Server 2003 wurde gehackt was tun ?

Mitglied: sockel7

sockel7 (Level 1) - Jetzt verbinden

29.03.2016 um 12:47 Uhr, 1317 Aufrufe, 10 Kommentare

Hallo ,

Ich habe in meinem Unternehmen noch einen Windows Server 2003 in Betrieb !.
Dieser wurde nun am 28.03.2016 gehackt.
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Dann hat er mein Admin Konto gelöscht. So kann ich nun nicht mehr auf den Server zugreifen.
Zum Glück war ich noch an der lokalen Konsole angemeldet und er hat mich nicht vom System getrennt.
So konnte ich noch eine Datensicherung fahren. Zumindest die wichtigen Sachen konnte ich noch sichern.
Aber ich denke wenn ich den Server neu starte werde ich mich nicht mehr am System anmelden können mit dem Admin Konto weil es ja gelöscht wurde.

Kann ich das noch reparieren über die Konsole oder ist das nun das aus für diesen Server ?
Das der bedingt durch sein alter e weg muss ist schon klar. Aber das ist in einem 24 Stunden Betrieb immer sehr problematisch.
Was kann ich machen um herauszufinden was genau passiert ist ? kann ich evtl. noch was retten ?

kann mir da jemand Auskunft geben ?

Gruß
Dirk
Mitglied: 127944
127944 (Level 2)
29.03.2016 um 12:54 Uhr
Moin,

mein dringender Rat: Suche dir kompetente Hilfe, die dir vor Ort hilft. Das ist kein Szenario, was man mal eben in einem Forum abarbeitet.
Bitte warten ..
Mitglied: beidermachtvongreyscull
29.03.2016 um 12:55 Uhr
Wenn Du noch angemeldet bist, lege ein neues Adminkonto an.
Wenn jemand von außen auf die Büchse draufkam, hast Du ein Problem!

Nimm der Büchse den Default-Gateway. Dann kommt sie nicht mehr (so einfach) ins Internet.
Ferner schau mal, was an Firewall Dein Netz schützt.
Bitte warten ..
Mitglied: Pjordorf
29.03.2016, aktualisiert um 14:08 Uhr
Hallo,

Zitat von @sockel7:
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Gibt es denn das Konto Aspnet und wie ist dessen PW? Einwahlrechte? Exchange? RWW? Dienstkonto?

Zum Glück war ich noch an der lokalen Konsole angemeldet und er hat mich nicht vom System getrennt.
Als ein Administrator oder normaler Benutzer. Einfach neues Konto Anlegen und gut ist.

So konnte ich noch eine Datensicherung fahren.
Mitsamt den fremden Zugriff (ein Kompromitiertes System)

Aber ich denke wenn ich den Server neu starte werde ich mich nicht mehr am System anmelden können mit dem Admin Konto weil es ja gelöscht wurde.
Vermutlich. Wir kennen deine Konten nicht und auch nicht wer noch alles ein Administrator ist.

Was kann ich machen um herauszufinden was genau passiert ist ?
Logs und Protokolle und schauen über welche Ports / Mechanismen Zugriff von Ausserhalb möglich ist. Oder war es ein Insiderjob (Mitarbeiter)

kann ich evtl. noch was retten ?
Nackte Daten?
alle passwörter ändern.

Ist der Server auch der DC?

kann mir da jemand Auskunft geben ?
Stecker ziehen und Forensic betreiben. Anfangen wie ein Verbrecher zu Denken und schauen wie was gemacht wurde. Diese Wege dann zubauen. Firewalls, Portweiterleitungen usw. alles Prüfen. Notfalls ruht die Produktion solange.

Gruß,
Peter
Bitte warten ..
Mitglied: sockel7
29.03.2016 um 13:39 Uhr
Hallo,

ja an der Konsole kann ich noch als Admin arbeiten. Aber das Konto ist bereits gelöscht mit dem ich angemeldet bin.
Das Konto Aspnet gibt es tatsächlich aber das Passwort kann ich ja nicht wissen.
Dieser Server ist auch ein DC
Wenn ich nun einen neues Admin Konto anlege und seins lösche, wird sich der Angreifer sicherlich wieder auf die gleiche weise zugriff verschaffen wie vorher auch solange ich nicht weis wie er es gemacht hat.

Ich habe mich nun erst mal entschlossen einen neuen Server zu Kaufen und als System 2012 r2 Standart zu installieren damit ich von dem 2003 weg komme.

ich schau mir mal die Log Files an
Bitte warten ..
Mitglied: Chonta
29.03.2016 um 14:12 Uhr
Hallo,

war der RDP Port von außen erreichbar?

Spiel das Desasterbackup von vor dem Angriff ein, dann hast Du ein nicht kompromitiertes System.

Wird der Exchange überhaupt genutzt?

Der Umstieg kommt ein bisschen spät, 24H betrieb ist eine Migration auch möglich, denn der neue Server wird ja nicht auf der Asbachuralt Hardware laufen.

Gruß

Chonta
Bitte warten ..
Mitglied: Pjordorf
29.03.2016 um 14:26 Uhr
Hallo,

Zitat von @sockel7:
ja an der Konsole kann ich noch als Admin arbeiten. Aber das Konto ist bereits gelöscht mit dem ich angemeldet bin.
Und? Bist du der Admin oder nicht? Was hindert dich ein neues Konto anzulegen oder deine Sicherung deines nicht komprimierten Systems zurück zu spielen?

Das Konto Aspnet gibt es tatsächlich aber das Passwort kann ich ja nicht wissen.
Gab es das Konto schon vorher? Für welche Dienste bzw. wer nutzt es? Passwörter ändern kann ein Admin aber schon (ohne das eigentliche PW zu kennen). Zusätzlich das Konto Sperren.

Dieser Server ist auch ein DC
Der DC oder gibt es noch mehr?
Was läuft alles auf der Kiste?
Welche Ports sind dort offen (Auch ein Server 2003 kennt eine Firewall)?
Welche Ports werden aus dem internet auf dein Server geleitet?
IIS?
Sharepoint?
Exchange?

Wenn ich nun einen neues Admin Konto anlege und seins lösche
Sicher das es über das Konto Aspnet erfolgt ist? Nur weil du das Konto nicht kennst? Sein Konto kannst du jederzeit ein anderes PW verpassen sofern du Admin bist, und Sperren auch.

wird sich der Angreifer sicherlich wieder auf die gleiche weise zugriff verschaffen wie vorher auch
Sicherlich ist das so.

solange ich nicht weis wie er es gemacht hat.
Das soltest du aber shnellstens rausfinden.

Ich habe mich nun erst mal entschlossen einen neuen Server zu Kaufen und als System 2012 r2 Standart zu installieren damit ich von dem 2003 weg komme.
Wird dein Komprimiertes system aber nicht ändern. Vermutlich willst du eine komplett neue Domäne dann im Unternehmen etablieren, weil sonst übernimmst du das komprimierte System auf dein neues Blech....

ich schau mir mal die Log Files an
Wann hat sich wer angemeldet? In allen DCs nachschauen.
Auch SMTP Logs können einen hinweise liefern

Gruß,
Peter
Bitte warten ..
Mitglied: Hitman4021
29.03.2016 um 14:27 Uhr
Hallo,

auf einen neuen Server zu wechseln macht in deiner Situation keinen Sinn.
Du solltest jetzt mal den Stecker - für alle Clients - ziehen um einen noch größeren Schaden zu vermeiden.

Und danach solltest du die Ursache finden - wer sagt nicht das der Angriff von einem Client kam?
Bzw. das nicht noch immer irgendwer in deinem Netz sitzt?
Dann hättest du mit dem neuen Server noch immer das gleiche Problem.

Grüße
Bitte warten ..
Mitglied: altmetaller
29.03.2016 um 14:42 Uhr
Zitat von @sockel7:

So konnte ich noch eine Datensicherung fahren. Zumindest die wichtigen Sachen konnte ich noch sichern.

Sehr schön. Wenn er eine Backdoor installiert hat, hast Du unter Umständen mitgesichert und spielst sie brav wieder mit dem Restore ein...

Kann ich das noch reparieren

Du möchtest ein 13 Jahre altes Serverbetriebssystem, für das es keinen Support mehr gibt, "reparieren"?

Was kann ich machen um herauszufinden was genau passiert ist ? kann ich evtl. noch was retten ?

Pragmatisch betrachtet: Nein.

Wenn Du nicht 100% weißt, was Du da tust: Kauf' Dir einen neuen Server, fange komplett auf der grünen Wiese an und migriere das absolute Minimum an Daten auf allerunterster Ebene.

Der Aufwand dafür ist deutlich geringer als sich "mal eben zu jemanden auszubilden, der derartige Angriffe fundiert analysieren kann". Vom darauf folgenden Analyseaufwand mal ganz abgesehen.

Alternativ: Beauftrage ein Systemhaus.
Bitte warten ..
Mitglied: Pjordorf
29.03.2016 um 15:39 Uhr
Hallo,

Zitat von @sockel7:
Dieser wurde nun am 28.03.2016 gehackt.
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Schon gesehen? https://www.administrator.de/forum/asp-net-konto-erstellen-300329.html Nicht das du dich da vertust ....

Gruß,
Peter
Bitte warten ..
Mitglied: emeriks
30.03.2016 um 01:20 Uhr
Hi,
DEN Administrator kann man löschen?! Das wäre mir neu ...

https://msdn.microsoft.com/de-de/library/cc739627%28v=ws.10%29.aspx
Das Administratorkonto und das Gastkonto können nicht gelöscht werden.

Anders wäre es auch nicht möglich, dass Du in der aktuellen Anmeldung des Kontos noch etwas machen kannst. Nach ein paar Minuten könntest Du keine neuen Prozesse mehr starten, weil das entsprechende Access Token nicht mehr gültig wäre.

Wenn überhaupt, dann wurde das Administrator-Konto ggf. umbenannt. Das ist erlaubt. Oder sein Passwort geändert. Das ist auch erlaubt. Oder beides zusammen.

Was macht Dich überhaupt so sicher, dass es über das von Dir genannte Konto "aspnet" erfolgt sein soll? Hast Du da irgendwas in irgendeinem Log gelesen?

Ist der Server in einer Domäne? Falls in Domäne: Bist Du dort auch Admin? Falls Domänen-Admin: Du kannst jederzeit über GPO alles wieder richten. Falls kein Domänen-Admin: Wende Dich an einen! Falls nicht in einer Domäne: Du solltest als erstes feststellen, wie das Konto jetzt heißt. z.B. über die Mitglieder der Gruppe Administratoren. Dann das Passwort ändern. Das musst Du aber über die MMC machen. Denn über die Console wird es nicht gehen, weil Du dort das alte Passwort nochmal eingeben musst. Und das scheint ja inzwischen geändert worden zu sein. Dann zusätzlich noch ein weiteres Konto erstellen, welches Mitglied der Gruppe Administratoren ist. Als Reserve.

Den Server vom Netz nehmen. Alle lokalen Konten, außer Deines Admins und des Reserve-Admins, deaktivieren. Anmeldung mit Reserveadmin testen, ohne Dich von der Console abzumelden. Also über RDP.

Alle Dienste, welche Du nicht kennst und welche mit einem Nicht-Systemkonto gestartet werden, deaktivieren. Scheduled Task überprüfen. Alle deaktivieren, welche Du nicht kennst.

Autostart überprüfen, z.B. mit MSCONFIG. Was Du nicht kennst, deaktivieren.

Sofern die Daten auf dem Server nicht EFS-verschlüsselt sind, kommst Du da immer wieder ran, wenn Du die Festlatte(n) an neinen anderen Computer schliest oder mit einer Live-CD bootest.

Server durchstarten, ohne Netz.

Und falls das alles Deine Fachkenntnis übersteigen sollte: Keine Schande! Aber hole Dir dann professionelle Hilfe ins Haus!

E.
Bitte warten ..
Heiß diskutierte Inhalte
Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 13 StundenFrageWindows 1036 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 8 StundenFrageOff Topic16 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows Userverwaltung
Account Aktivierung über VPN
Phill93Vor 1 TagFrageWindows Userverwaltung3 Kommentare

Hallo, ich muss mir für eine RDP Umgebung für einen Verein eine Lösung für die Account Aktivierung ausdenken. Meine Idee ist die folgende: 1. ...

Switche und Hubs
Suche Deutsche Sprachdatei für D-Link DGS-1210-24 D1 Switch
gelöst Oggy01Vor 1 TagFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen D-Link DGS-1210-24 Vers. D1 Switch bekommen und suche für diesen eine Deutsche Sprachdatei. Die Firmware ist auf dem aktuellen Stand ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 9 StundenTippHumor (lol)8 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Video & Streaming
Videoaufnahme funktioniert nur bis zum ersten Reboot (0x80040217)
IllusionFACTORYVor 1 TagFrageVideo & Streaming10 Kommentare

Ich nehme über eine Video-Software von einem USB-Hardware-Encoder Video auf. Das funktioniert exakt bis zum ersten Reboot - danach bekomme ich beim Starten der ...

Windows Server
GPU Passthrough HYPER-V 2019
bintesVor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe ein ein Problem mit der Bereitstellung einer Grafikkarte an eine virtuelle Maschine. Hardware: - HPE ProLiant DL380 Gen9 V4 Rack Server ...

Windows Server
Windows Admin Center DC
maximidVor 1 TagFrageWindows Server3 Kommentare

Hallo, ich hätte mal eine Frage zu Windows Admin Center und zwar schaue ich es mir aktuell etwas an da mir die zentrale Verwaltung ...