System versucht sich illegal auf anderem System, im Internet, anzumelden
Habe das Problem das ein Windows Rechner sich versucht illegal auf einem anderen System, im Internet, über den Port 81 anzumelden.
Hallo Leute,
in meinem Netzwerk, mit Fester-externer IP, habe ich das Problem das aus meinem Netzwerk heraus ein anderer Rechner angegeriffen wird.
Mein Netzwerk ist über eine IP-COP FW an das Internet angebunden.
Habe herrausgefunden wie die angegriffene externe IP lautet und das über den Port 81 eine Anmeldung an diesem System versucht wird.
Verschieden Usernamen und Passwörter. (Brute-1Fors-Attack)
Meine auch den betreffenden Rechner im Netzwerk lokalisiert zu haben.
Mein Problem ist aber das genau auf diesem Rechner zwei Netzwerkdienste laufen.
Dies ist zum einen ein PublicShare Folder Server
(Erweiteret ein lokales Outlook um es mit anderen Usern gleichzeitig zu Nutzen)
und die Server Komponente von GDATA's Client/ Server Antiviren Schutz.
Kann den Rechner also nicht einfach über einen längeren Zeitraum ausschalten um festzustellen ob er der Übertäter auch wirklich ist.
Festgestellt habe ich das Ziel der Attaken mit dem Tool "IPTarf" auf der IP-Cop Firewall so wie auch die lokale IP des Rechner von dem der Angriff ausgeht.
Der betreffende Rechner ist ein Windows XP Pro mit SP3 und allen weiteren Patchen.
Aktiver und aktuelle Virenschutz
Meine Frage ist wie kann ich feststellen, mit hilfe eines Tools, was auf dem System los ist und wer für die Angriffe verantwortlich ist.
Ein durchgeführter Scan mit einer bootbaren CD brachte keinen Viren Befall?!
Einer eine Idee?
Mit freundlichen grüßen
MSC
Hallo Leute,
in meinem Netzwerk, mit Fester-externer IP, habe ich das Problem das aus meinem Netzwerk heraus ein anderer Rechner angegeriffen wird.
Mein Netzwerk ist über eine IP-COP FW an das Internet angebunden.
Habe herrausgefunden wie die angegriffene externe IP lautet und das über den Port 81 eine Anmeldung an diesem System versucht wird.
Verschieden Usernamen und Passwörter. (Brute-1Fors-Attack)
Meine auch den betreffenden Rechner im Netzwerk lokalisiert zu haben.
Mein Problem ist aber das genau auf diesem Rechner zwei Netzwerkdienste laufen.
Dies ist zum einen ein PublicShare Folder Server
(Erweiteret ein lokales Outlook um es mit anderen Usern gleichzeitig zu Nutzen)
und die Server Komponente von GDATA's Client/ Server Antiviren Schutz.
Kann den Rechner also nicht einfach über einen längeren Zeitraum ausschalten um festzustellen ob er der Übertäter auch wirklich ist.
Festgestellt habe ich das Ziel der Attaken mit dem Tool "IPTarf" auf der IP-Cop Firewall so wie auch die lokale IP des Rechner von dem der Angriff ausgeht.
Der betreffende Rechner ist ein Windows XP Pro mit SP3 und allen weiteren Patchen.
Aktiver und aktuelle Virenschutz
Meine Frage ist wie kann ich feststellen, mit hilfe eines Tools, was auf dem System los ist und wer für die Angriffe verantwortlich ist.
Ein durchgeführter Scan mit einer bootbaren CD brachte keinen Viren Befall?!
Einer eine Idee?
Mit freundlichen grüßen
MSC
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 105208
Url: https://administrator.de/forum/system-versucht-sich-illegal-auf-anderem-system-im-internet-anzumelden-105208.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
6 Kommentare
Neuester Kommentar
Das hindert dich ja nicht nachzusehen was dafür verantwortlich ist !!
Es verhindert erstmal lediglich das die Angriffe über den Port 81 von dir nicht mehr in die weite Internet Welt gelangen....der Server wird es aber weiter versuchen...lokal kannst du dann in Ruhe weiteranalysieren !
Schliess einen Sniffer wie den Wireshark oder den MS-NetMonitor an und sieh dir diese ominösen Port 81 Pakete einmal an.
Nach Inhalt und Zieladresse kann man mit Dr. Googles Hilfe relativ schnell rausbekommen wer der Verursacher ist....
Könnte dieser sein:
http://www.glocksoft.com/trojan_list/RemoConChubo.htm
und so wird man ihn wieder los:
http://www.exterminate-it.com/malpedia/remove-remoconchubo
http://www.2-spyware.com/remove-remoconchubo.html
Es verhindert erstmal lediglich das die Angriffe über den Port 81 von dir nicht mehr in die weite Internet Welt gelangen....der Server wird es aber weiter versuchen...lokal kannst du dann in Ruhe weiteranalysieren !
Schliess einen Sniffer wie den Wireshark oder den MS-NetMonitor an und sieh dir diese ominösen Port 81 Pakete einmal an.
Nach Inhalt und Zieladresse kann man mit Dr. Googles Hilfe relativ schnell rausbekommen wer der Verursacher ist....
Könnte dieser sein:
http://www.glocksoft.com/trojan_list/RemoConChubo.htm
und so wird man ihn wieder los:
http://www.exterminate-it.com/malpedia/remove-remoconchubo
http://www.2-spyware.com/remove-remoconchubo.html
Hallo,
als erstes würde ich auf der Firewall den Port sperren, damit die Angriffe nicht mehr ins Internet gelangen. Danach kannst du dann intern in aller Ruhe analysieren, was denn da eigentlich los ist.
Du kannst z.B. mit dem Tool TCPView (www.sysinternals.com) herausfinden, welches lokale Programm versucht die Verbindung aufzubauen.
mfg
Harald
als erstes würde ich auf der Firewall den Port sperren, damit die Angriffe nicht mehr ins Internet gelangen. Danach kannst du dann intern in aller Ruhe analysieren, was denn da eigentlich los ist.
Du kannst z.B. mit dem Tool TCPView (www.sysinternals.com) herausfinden, welches lokale Programm versucht die Verbindung aufzubauen.
mfg
Harald