the--doctor-9
Goto Top

Trojaner erkenne alle Ports offen??

benötige dringen Hilfe!!!

Hallo,

ich habe heute Post von der Telekom bekommen, dass von meinen PC aus Anggriffe ausgehen. Seit gestern sitze ich nun am PC und versuche dies zu stoppen der Traffic ist enorm.

nun erstmal zum System:

Server 2008 (PC ist ja denke ich mal egal)Avira Virusscann
Router Bintec r3000
Clients kein Internet

Ich habe nun das Programm Nmap installiert um alle offenen Ports anzuzeigen.

das Ergebnis: denke ich mal erschreckend --> nur was kann ich machen???

Starting Nmap 6.01 ( http://nmap.org ) at 2012-11-04 09:02 Mitteleuropäische Zeit

NSE: Loaded 93 scripts for scanning.

NSE: Script Pre-scanning.

Initiating Parallel DNS resolution of 1 host. at 09:02

Completed Parallel DNS resolution of 1 host. at 09:02, 0.00s elapsed

Skipping SYN Stealth Scan against xxxx(192.168.0.1) because Windows does not support scanning your own machine (localhost) this way.

Initiating Service scan at 09:02

Skipping OS Scan against xxxxxxxx (192.168.0.1) because it doesn't work against your own machine (localhost)

NSE: Script scanning 192.168.0.1.

Initiating NSE at 09:02

Completed NSE at 09:02, 0.00s elapsed

Nmap scan report for xxxxx (192.168.0.1)

Host is up.

65000/tcp unknown unknown

65129/tcp unknown unknown

65389/tcp unknown unknown


NSE: Script Post-scanning.

Read data files from: C:\Program Files\Nmap

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 2.14 seconds

Raw packets sent: 0 (0B) | Rcvd: 0 (0B)

Content-ID: 193691

Url: https://administrator.de/contentid/193691

Ausgedruckt am: 23.11.2024 um 11:11 Uhr

theoberlin
theoberlin 04.11.2012 um 09:54:52 Uhr
Goto Top
Hallo,

Auch wenn das jetzt primitiv klingt ich würde erstmal das Netzwerkkabel ziehen das mein Server nicht erreichbar ist ist absolut untergeordnet gegenüber Ausführung von Angriffen.

Dann ist wieder Ruhe.

Als nächsten die üblichen Mittel detaillierter Virenscan etc.
Was ich nicht ganz verstehe ist, deine Hardware Firewall sollte dich regeln welche Ports offen und welche zu sind.
Da würde ich dann einfach alles zu machen bis auf das benötigte.

LG
Theo
MrNetman
MrNetman 04.11.2012 um 10:17:41 Uhr
Goto Top
Hi Doktor,

Abgesehen von der überirdische langen Liste, die den Forumsnutzern hier nicht hilft und nur den Scrollfinger beansprucht.

Deine Netzwerkkonfiguration mus Bestandteil deiner Anfrage sein:
Wenn ich den Rest in der Glaskugel ansehen, dann scannst du den Router.
Also bitte mehr Infos:
Netzwerk, clients, genutzte IPs, Services, die eingerichtet sind.

Und ansonsten, höre auf Theo: Internet trennen und Viren scannen. Mit einer aktuellen Virenscan-CD pro PC.
Wie bist du denn zum Doktortitel gekommen? Die Virenscannerhersteller haben dafür auch besondere Medizin - siehe Angebote: z.B.: http://www.trendmicro.de/titanium-internet-security/compare/?cm_mmc-Pai ...


Gruß
Netman
Lochkartenstanzer
Lochkartenstanzer 04.11.2012 aktualisiert um 11:15:45 Uhr
Goto Top
Moin,

  • Erstmal besorgst Du Dir diese Brille, damit Du nicht in Panik gerätst.

  • Dann zieh den Stecker zum Internet.
  • Fahr alle Systeme herunter,
  • Ist der W2K8 die Firewall? => Malwarescan von einer Live-CD druchführen und entwanzen. (Image-)Backup nicht vergessen.
  • Falls Malware gefunden wird, system neu aufsetzen.
  • Danach die Clients einzeln wie den Server durchchecken. (Image-Backup, malware-Scan, neu installlieren.)

  • Hast Du noch eine extra Firewall, muß die zu allererst druchgescheckt werden., damit man wieder einen sicheren internetzugang hat.

Und wenn Du uns deine Netzwerkstruktur sagst, können wir Dir vielleicht bessere Tipps geben.

Aber das beste wird sein, daß Du Dir jemanden holst, der sich damit auskennt (z.B. /me face-smile), auch wenn das Geld kostet.

lks
Lochkartenstanzer
Lochkartenstanzer 04.11.2012 aktualisiert um 12:37:40 Uhr
Goto Top
nachtrag: ich habe gerade gesehen, daß Du Deine eigene Maschine lokal gescannt hast. Das ist totaler Blödsinn. Die Aussagekraft des namp-Scans ist in diesem Fall Null. (Nachtrag: unknown heißt übrigens "unbekannt! und wenn Du schon dabei ist, pack die nmap-Ausgabe in code-tags oder mach sie gleich weg, da sie keinerlei Aussagekraft hat.).

Ist der Server ein "exposed host", oder filtert die Bintec den traffic? Wenn ja, was darf zum Server durch?

Mach am besten einen Malware-Scan wie vorgeschlagen udn dann sieht man weiter.

Wie stellst Du eigentlich sicher, daß die Clients keine Internetzugang haben?

lks
adminst
adminst 04.11.2012 um 13:57:54 Uhr
Goto Top
Hallo
Ganz einfach:
Es wird angenommen, dass der Host definitiv infiziert ist:
1. Netz abschotten
2. Server weg vom Netz und komplett neu aufsetzen und auch anständige Security Tools installieren (Virenscanner etc.)
3. Jeden Client etc. durchchecken und wenn inifiziert neu aufsetzten

Wir können nur generelle Tipps geben, da du uns im unklaren lässt, wie deine Infrastruktur aussieht.
Zudem solltest du dein Konzept neu überdenken, dass du nicht erst von der Telekom erfährst, dass etwas nicht stimmt...

adminst
the--doctor-9
the--doctor-9 04.11.2012 um 14:00:19 Uhr
Goto Top
ok danke werde dies mal ausprobieren, hatte bis gestern die firewall von windows aus.

ps habe die liste mal verkürzt
16568
16568 04.11.2012 aktualisiert um 18:40:22 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Aber das beste wird sein, daß Du Dir jemanden holst, der sich damit auskennt (z.B. /me face-smile), auch wenn das Geld kostet.

Brrr, dann lass Dir mal eine hübschere Homepage machen :-P
(oder installier Dir ein Blog; ich mach ab 12.12. auch wieder weiter, kreative Schaffenspause und so face-wink


Lonesome Walker
Lochkartenstanzer
Lochkartenstanzer 04.11.2012, aktualisiert am 05.11.2012 um 07:25:43 Uhr
Goto Top
Zitat von @16568:

<offtopic>
Brrr, dann lass Dir mal eine hübschere Homepage machen :-P

Für Webseitendesign hab ich keien Zeit, Muß mich um Kunden und admnistrator.de kümmern. Wissen schon Schuster -> eigene Schuhe. face-smile

(oder installier Dir ein Blog; ich mach ab 12.12. auch wieder weiter, kreative Schaffenspause und so face-wink

Ich wollte schon vor 6 Jahren ein Blog installieren. Irgendwie habe ich noch keine Zeit gehabt.
</offtopic>
lks
maretz
maretz 05.11.2012 um 07:19:18 Uhr
Goto Top
Moin,

sorry wenn ich es so deutlich sage - aber kennst du den Ausspruch "A Fool with a tool is still a fool"? Dieses gilt AUCH für NMAP! Nur weil du dir nen Tool runterlädst kannst du noch nicht scannen...

Fangen wir damit an das du den eigenen Rechner gescannt hast -> damit greiffen dinge wie eine Firewall natürlich nicht - insbesondere bei Servern ist die lokale Firewall oft ausgeschaltet oder für das lokale Netzwerk komplett offen (ehrlich gesagt: Ich habe diverse Systeme gesehen die da mit einer Firewall nix zu tun haben - weil die Firewall DAVOR steht ... - und auch der Ansatz das eine Firewall nie auf dem zu schützenden Gerät liegt ist zimlich weit verbreitet...).

Dann kommt dazu das "unknown" nicht "offen" ist. Er weiss eben nicht ob der Port offen ist oder nicht - das heisst es wäre möglich, aber dein Server wird ganz sicher nicht auf jeden Port einen Dienst haben (und wenn - nich schlecht, da dein Server dann ganz sicher nix mehr macht! Die meisten Serverdienste machen nämlich nur den Verbindungsaufbau auf dem eigentlichen Port - danach wechseln die auf einen Highport und arbeiten da weiter... Wenn also alle High-Ports schon geblockt sind kann dein Server keine neuen Anfragen mehr bearbeiten...)

Wenn du also wissen willst was deine Firewall macht und welche Ports vom Server durchgeleitet werden (ich hoffe mal das du wenigstens nen Router zwischen Internet und deinem Server hast!) dann scanne den übers Internet (z.B. über das Mobil-Telefon ne Internetverbindung aufbauen und deine _ÖFFENTLICHE_ IP scannen.). Oder - ggf. noch besser und einfacher: Du fragst einfach jemanden im Bekanntenkreis der sich damit auskennt das er sich das mal ansieht... Denn eine Aussage "Port x,y und z ist offen" ist bei einem Server eher uninteressant - nen Webserver der Port 80 nicht kennt ist in den meisten Fällen eher... unüblich...

Schönen Gruß

Mike
102534
102534 05.11.2012 um 08:13:43 Uhr
Goto Top
Hall Doktor,

wenn ich das richtig sehe, ist es nur eine reine Vermutung das der Server infiziert ist?
Kann es nicht sein das einer der Mitarbeiter ein privates, infiziertes Notebook dabei hatte?

Ansonsten wie schon hier gesagt: Virenscanner CD rein und schauen wer infiziert ist.

Ohne dich persöhnlich angreifen zu wollen: Wenn du nicht mal nmap benutzen kannst, lass es jemand machen der sich damit auskennt. Wenn du es nicht bemerkst und die Telekom dich anschreiben muss: Der Karren steckt schon tief im Schlamm!

Grüße

win-dozer
the--doctor-9
the--doctor-9 05.11.2012 um 10:09:58 Uhr
Goto Top
Guten Morgen,

das mit der LiveCD werde ich heute Abend erstmal durchführen. Ich bin von euch positiv überrascht das so viele Antworten kommen!!!!

Leider bin ich nicht so extrem bewandert, ich kenne mich PCs sehr gut aus und habe damals vor 3 Jahren diesen auch konfiguriert. Es ist ein Terminalserver wo 10 Pflege-clients zugreifen. Hauptsächlich wird auf den PC die Abrechnung vorgenommen. Ich hatte bis vor 1/2 Jahr eine Firewall bzw. VPN von Infotecs die auch ganz gut funktionierte. Da wir uns vor 1J Ipad angeschafft haben mussten wir auf einen Bintec r3000 Router umrüsten damit die Ipad zugreifen konnten.

Die Neukonfiguration des PCs kostet einiges wegen der Pflegesoftware weshalb ich jetzt auch nicht einfach alles formatieren möchte. Derzeit läuft der PC ohne Internet.

Ich benötige von eich mal einen sinnvollen Aufbau von Router bis Server bis Software das alles sicher ist und dann würde ich alles neu machen ggf. auch einen Administrator organisieren. Was mir natürlich lieber ist wenn ich es selbst mache, weil dann kann ich auch ohne betteln Probleme lösen.

Ich würde mir gerne von euch wünschen das ich mir eine Liste aufstellt was alles benötigt wird:

Router---> Server ---> .... bitte mit meinen r3000 mit einbauen

(ggf. benötige ich auch eine Hardwarefirewall)


Danke Danke !!!
Ausserwoeger
Ausserwoeger 05.11.2012 um 11:47:26 Uhr
Goto Top
Hi Doctor

?? Sinnvolle Umgebungen kann man nur entwerfen wenn man die Bedürfnisse des Kunden kennt und den Kunden selbst.
Jeder müsste sich dein bestehendes Netzwerk vorort Anschauen und die Dienste die benötigt erheben usw.

Erst wenn geklärt ist was wann wie gemacht werden soll und wie sich die Firma zukünftigt weiter entwickeln soll oder wird kann man dazu ein ordentliches Angebot bzw. Netzwerkplan erstellen.

Jede Firma ist anders deswegen gibt es auch keinen Generalplan wie man ein Netzwerk aufbaut.

Ich würde dir zu einer IT Firma raten die dir ein Angebot macht und sich dein Netzwerk Vorort anschaut und auf die Bedürfnisse der Firma eingeht.

LG
the--doctor-9
the--doctor-9 05.11.2012 um 12:09:25 Uhr
Goto Top
Ausserwoeger
Ausserwoeger 05.11.2012 aktualisiert um 12:23:00 Uhr
Goto Top
Also erstens wenn du vom Büro Haupt auch in das Pflegeheim zugreifen kannst simmt die Zeichnung nicht und zweitens ist das nichts ausser einer Aufstellung deiner Geräte mit IP Adressen.

Das sagt nunmal gar nix über die VPN oder Firewall Konfiguration aus.

Wie gesagt sowas macht der IT Dienstleister vorort und sonst keiner (bzw. keiner der Ahnung hat)

PS: Korrektur deine Zeichnung stimmt 100% nicht aber egal

LG
goscho
goscho 05.11.2012 um 12:28:17 Uhr
Goto Top
Moin doctor-alle-neune,

könntest du bitte Bilder in deinen Beitrag laden und uns nicht auf die unsinnigen Bilderuploadseiten leiten.

Hier steht, wie's geht.

PS: Zu deinem Problem kann ich nur das selbe empfehlen, wie die meisten hier. Such dir bitte einen Dienstleister aus deiner Gegend, der dir dabei hilft.
the--doctor-9
the--doctor-9 06.11.2012 um 15:24:04 Uhr
Goto Top
Hallo nochmals,

ja ich weiß ich bin kein Profi dafür habt iht ja auch eine langes Studium hinter euch!!! Bis jetzt haben all meine Computerkenntisse gereicht. Ich habe heute erstmal das Heft gekauft und werde sehen.

Die Ports habe ich gescannt nach eurer Anleitung es sind auch nur :

(würde ich später posten)

offen.

Natürlich ist ein Administrator schön, am Geld sollte es auch nicht liegen. Mein Hobby ist es nur sowas zu machen, das man irgendwann überfragt ist sollte klar sein. Ich würde das Problem gern selbst lösen und wenn es dann nicht mehr geht auf Lochkartenstanzer zurückgreifen.
Lochkartenstanzer
Lochkartenstanzer 06.11.2012 um 15:37:58 Uhr
Goto Top
Zitat von @the--doctor-9:
... und wenn es dann nicht mehr
geht auf Lochkartenstanzer zurückgreifen.

Ich habe mich nur als Beispiel angeführt, es wäre für Dich geschickter, Dir jemanden zu suchen, dem Du ins Angesicht sehen kannst, d.h. in Deiner direkten Nähe, weil das am einfachsten geht.

Natürlich bin ich für Aufträge zu haben, die ich aber üblicherweise nicht über administrator.de aquiriere.

lsk
Ausserwoeger
Ausserwoeger 06.11.2012 um 15:38:36 Uhr
Goto Top
Naja deswegen gibt es diesen Beruf wenn jeder das Nebenbei machen könnte würde es uns Admins nicht geben.

Selbst lösen wird wohl nicht drin sein.

Du kannst ja deinen Lokalen Admin dann Fragen und ihm auf die Finger schauen wie er das macht und warum er das so macht usw.

LG