achim222
Goto Top

Seltsames Verhalten! Virus? Plinker!

Hallo,
ich hatte heute dieses Fenster auf dem Bildschirm als ich an den Server ging. Das wurde von mir nicht aufgerufen.
Ein andere hat keinen Zugang!

plinker1



Was könnte das sein ? Die IP gehört einer EWE TEL GmbH, was mir absolut nichts sagt.


Gruß
Achim

plink

Content-ID: 316780

Url: https://administrator.de/forum/seltsames-verhalten-virus-plinker-316780.html

Ausgedruckt am: 28.12.2024 um 22:12 Uhr

certifiedit.net
certifiedit.net 02.10.2016 um 13:17:08 Uhr
Goto Top
Hallo Achim,

wenn niemand an deinem Server war und du das nicht aufgerufen hast, wäre das wohl ein Wink mit dem Zaunpfahl dein Netz ordentlich überprüfen zu lassen.

Nebenbei, was bist du im Unternehmen? Admin, Angestellter mit Nebenjob Admin, Freund des Inhabers? "joe"?

Viele Grüße,

Christian
SeaStorm
SeaStorm 02.10.2016 um 13:17:28 Uhr
Goto Top
Sieht so aus als ob dein Server geknackt wurde


http://ssh-anonim.blogspot.de/p/blog-page.html?m=1
bitnarrator
bitnarrator 02.10.2016 um 13:46:32 Uhr
Goto Top
Die ewe ist ein internetanbieter aus dem Weser Ems gebiet, kann also öffentliche ip eines privaten Mann sein, der Daten von deinem Server auf seinem heimischen Minicomputer (raspberry Pi) kopiert
Vision2015
Vision2015 02.10.2016 um 14:15:30 Uhr
Goto Top
Zitat von @SeaStorm:

Sieht so aus als ob dein Server geknackt wurde


http://ssh-anonim.blogspot.de/p/blog-page.html?m=1

hm... kannst du das mal vorlesen face-wink

Frank
pelzfrucht
pelzfrucht 02.10.2016 um 14:29:09 Uhr
Goto Top
Kannst ja mal versuchen dem netten Herr Fl00der auf seiner ICQ Nummer 498294758 zu schreiben face-wink

hm... kannst du das mal vorlesen
https://translate.google.com/translate?hl=de&sl=auto&tl=de&u ...

Der "Fl00der" scheint Moderator in diesem russischen Forum zu sein und dort (kommerziell) eine bzw. diese SSH Tunneling Software zu vertreiben.
https://translate.google.com/translate?hl=de&sl=auto&tl=de&u ...

Grüße
pelzfrucht
certifiedit.net
certifiedit.net 02.10.2016 um 14:39:50 Uhr
Goto Top
Was nur meine Aussage unterstreicht, wenn sogar ein Skriptkiddie deine Server infizieren kann.
Lochkartenstanzer
Lochkartenstanzer 02.10.2016 um 15:19:56 Uhr
Goto Top
Moin,

eine Suche nach plinker ssh führt zu russischen Seiten zweifelhaften Rufes.

Den Plinker sollte man nicht mit plink aus dem putty-Bundle verwechseln.

Meine Kristallkugel sagt:

  • Du solltest umgehend Deine Systeme offline nehmen und prüfen.

lks
Vision2015
Vision2015 02.10.2016 um 18:15:18 Uhr
Goto Top
Zitat von @certifiedit.net:

Was nur meine Aussage unterstreicht, wenn sogar ein Skriptkiddie deine Server infizieren kann.

na dann mach ihm doch mal ein Angebot face-smile

Frank
certifiedit.net
certifiedit.net 02.10.2016 um 18:27:16 Uhr
Goto Top
Er weiss doch, dass er sich an mich, oder andere Teilnehmer für Bereinigung und Absicherung wenden kann. ;)
SlainteMhath
SlainteMhath 05.10.2016 um 13:12:13 Uhr
Goto Top
Moin,

ne Fritte als Router... VLC auf dem Server installiert... Ich tippe auf einen per Portforwarding frei zugänglichen Remote Desktop :/

lg,
Slainte
Vision2015
Vision2015 05.10.2016 um 13:18:33 Uhr
Goto Top
Zitat von @SlainteMhath:

Moin,

ne Fritte als Router... VLC auf dem Server installiert... Ich tippe auf einen per Portforwarding frei zugänglichen Remote Desktop :/
war auch mein gedanke... face-smile
was wohl daraus geworden ist ?

lg,
Slainte
Frank
achim222
achim222 06.10.2016 um 18:12:26 Uhr
Goto Top
Danke für die vielen Antworten.
Es hat sich alles geklärt! In meiner Abwesenheit ging der Chef an den Server und machte diesen auf ( Firewall aus.RDP mit luschen PW eingerichtet und den Port im Router aufgemacht )

Ist jetzt wieder alles dicht und sauber face-smile


Gruß
Achim
Lochkartenstanzer
Lochkartenstanzer 06.10.2016 aktualisiert um 18:33:54 Uhr
Goto Top
Zitat von @achim222:

Es hat sich alles geklärt! In meiner Abwesenheit ging der Chef an den Server und machte diesen auf ( Firewall aus.RDP mit luschen PW eingerichtet und den Port im Router aufgemacht )


Wieso hat Deine Chef das Admin-Paßwort oder berechtigungnen am Rpouter herumzuschrauben? Wenn man vernünftig Chefs erklärt, warum die das nicht brauchen, lassen sie auch meist die Finger davon.

Oder hatte er einen Anruf vom freundlichen MS-Support?

lks
achim222
achim222 06.10.2016 um 18:46:58 Uhr
Goto Top
Er fiel wohl schon mal auf die Schnute. Alter Admin weg und keine Zugänge bzw. Passwörter.
Dann wollte er wohl "mal eben" am WE von zu Hause arbeiten. So schnell kann es gehen face-wink