Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server 2003 wurde gehackt was tun ?

Mitglied: sockel7

sockel7 (Level 1) - Jetzt verbinden

29.03.2016 um 12:47 Uhr, 1067 Aufrufe, 10 Kommentare

Hallo ,

Ich habe in meinem Unternehmen noch einen Windows Server 2003 in Betrieb !.
Dieser wurde nun am 28.03.2016 gehackt.
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Dann hat er mein Admin Konto gelöscht. So kann ich nun nicht mehr auf den Server zugreifen.
Zum Glück war ich noch an der lokalen Konsole angemeldet und er hat mich nicht vom System getrennt.
So konnte ich noch eine Datensicherung fahren. Zumindest die wichtigen Sachen konnte ich noch sichern.
Aber ich denke wenn ich den Server neu starte werde ich mich nicht mehr am System anmelden können mit dem Admin Konto weil es ja gelöscht wurde.

Kann ich das noch reparieren über die Konsole oder ist das nun das aus für diesen Server ?
Das der bedingt durch sein alter e weg muss ist schon klar. Aber das ist in einem 24 Stunden Betrieb immer sehr problematisch.
Was kann ich machen um herauszufinden was genau passiert ist ? kann ich evtl. noch was retten ?

kann mir da jemand Auskunft geben ?

Gruß
Dirk
Mitglied: 127944
29.03.2016 um 12:54 Uhr
Moin,

mein dringender Rat: Suche dir kompetente Hilfe, die dir vor Ort hilft. Das ist kein Szenario, was man mal eben in einem Forum abarbeitet.
Bitte warten ..
Mitglied: beidermachtvongreyscull
29.03.2016 um 12:55 Uhr
Wenn Du noch angemeldet bist, lege ein neues Adminkonto an.
Wenn jemand von außen auf die Büchse draufkam, hast Du ein Problem!

Nimm der Büchse den Default-Gateway. Dann kommt sie nicht mehr (so einfach) ins Internet.
Ferner schau mal, was an Firewall Dein Netz schützt.
Bitte warten ..
Mitglied: Pjordorf
29.03.2016, aktualisiert um 14:08 Uhr
Hallo,

Zitat von sockel7:
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Gibt es denn das Konto Aspnet und wie ist dessen PW? Einwahlrechte? Exchange? RWW? Dienstkonto?

Zum Glück war ich noch an der lokalen Konsole angemeldet und er hat mich nicht vom System getrennt.
Als ein Administrator oder normaler Benutzer. Einfach neues Konto Anlegen und gut ist.

So konnte ich noch eine Datensicherung fahren.
Mitsamt den fremden Zugriff (ein Kompromitiertes System)

Aber ich denke wenn ich den Server neu starte werde ich mich nicht mehr am System anmelden können mit dem Admin Konto weil es ja gelöscht wurde.
Vermutlich. Wir kennen deine Konten nicht und auch nicht wer noch alles ein Administrator ist.

Was kann ich machen um herauszufinden was genau passiert ist ?
Logs und Protokolle und schauen über welche Ports / Mechanismen Zugriff von Ausserhalb möglich ist. Oder war es ein Insiderjob (Mitarbeiter)

kann ich evtl. noch was retten ?
Nackte Daten?
alle passwörter ändern.

Ist der Server auch der DC?

kann mir da jemand Auskunft geben ?
Stecker ziehen und Forensic betreiben. Anfangen wie ein Verbrecher zu Denken und schauen wie was gemacht wurde. Diese Wege dann zubauen. Firewalls, Portweiterleitungen usw. alles Prüfen. Notfalls ruht die Produktion solange.

Gruß,
Peter
Bitte warten ..
Mitglied: sockel7
29.03.2016 um 13:39 Uhr
Hallo,

ja an der Konsole kann ich noch als Admin arbeiten. Aber das Konto ist bereits gelöscht mit dem ich angemeldet bin.
Das Konto Aspnet gibt es tatsächlich aber das Passwort kann ich ja nicht wissen.
Dieser Server ist auch ein DC
Wenn ich nun einen neues Admin Konto anlege und seins lösche, wird sich der Angreifer sicherlich wieder auf die gleiche weise zugriff verschaffen wie vorher auch solange ich nicht weis wie er es gemacht hat.

Ich habe mich nun erst mal entschlossen einen neuen Server zu Kaufen und als System 2012 r2 Standart zu installieren damit ich von dem 2003 weg komme.

ich schau mir mal die Log Files an
Bitte warten ..
Mitglied: Chonta
29.03.2016 um 14:12 Uhr
Hallo,

war der RDP Port von außen erreichbar?

Spiel das Desasterbackup von vor dem Angriff ein, dann hast Du ein nicht kompromitiertes System.

Wird der Exchange überhaupt genutzt?

Der Umstieg kommt ein bisschen spät, 24H betrieb ist eine Migration auch möglich, denn der neue Server wird ja nicht auf der Asbachuralt Hardware laufen.

Gruß

Chonta
Bitte warten ..
Mitglied: Pjordorf
29.03.2016 um 14:26 Uhr
Hallo,

Zitat von sockel7:
ja an der Konsole kann ich noch als Admin arbeiten. Aber das Konto ist bereits gelöscht mit dem ich angemeldet bin.
Und? Bist du der Admin oder nicht? Was hindert dich ein neues Konto anzulegen oder deine Sicherung deines nicht komprimierten Systems zurück zu spielen?

Das Konto Aspnet gibt es tatsächlich aber das Passwort kann ich ja nicht wissen.
Gab es das Konto schon vorher? Für welche Dienste bzw. wer nutzt es? Passwörter ändern kann ein Admin aber schon (ohne das eigentliche PW zu kennen). Zusätzlich das Konto Sperren.

Dieser Server ist auch ein DC
Der DC oder gibt es noch mehr?
Was läuft alles auf der Kiste?
Welche Ports sind dort offen (Auch ein Server 2003 kennt eine Firewall)?
Welche Ports werden aus dem internet auf dein Server geleitet?
IIS?
Sharepoint?
Exchange?

Wenn ich nun einen neues Admin Konto anlege und seins lösche
Sicher das es über das Konto Aspnet erfolgt ist? Nur weil du das Konto nicht kennst? Sein Konto kannst du jederzeit ein anderes PW verpassen sofern du Admin bist, und Sperren auch.

wird sich der Angreifer sicherlich wieder auf die gleiche weise zugriff verschaffen wie vorher auch
Sicherlich ist das so.

solange ich nicht weis wie er es gemacht hat.
Das soltest du aber shnellstens rausfinden.

Ich habe mich nun erst mal entschlossen einen neuen Server zu Kaufen und als System 2012 r2 Standart zu installieren damit ich von dem 2003 weg komme.
Wird dein Komprimiertes system aber nicht ändern. Vermutlich willst du eine komplett neue Domäne dann im Unternehmen etablieren, weil sonst übernimmst du das komprimierte System auf dein neues Blech....

ich schau mir mal die Log Files an
Wann hat sich wer angemeldet? In allen DCs nachschauen.
Auch SMTP Logs können einen hinweise liefern

Gruß,
Peter
Bitte warten ..
Mitglied: Hitman4021
29.03.2016 um 14:27 Uhr
Hallo,

auf einen neuen Server zu wechseln macht in deiner Situation keinen Sinn.
Du solltest jetzt mal den Stecker - für alle Clients - ziehen um einen noch größeren Schaden zu vermeiden.

Und danach solltest du die Ursache finden - wer sagt nicht das der Angriff von einem Client kam?
Bzw. das nicht noch immer irgendwer in deinem Netz sitzt?
Dann hättest du mit dem neuen Server noch immer das gleiche Problem.

Grüße
Bitte warten ..
Mitglied: FA-jka
29.03.2016 um 14:42 Uhr
Zitat von sockel7:

So konnte ich noch eine Datensicherung fahren. Zumindest die wichtigen Sachen konnte ich noch sichern.

Sehr schön. Wenn er eine Backdoor installiert hat, hast Du unter Umständen mitgesichert und spielst sie brav wieder mit dem Restore ein...

Kann ich das noch reparieren

Du möchtest ein 13 Jahre altes Serverbetriebssystem, für das es keinen Support mehr gibt, "reparieren"?

Was kann ich machen um herauszufinden was genau passiert ist ? kann ich evtl. noch was retten ?

Pragmatisch betrachtet: Nein.

Wenn Du nicht 100% weißt, was Du da tust: Kauf' Dir einen neuen Server, fange komplett auf der grünen Wiese an und migriere das absolute Minimum an Daten auf allerunterster Ebene.

Der Aufwand dafür ist deutlich geringer als sich "mal eben zu jemanden auszubilden, der derartige Angriffe fundiert analysieren kann". Vom darauf folgenden Analyseaufwand mal ganz abgesehen.

Alternativ: Beauftrage ein Systemhaus.
Bitte warten ..
Mitglied: Pjordorf
29.03.2016 um 15:39 Uhr
Hallo,

Zitat von sockel7:
Dieser wurde nun am 28.03.2016 gehackt.
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Schon gesehen? https://www.administrator.de/forum/asp-net-konto-erstellen-300329.html Nicht das du dich da vertust ....

Gruß,
Peter
Bitte warten ..
Mitglied: emeriks
30.03.2016 um 01:20 Uhr
Hi,
DEN Administrator kann man löschen?! Das wäre mir neu ...

https://msdn.microsoft.com/de-de/library/cc739627%28v=ws.10%29.aspx
Das Administratorkonto und das Gastkonto können nicht gelöscht werden.

Anders wäre es auch nicht möglich, dass Du in der aktuellen Anmeldung des Kontos noch etwas machen kannst. Nach ein paar Minuten könntest Du keine neuen Prozesse mehr starten, weil das entsprechende Access Token nicht mehr gültig wäre.

Wenn überhaupt, dann wurde das Administrator-Konto ggf. umbenannt. Das ist erlaubt. Oder sein Passwort geändert. Das ist auch erlaubt. Oder beides zusammen.

Was macht Dich überhaupt so sicher, dass es über das von Dir genannte Konto "aspnet" erfolgt sein soll? Hast Du da irgendwas in irgendeinem Log gelesen?

Ist der Server in einer Domäne? Falls in Domäne: Bist Du dort auch Admin? Falls Domänen-Admin: Du kannst jederzeit über GPO alles wieder richten. Falls kein Domänen-Admin: Wende Dich an einen! Falls nicht in einer Domäne: Du solltest als erstes feststellen, wie das Konto jetzt heißt. z.B. über die Mitglieder der Gruppe Administratoren. Dann das Passwort ändern. Das musst Du aber über die MMC machen. Denn über die Console wird es nicht gehen, weil Du dort das alte Passwort nochmal eingeben musst. Und das scheint ja inzwischen geändert worden zu sein. Dann zusätzlich noch ein weiteres Konto erstellen, welches Mitglied der Gruppe Administratoren ist. Als Reserve.

Den Server vom Netz nehmen. Alle lokalen Konten, außer Deines Admins und des Reserve-Admins, deaktivieren. Anmeldung mit Reserveadmin testen, ohne Dich von der Console abzumelden. Also über RDP.

Alle Dienste, welche Du nicht kennst und welche mit einem Nicht-Systemkonto gestartet werden, deaktivieren. Scheduled Task überprüfen. Alle deaktivieren, welche Du nicht kennst.

Autostart überprüfen, z.B. mit MSCONFIG. Was Du nicht kennst, deaktivieren.

Sofern die Daten auf dem Server nicht EFS-verschlüsselt sind, kommst Du da immer wieder ran, wenn Du die Festlatte(n) an neinen anderen Computer schliest oder mit einer Live-CD bootest.

Server durchstarten, ohne Netz.

Und falls das alles Deine Fachkenntnis übersteigen sollte: Keine Schande! Aber hole Dir dann professionelle Hilfe ins Haus!

E.
Bitte warten ..
Ähnliche Inhalte
Datenschutz
TeamViewer gehackt !
Information von aquiDatenschutz9 Kommentare

Hat schon einen Grund warum verantwortungsvolle Admins diese Software nicht einsetzen und sie in den meisten größeren Firmen aus ...

Sicherheit
DSL Zugangsdaten gehackt?
Frage von Mr.HeisenbergSicherheit34 Kommentare

Hallo, nach Erhalt einer sehr hohen Telefonrechnung, bin ich stutzig geworden und habe mir einen Einzelverbindungsnachweis angefordert. Dort ist ...

Erkennung und -Abwehr

Accounts werden ständig gehackt - wo liegt der Fehler?

Frage von UFPErkennung und -Abwehr26 Kommentare

Hallo Experten, ich bin momentan etwas ratlos. Eine Freundin von mir hat nun schon seit Monaten Kummer mit gehackten ...

Rechtliche Fragen

Microsoftkonto wurde gehackt - Liegt das Problem direkt bei Microsoft?

gelöst Frage von Stefan007Rechtliche Fragen7 Kommentare

Guten Abend, ich hatte ein wirklich "spaßiges" Wochenende. Als ich am Freitag auf dem Weg in den Kurzurlaub war, ...

Neue Wissensbeiträge
Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 2 StundenWindows 10

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 14 StundenE-Mail8 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 1 TagOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 2 TagenGoogle Android9 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

DNS
DNS fragt falsche ip zuerst ab
gelöst Frage von recoldDNS23 Kommentare

Hallo zusammen, wollte mal fragen, was mit meiner DNS falsch ist? der A eintrag 88.48.118.88 sollte auf den ts3 ...

Windows 10
Windows am MAC
gelöst Frage von LeeX01Windows 1019 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server18 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...