Server 2003 wurde gehackt was tun ?
Hallo ,
Ich habe in meinem Unternehmen noch einen Windows Server 2003 in Betrieb !.
Dieser wurde nun am 28.03.2016 gehackt.
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Dann hat er mein Admin Konto gelöscht. So kann ich nun nicht mehr auf den Server zugreifen.
Zum Glück war ich noch an der lokalen Konsole angemeldet und er hat mich nicht vom System getrennt.
So konnte ich noch eine Datensicherung fahren. Zumindest die wichtigen Sachen konnte ich noch sichern.
Aber ich denke wenn ich den Server neu starte werde ich mich nicht mehr am System anmelden können mit dem Admin Konto weil es ja gelöscht wurde.
Kann ich das noch reparieren über die Konsole oder ist das nun das aus für diesen Server ?
Das der bedingt durch sein alter e weg muss ist schon klar. Aber das ist in einem 24 Stunden Betrieb immer sehr problematisch.
Was kann ich machen um herauszufinden was genau passiert ist ? kann ich evtl. noch was retten ?
kann mir da jemand Auskunft geben ?
Gruß
Dirk
Ich habe in meinem Unternehmen noch einen Windows Server 2003 in Betrieb !.
Dieser wurde nun am 28.03.2016 gehackt.
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Dann hat er mein Admin Konto gelöscht. So kann ich nun nicht mehr auf den Server zugreifen.
Zum Glück war ich noch an der lokalen Konsole angemeldet und er hat mich nicht vom System getrennt.
So konnte ich noch eine Datensicherung fahren. Zumindest die wichtigen Sachen konnte ich noch sichern.
Aber ich denke wenn ich den Server neu starte werde ich mich nicht mehr am System anmelden können mit dem Admin Konto weil es ja gelöscht wurde.
Kann ich das noch reparieren über die Konsole oder ist das nun das aus für diesen Server ?
Das der bedingt durch sein alter e weg muss ist schon klar. Aber das ist in einem 24 Stunden Betrieb immer sehr problematisch.
Was kann ich machen um herauszufinden was genau passiert ist ? kann ich evtl. noch was retten ?
kann mir da jemand Auskunft geben ?
Gruß
Dirk
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300312
Url: https://administrator.de/contentid/300312
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
mein dringender Rat: Suche dir kompetente Hilfe, die dir vor Ort hilft. Das ist kein Szenario, was man mal eben in einem Forum abarbeitet.
mein dringender Rat: Suche dir kompetente Hilfe, die dir vor Ort hilft. Das ist kein Szenario, was man mal eben in einem Forum abarbeitet.
Hallo,
alle passwörter ändern.
Ist der Server auch der DC?
Gruß,
Peter
Zitat von @sockel7:
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Gibt es denn das Konto Aspnet und wie ist dessen PW? Einwahlrechte? Exchange? RWW? Dienstkonto?Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Zum Glück war ich noch an der lokalen Konsole angemeldet und er hat mich nicht vom System getrennt.
Als ein Administrator oder normaler Benutzer. Einfach neues Konto Anlegen und gut ist.So konnte ich noch eine Datensicherung fahren.
Mitsamt den fremden Zugriff (ein Kompromitiertes System)Aber ich denke wenn ich den Server neu starte werde ich mich nicht mehr am System anmelden können mit dem Admin Konto weil es ja gelöscht wurde.
Vermutlich. Wir kennen deine Konten nicht und auch nicht wer noch alles ein Administrator ist.Was kann ich machen um herauszufinden was genau passiert ist ?
Logs und Protokolle und schauen über welche Ports / Mechanismen Zugriff von Ausserhalb möglich ist. Oder war es ein Insiderjob (Mitarbeiter)kann ich evtl. noch was retten ?
Nackte Daten?alle passwörter ändern.
Ist der Server auch der DC?
kann mir da jemand Auskunft geben ?
Stecker ziehen und Forensic betreiben. Anfangen wie ein Verbrecher zu Denken und schauen wie was gemacht wurde. Diese Wege dann zubauen. Firewalls, Portweiterleitungen usw. alles Prüfen. Notfalls ruht die Produktion solange.Gruß,
Peter
Hallo,
war der RDP Port von außen erreichbar?
Spiel das Desasterbackup von vor dem Angriff ein, dann hast Du ein nicht kompromitiertes System.
Wird der Exchange überhaupt genutzt?
Der Umstieg kommt ein bisschen spät, 24H betrieb ist eine Migration auch möglich, denn der neue Server wird ja nicht auf der Asbachuralt Hardware laufen.
Gruß
Chonta
war der RDP Port von außen erreichbar?
Spiel das Desasterbackup von vor dem Angriff ein, dann hast Du ein nicht kompromitiertes System.
Wird der Exchange überhaupt genutzt?
Der Umstieg kommt ein bisschen spät, 24H betrieb ist eine Migration auch möglich, denn der neue Server wird ja nicht auf der Asbachuralt Hardware laufen.
Gruß
Chonta
Hallo,
Was läuft alles auf der Kiste?
Welche Ports sind dort offen (Auch ein Server 2003 kennt eine Firewall)?
Welche Ports werden aus dem internet auf dein Server geleitet?
IIS?
Sharepoint?
Exchange?
Auch SMTP Logs können einen hinweise liefern
Gruß,
Peter
Zitat von @sockel7:
ja an der Konsole kann ich noch als Admin arbeiten. Aber das Konto ist bereits gelöscht mit dem ich angemeldet bin.
Und? Bist du der Admin oder nicht? Was hindert dich ein neues Konto anzulegen oder deine Sicherung deines nicht komprimierten Systems zurück zu spielen?ja an der Konsole kann ich noch als Admin arbeiten. Aber das Konto ist bereits gelöscht mit dem ich angemeldet bin.
Das Konto Aspnet gibt es tatsächlich aber das Passwort kann ich ja nicht wissen.
Gab es das Konto schon vorher? Für welche Dienste bzw. wer nutzt es? Passwörter ändern kann ein Admin aber schon (ohne das eigentliche PW zu kennen). Zusätzlich das Konto Sperren.Dieser Server ist auch ein DC
Der DC oder gibt es noch mehr?Was läuft alles auf der Kiste?
Welche Ports sind dort offen (Auch ein Server 2003 kennt eine Firewall)?
Welche Ports werden aus dem internet auf dein Server geleitet?
IIS?
Sharepoint?
Exchange?
Wenn ich nun einen neues Admin Konto anlege und seins lösche
Sicher das es über das Konto Aspnet erfolgt ist? Nur weil du das Konto nicht kennst? Sein Konto kannst du jederzeit ein anderes PW verpassen sofern du Admin bist, und Sperren auch.wird sich der Angreifer sicherlich wieder auf die gleiche weise zugriff verschaffen wie vorher auch
Sicherlich ist das so.solange ich nicht weis wie er es gemacht hat.
Das soltest du aber shnellstens rausfinden.Ich habe mich nun erst mal entschlossen einen neuen Server zu Kaufen und als System 2012 r2 Standart zu installieren damit ich von dem 2003 weg komme.
Wird dein Komprimiertes system aber nicht ändern. Vermutlich willst du eine komplett neue Domäne dann im Unternehmen etablieren, weil sonst übernimmst du das komprimierte System auf dein neues Blech....ich schau mir mal die Log Files an
Wann hat sich wer angemeldet? In allen DCs nachschauen.Auch SMTP Logs können einen hinweise liefern
Gruß,
Peter
Hallo,
auf einen neuen Server zu wechseln macht in deiner Situation keinen Sinn.
Du solltest jetzt mal den Stecker - für alle Clients - ziehen um einen noch größeren Schaden zu vermeiden.
Und danach solltest du die Ursache finden - wer sagt nicht das der Angriff von einem Client kam?
Bzw. das nicht noch immer irgendwer in deinem Netz sitzt?
Dann hättest du mit dem neuen Server noch immer das gleiche Problem.
Grüße
auf einen neuen Server zu wechseln macht in deiner Situation keinen Sinn.
Du solltest jetzt mal den Stecker - für alle Clients - ziehen um einen noch größeren Schaden zu vermeiden.
Und danach solltest du die Ursache finden - wer sagt nicht das der Angriff von einem Client kam?
Bzw. das nicht noch immer irgendwer in deinem Netz sitzt?
Dann hättest du mit dem neuen Server noch immer das gleiche Problem.
Grüße
Zitat von @sockel7:
So konnte ich noch eine Datensicherung fahren. Zumindest die wichtigen Sachen konnte ich noch sichern.
So konnte ich noch eine Datensicherung fahren. Zumindest die wichtigen Sachen konnte ich noch sichern.
Sehr schön. Wenn er eine Backdoor installiert hat, hast Du unter Umständen mitgesichert und spielst sie brav wieder mit dem Restore ein...
Kann ich das noch reparieren
Du möchtest ein 13 Jahre altes Serverbetriebssystem, für das es keinen Support mehr gibt, "reparieren"?
Was kann ich machen um herauszufinden was genau passiert ist ? kann ich evtl. noch was retten ?
Pragmatisch betrachtet: Nein.
Wenn Du nicht 100% weißt, was Du da tust: Kauf' Dir einen neuen Server, fange komplett auf der grünen Wiese an und migriere das absolute Minimum an Daten auf allerunterster Ebene.
Der Aufwand dafür ist deutlich geringer als sich "mal eben zu jemanden auszubilden, der derartige Angriffe fundiert analysieren kann". Vom darauf folgenden Analyseaufwand mal ganz abgesehen.
Alternativ: Beauftrage ein Systemhaus.
Hallo,
Gruß,
Peter
Zitat von @sockel7:
Dieser wurde nun am 28.03.2016 gehackt.
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Schon gesehen? Nicht das du dich da vertust ....Dieser wurde nun am 28.03.2016 gehackt.
Und zwar hat sich jemand von außen Zugang verschafft über ein Konto "aspnet" nicht asp.net
Gruß,
Peter
Hi,
DEN Administrator kann man löschen?! Das wäre mir neu ...
https://msdn.microsoft.com/de-de/library/cc739627%28v=ws.10%29.aspx
Anders wäre es auch nicht möglich, dass Du in der aktuellen Anmeldung des Kontos noch etwas machen kannst. Nach ein paar Minuten könntest Du keine neuen Prozesse mehr starten, weil das entsprechende Access Token nicht mehr gültig wäre.
Wenn überhaupt, dann wurde das Administrator-Konto ggf. umbenannt. Das ist erlaubt. Oder sein Passwort geändert. Das ist auch erlaubt. Oder beides zusammen.
Was macht Dich überhaupt so sicher, dass es über das von Dir genannte Konto "aspnet" erfolgt sein soll? Hast Du da irgendwas in irgendeinem Log gelesen?
Ist der Server in einer Domäne? Falls in Domäne: Bist Du dort auch Admin? Falls Domänen-Admin: Du kannst jederzeit über GPO alles wieder richten. Falls kein Domänen-Admin: Wende Dich an einen! Falls nicht in einer Domäne: Du solltest als erstes feststellen, wie das Konto jetzt heißt. z.B. über die Mitglieder der Gruppe Administratoren. Dann das Passwort ändern. Das musst Du aber über die MMC machen. Denn über die Console wird es nicht gehen, weil Du dort das alte Passwort nochmal eingeben musst. Und das scheint ja inzwischen geändert worden zu sein. Dann zusätzlich noch ein weiteres Konto erstellen, welches Mitglied der Gruppe Administratoren ist. Als Reserve.
Den Server vom Netz nehmen. Alle lokalen Konten, außer Deines Admins und des Reserve-Admins, deaktivieren. Anmeldung mit Reserveadmin testen, ohne Dich von der Console abzumelden. Also über RDP.
Alle Dienste, welche Du nicht kennst und welche mit einem Nicht-Systemkonto gestartet werden, deaktivieren. Scheduled Task überprüfen. Alle deaktivieren, welche Du nicht kennst.
Autostart überprüfen, z.B. mit MSCONFIG. Was Du nicht kennst, deaktivieren.
Sofern die Daten auf dem Server nicht EFS-verschlüsselt sind, kommst Du da immer wieder ran, wenn Du die Festlatte(n) an neinen anderen Computer schliest oder mit einer Live-CD bootest.
Server durchstarten, ohne Netz.
Und falls das alles Deine Fachkenntnis übersteigen sollte: Keine Schande! Aber hole Dir dann professionelle Hilfe ins Haus!
E.
DEN Administrator kann man löschen?! Das wäre mir neu ...
https://msdn.microsoft.com/de-de/library/cc739627%28v=ws.10%29.aspx
Das Administratorkonto und das Gastkonto können nicht gelöscht werden.
Anders wäre es auch nicht möglich, dass Du in der aktuellen Anmeldung des Kontos noch etwas machen kannst. Nach ein paar Minuten könntest Du keine neuen Prozesse mehr starten, weil das entsprechende Access Token nicht mehr gültig wäre.
Wenn überhaupt, dann wurde das Administrator-Konto ggf. umbenannt. Das ist erlaubt. Oder sein Passwort geändert. Das ist auch erlaubt. Oder beides zusammen.
Was macht Dich überhaupt so sicher, dass es über das von Dir genannte Konto "aspnet" erfolgt sein soll? Hast Du da irgendwas in irgendeinem Log gelesen?
Ist der Server in einer Domäne? Falls in Domäne: Bist Du dort auch Admin? Falls Domänen-Admin: Du kannst jederzeit über GPO alles wieder richten. Falls kein Domänen-Admin: Wende Dich an einen! Falls nicht in einer Domäne: Du solltest als erstes feststellen, wie das Konto jetzt heißt. z.B. über die Mitglieder der Gruppe Administratoren. Dann das Passwort ändern. Das musst Du aber über die MMC machen. Denn über die Console wird es nicht gehen, weil Du dort das alte Passwort nochmal eingeben musst. Und das scheint ja inzwischen geändert worden zu sein. Dann zusätzlich noch ein weiteres Konto erstellen, welches Mitglied der Gruppe Administratoren ist. Als Reserve.
Den Server vom Netz nehmen. Alle lokalen Konten, außer Deines Admins und des Reserve-Admins, deaktivieren. Anmeldung mit Reserveadmin testen, ohne Dich von der Console abzumelden. Also über RDP.
Alle Dienste, welche Du nicht kennst und welche mit einem Nicht-Systemkonto gestartet werden, deaktivieren. Scheduled Task überprüfen. Alle deaktivieren, welche Du nicht kennst.
Autostart überprüfen, z.B. mit MSCONFIG. Was Du nicht kennst, deaktivieren.
Sofern die Daten auf dem Server nicht EFS-verschlüsselt sind, kommst Du da immer wieder ran, wenn Du die Festlatte(n) an neinen anderen Computer schliest oder mit einer Live-CD bootest.
Server durchstarten, ohne Netz.
Und falls das alles Deine Fachkenntnis übersteigen sollte: Keine Schande! Aber hole Dir dann professionelle Hilfe ins Haus!
E.