programm oder ein Adaware oder Spyware Programm das Vieh wegbekommt?
Ich werde auf jeden Fall mal ein bisschen ausprobieren. Bis dahin bleibt er vom Netz.
Den Virenscanner hatte ich auch schon nach dem Angriff laufen lassen, reine vorsichtsmassnahme aber er hat nichts gefunden.
Du meinst Server neu aufsetzen?
Meint ihr nicht das ein Antivirus Programm oder ein Adaware oder Spyware Programm das Vieh wegbekommt?
Ich werde auf jeden Fall mal ein bisschen ausprobieren. Bis dahin bleibt er vom Netz.
Den Virenscanner hatte ich auch schon nach dem Angriff laufen lassen, reine vorsichtsmassnahme aber er hat nichts gefunden.
LÖSUNG 30.09.2007 um 16:20 Uhr
Danke gnarff, mal eine richtig gute Antwort.
Zwar keine Erfreuliche aber jetzt weiß
ich woran ich bin.
Du meinst Server neu aufsetzen?
Produktionsumgebung = Neu Aufsetzen Zwar keine Erfreuliche aber jetzt weiß
ich woran ich bin.
Du meinst Server neu aufsetzen?
saludos
gnarff
Neue Wissensbeiträge
Heiß diskutierte Inhalte
