Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Hackerangriff ?

Mitglied: 54291

54291 (Level 1)

26.09.2007, aktualisiert 30.09.2007, 12209 Aufrufe, 10 Kommentare

Ich habe einen WinXP SP2 mit Apache als Webserver laufen.
Als ich mich heute per Remote mit ihm verbunden habe (was ich nicht so oft tue) musste ich ein geöffnetes DOS Fenster und den Taskmanager erblicken.
Anbei ein Screenshot von dem DOS Fenster.

dac0bdca3d732d129644f0ba5c5e0e88-dos_fenster - Klicke auf das Bild, um es zu vergrößern

Kann mir jemand erklären, was da in dem Fenster steht, was da passiert ist?

Danke
Mitglied: aqui
26.09.2007 um 18:11 Uhr
Da hat scheinbar einer bei dir versucht über ein unsichers PHP Script, CGI oder was auch immer einen FTP oder TFTP Transfer zu starten um Daten auf oder von deinem Server zu holen.

Da kann man nur hoffen das du die Ports TCP 20 und TCP 21 in deiner Firewall gesperrt hats (FTP)

Wenn du das Fenster nicht selber vergessen hast gibts wohl wirklich ne undichte Stelle auf dem Server. Sollte einen bei Microsoft OS ja nicht besonders wundern....
Wie wärs mal mit einem Apache auf Linux ?
Bitte warten ..
Mitglied: 54291
26.09.2007 um 18:17 Uhr
Port 20 und 21 sind nicht offen, FTP läuft nicht.
Könnte es auch über einen anderen Port möglich sein?
Apache mit Linux wäre schön, aber mit Linux kenne ich mich leider gar nicht aus.
Vielleicht werde ich das ganze einfach nach 1und1 umziehen.

Aber du meinst, das jemand über FTP versucht hat etwas aufzuspielen oder herunterzuladen.
Das ist ein Ding.
Wie kann ich noch da gegen schützen? PC hängt hinter Router FritzBox.
In der Box ist nur ein Port 3292 geöffnet. Auf dem PC ist noch eine extra Firewall und Virenschutz von McAfee installiert.
Bitte warten ..
Mitglied: 51705
26.09.2007 um 20:21 Uhr
Aber du meinst, das jemand über FTP
versucht hat etwas aufzuspielen oder
herunterzuladen.

Unwahrscheinlich, eher hatte jemand per RDP oder physisch Zugriff auf den Rechner.

EDIT:
Quatsch gelöscht.

EDIT2:
Die Aussage zur Sicherheit von MS / Linux ist nicht gerade objektiv.
Bitte warten ..
Mitglied: 54291
26.09.2007 um 21:25 Uhr
@ srmerlin
also meinst du, dass wirklich jemand auf dem rechner war (sich damit verbunden hat)?
oder war es nur ein virus, trojaner oder so der ein automatisches script ausgeführt hat?

ich weiß noch nicht wie ich mich davor schütze. am besten "power off"
Bitte warten ..
Mitglied: 51705
26.09.2007 um 22:19 Uhr
Du hast einen Screenshot vom Desktop, also muß jemand am Desktop gearbeitet haben. Virus, Hacker, etc. sind da unwahrscheinlich.
Bitte warten ..
Mitglied: 54291
26.09.2007 um 22:53 Uhr
den screenshot habe ich selber gemacht.
ich habe mich heute mal wieder seit ca. 1 Woche mit dem Server per RDP mit dem Server verbunden und habe das geöffnete DOS Fenster und den geöffneten Taskmanager vorgefunden.
Ich bin mir zu 100% sicher, dass ich das selber nicht war.
sonst kann es von meinem pc auch niemand gewesen sein. (kein wlan usw.)
Bitte warten ..
Mitglied: 51705
26.09.2007 um 23:18 Uhr
Die Screenshots laufen doch im User-Kontext, also hat jemand die Login-Daten.
Bitte warten ..
Mitglied: gnarff
30.09.2007 um 00:23 Uhr
Hallo rbueld!

Das was da auf dem Server waltet und schaltet hat einen Namen: Backdoor.Win32.Rbot.dvd
Das erkennt man daran, dass die Datei mswinsvcr.exe vorhanden ist.
Avira hat dem Schaedling den Namen Worm/IrcBot.uxm gegeben.
Du darfst Deinen Server neu aufsetzen...

saludos
gnarff
Bitte warten ..
Mitglied: 54291
30.09.2007 um 10:05 Uhr
Danke gnarff, mal eine richtig gute Antwort. Zwar keine Erfreuliche aber jetzt weiß ich woran ich bin.
Du meinst Server neu aufsetzen?
Meint ihr nicht das ein Antivirus Programm oder ein Adaware oder Spyware Programm das Vieh wegbekommt?
Ich werde auf jeden Fall mal ein bisschen ausprobieren. Bis dahin bleibt er vom Netz.
Den Virenscanner hatte ich auch schon nach dem Angriff laufen lassen, reine vorsichtsmassnahme aber er hat nichts gefunden.
Bitte warten ..
Mitglied: gnarff
30.09.2007 um 16:20 Uhr
Danke gnarff, mal eine richtig gute Antwort.
Zwar keine Erfreuliche aber jetzt weiß
ich woran ich bin.
Du meinst Server neu aufsetzen?
Produktionsumgebung = Neu Aufsetzen

saludos
gnarff
Bitte warten ..
Neue Wissensbeiträge
Erkennung und -Abwehr

Trend Micro Worry Free Business Security 10.0 - erneutes Patch (1494) erschienen!

Tipp von VGem-e vor 7 StundenErkennung und -Abwehr1 Kommentar

Moin, unter ist ein neuer Patch verfügbar, der offenbar auch Windows 10.1809 unterstützt. Tja, wie letztes Mal auch, erst ...

Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 5 TagenHumor (lol)7 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 6 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 9 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

Heiß diskutierte Inhalte
Samba
Windows 10 Client in Samba-Domäne hinzufügen scheitert
Frage von diwaffmSamba32 Kommentare

Hi Leute, ich habe einen Samba Server in der Version 4.9.3 auf einer OpenSuse Maschine laufen. Damit sind momentan ...

Router & Routing
Verbindung zweier Netze via Lancom VPN-Router . Problem
Frage von ThorstenBrRouter & Routing29 Kommentare

Hallo Leute, mein erster Post hier im Forum ich versuche mich gerade in Lancom Router ein zu arbeiten. Dafür ...

Windows Server
Testweise Installation eines Domänencontrollers
Frage von gerd33Windows Server20 Kommentare

Hallo Zusammen, mein Netzwerk ( 2 Praxen + 1 Wohnhaus) ist per VPN (WAN) verbunden, mit jeweils einem LAN, ...

Windows Systemdateien
Verknüpfungen nach Pfadwechsel
Frage von Hendrik2586Windows Systemdateien17 Kommentare

Guten Morgen meine lieben Kollegen und Kolleginnen, ich hab da mal eine Frage die Ihr sicher schon kennt. Es ...