111784
Goto Top

Trojaner legt Benutzer für RDP an, Denkanstoß für mich und Frage an Euch

Hallo zusammen,

uns hat gerade ein Neukunde angerufen, dass sich auf seinem PC "jemand" per RDP einwählt.

Mitten bei der Arbeit - Bildschrim gesperrt -
Neu angemeldet, paar Sekunden später wieder - Bildschrim gesperrt -

PC heruntergefahren und hin gefahren.

Vor Ort hat sich dann herausgestellt, dass der PC mit einem Trojaner infiziert war.
Dieser hat den Benutzer "sys" mit allen Berechtigungen angelegt.
Darüber hat sich dann von außen jemand eingewählt. Geöffnet wurde laut recent und ausführen etc. nichts = nochmal schwein gehabt!

Dazu muss man sagen, es ist ein Windows XP PC, Einzel PC, welcher von außen über den standard RDP Port erreichbar war.
Firewall gabs nicht, nur den Vodafone Standard Router.

... Total knorke halt.


Dieses Szenario hat dann allerdings doch zum denken angestoßen...

Bei den meisten unserer Kunden von 1 PC bis 50 PCs gibt es entweder auch nur son Standard-Router oder bei den größeren UTM Firewalls.
Bzw. sobald RDP im Spiel ist VPN.

Bei den Firewalls ist es so, dass vom LAN alles ins WAN kann.

Wie seht Ihr dass, macht dies immer Sinn vom LAN ins WAN alles zu blocken und dann anschließend Dinge wie HTTP etc. durchzulassen.
Sodass die Clients sich mehr oder weniger frei im Internet bewegen können.

Bezogen auf diesen Fall hier, hätte es ja ggf. schon gereicht, damit der Trojaner keine Daten nach Hause bekommen hätte, mal abgesehen davon
dass dieser nicht per z.B. HTTP oder HTTPS (Standard Ports die vom LAN ins WAN geöffnet werden) irgendwie die Daten nach Hause gebracht hätte, was meint Ihr?

Danke

Content-Key: 227288

Url: https://administrator.de/contentid/227288

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: DerWoWusste
DerWoWusste 21.01.2014 um 16:40:21 Uhr
Goto Top
Moin.

Wer RDP dauerhaft aufmacht und keine weitere Authentifizierung/VPN nutzt, ist selbst Schuld. Default ist das bei den Routern gewiss nicht offen. Vermutlich war er auch als Admin unterwegs und UAC, na, wer lässt die schon an...
Mitglied: Chonta
Chonta 21.01.2014 um 16:41:31 Uhr
Goto Top
Hallo,

sicher das da ein Router vorgeschaltet war? Denn wenn der nicht so eingestellt ist, das er den Standard RDP oder Irgendeinen anderen Port auf den Standard RDP Port eben dieses PCs NATet wie soll da einer von draußen einfach so über RDP ne Anmeldung starten?
Hat der Trojaner evtl ein VPN mitinstalliert das die Verbindung aufmacht und über die dan die RDP-Anmeldung erfolgte?
Keine Sicherheitssoftware auf dem PC?
Ein VPN kann auch über Port80 oder 443 oder welchen Port auf immer vom befallenen PC aufgebaut werden, dh du kannst alles bis auf Port 80 oder 443 blocken, aber sicher bist Du dadurch noch lange nicht.

Gruß

Chonta
Mitglied: hajowe
hajowe 21.01.2014 aktualisiert um 16:49:03 Uhr
Goto Top
Hallo Kurznotiert


Bei den Firewalls ist es so, dass vom LAN alles ins WAN kann.

Das halte ich für sehr bedenklich.

Firewalls sollten erst mal nichts erlauben egal von wo nach wo auch immer. !!!
Dann kann man Stück für Stück die Verbindungswege / Ports erlauben, die für ein Arbeiten notwändig sind.

Ein Firmennetzwerk, egal welcher Größe OHNE Absicherung mit Connect zum Internet
ohne Firewall zu betreiben, ist schon mehr als strafbar.

Auf den RDP sind die Kollegen ja vorher bereits eingegangen.

Ist Meine Meinung.

Gruß
hajowe
Mitglied: 111784
111784 21.01.2014 um 16:47:52 Uhr
Goto Top
RDP war auf dem Router eingerichtet.
Der Kunde wählt sich selbst von Zuhause per RDP ein.
Mitglied: AndiEoh
AndiEoh 21.01.2014 um 16:49:24 Uhr
Goto Top
Hallo,

also bei "Standard" Router Konfiguration dürfte wegen Stateful-NAT von draußen kein RDP möglich sein. Wenn per Port forwarding RDP auf diese Kiste erlaubt war, würde es dir auch nichts nutzen alle Ports außer HTTP(S) zum Internet zu sperren, da über RDP Verbindungen auch Datentransfer möglich ist, d.h. keine zweite Verbindung benötigt wird.

Trotzdem *ist* es sinnvoll alles zum Internet zunächst zu sperren und am besten einen HTTP Proxy zu verwenden, damit fallen ca. 80% der handelsüblichen Trojaner auf die Schnauze, den Rest kannst du nur mit viel Aufwand fernhalten.

Gruß

Andi
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.01.2014 um 16:52:32 Uhr
Goto Top
Hallo kurznotiert,

also kurz zusammengefasst: Ich halte es für sehr unwahrscheinlich, dass der Trojaner für die Umstellung verantwortlich ist. Kein Trojanerschreiber würde danach per RDP drauf gehen um damit anzuzeigen: Du, horch mal, hier bin ich ;).

Ich nehme eher an ein Hobbyadmin hat hier das RDP freigeschalten, den Trojaner - fraglich, was ist es denn für einer?
Mitglied: Chonta
Chonta 21.01.2014 um 17:01:49 Uhr
Goto Top
Zitat von @111784:

RDP war auf dem Router eingerichtet.
Der Kunde wählt sich selbst von Zuhause per RDP ein.

Ach Du Schreck, hat er sich das selber so eingerichtet?
Um eine Verbindung nach Hause zu bekommen benutzt man eine VPN Einwahl ins heimische Netz und wenn die Steht benutzt man RDP......

Gruß

Chonta
Mitglied: 111784
111784 21.01.2014 um 17:20:22 Uhr
Goto Top
Mir geht es garnicht so um den Trojaner, sollte nur als Beispiel für mein eigentliches Anliegen dienen.

Dass das alles Mist war ist klar, dass der Kunde sich selber den RDP Zugang eingerichtet hat, darum soll es garnicht gehen.

Worum es mir eigentlich geht:

Unternehmen mit 10 Mitarbeitern, diese sollen sich frei im Internet bewegen können für Beispielsweise Marktanalyse etc.

UTM Firewall

1) LAN to WAN all deny

2) LAN to WAN all allow

1 oder 2 face-smile

Die Mitarbeiter dürfen auch auf Freemailer aka web.de zugreifen.
Wenn die Mitarbeiter Ihre Mittagspause auf Facebook oder Twitter verbringen ist dies auch in Ordnung
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.01.2014 aktualisiert um 17:24:14 Uhr
Goto Top
Das musst du selbst ausbaldowern, LAN to WAN all allow ist aber ...dann brauchst auch gar keine UTM mehr. ;)

Freiheit beschneidet immer Sicherheit, Sicherheit immer die Freiheit.
Mitglied: AndiEoh
AndiEoh 21.01.2014 um 17:25:50 Uhr
Goto Top
Wie gesagt:

Auf jeden Fall 1. und am besten für HTTP noch einen Proxy mit AV-Scanner. Allerdings gehen dann einige lustige Streaming Dienste nicht mehr...

Gruß

Andi
Mitglied: DerWoWusste
DerWoWusste 21.01.2014 aktualisiert um 22:07:21 Uhr
Goto Top
Ich verlink mal eine Lösung, die halbwegs in die Richtung "secure by default" geht: Google chrome - GPU rendering does not work when run as a RemoteApp on RDP 2008R2/Citrix
Hierbei nutzt das gesamte Netzwerk eine RemoteApp zum Browsing. Auf dem Server wird per Applocker auf alles geschossen, was nicht in der Whitelist steht. Nutzen wir seit vielen Jahren ohne die geringsten Zwischenfälle. Die Rechner bei uns brauchen und haben abgesehen von dem Remote-Internet keinen Internetzugang, da fließt nichts ab, da kommt nichts rein. (VPNs gibt es natürlich auch, jedoch nur über SINA-Technik)
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.01.2014 um 22:08:28 Uhr
Goto Top
Zitat von @DerWoWusste:

Ich verlink mal eine Lösung, die halbwegs in die Richtung "secure by default" geht:
Google chrome - GPU rendering does not work when run as a RemoteApp on RDP 2008R2/Citrix
Hierbei nutzt das gesamte Netzwerk eine RemoteApp zum Browsing. Auf dem Server wird per Applocker auf alles geschossen, was nicht
in der Whitelist steht. Nutzen wir seit vielen Jahren ohne die geringsten Zwischenfälle. Die Rechner bei uns brauchen und
haben abgesehen von dem Remote-Internet keinen Internetzugang, da fließt nichts ab, da kommt nichts rein. (VPNs gibt es
natürlich auch, jedoch nur über SINA-Technik)

Das Problem bei der Lösung (die zweifelsfrei sehr schön gelöst ist) ist, dass hier wohl (so wie ich es herausgelesen habe, bitte um Korrektur, falls falsch) nicht mal ein kleiner Miniserver werkelt.
Mitglied: Grissini
Grissini 23.01.2014 aktualisiert um 01:35:12 Uhr
Goto Top
Hallo,

Ist also dein Bildschirm vor dem Starten gesperrt oder nachdem Windows XP gestartet hat und dann die Sperre, also so wie sich das anhört klingt es nach Bundespolizeitrojaner Variante gehe wie folgt vor

Sobald der berüchtigte Sperrbildschirm auf deinem Rechner erscheint, ist das System bereits mit dem Trojaner infiziert. Die erste Möglichkeit, den Schädling wieder loszuwerden, ist die Entfernung über den abgesicherten Modus. Dazu schaltest du den PC über das Gedrückthalten des Netzschalters aus. Anschließend ziehst du das Netzwerkkabel und startest den Rechner erneut. Während des Hochfahrens drückst du mehrmals die Taste [F8] und wählst aus den Boot-Optionen den Eintrag

"Abgesicherter Modus" aus.

Sobald Windows geladen wurde, meldest du dich mit deinem Benutzerkonto an (falls es einen gibt) und öffnest das Windows-Laufwerk C:\. Über die Suchleiste rechts oben suchst du dann nach "*.exe" und sortierst die Ergebnisse nach dem Änderungsdatum. Auf diese Weise zeigt Windows die neuesten ausführbaren Dateien an, aus denen du anhand einiger Kritierien den Trojaner herausfiltern kannst. Taucht der Sperrbildschirm des Trojaners nach einem Neustart nicht mehr auf, kannst du nun wieder auf deine Dateien zugreifen und sie auf ein externes Laufwerk sichern.

Wenn du wieder Zugriff hast Installierst du dieses Programm von Norton Symantec Power Eraser,

https://security.symantec.com/nbrt/npe.aspx?ssdcat=221&lcid=1031& ...

Aufspielen, und dann nach Rootkits suchen lassen mit Neustart, dann scannt er den Normalen Windows Start, nachdem Windows wieder da ist geht das Programm automatisch auf du läßt Ihn scannen das kann dauern und sagt dir am Ende was auf deinem PC war, dann gehst du auf Viren entfernen, danach macht er wieder einen Neustart, und danach geht das Fenster wieder auf und sagt Viren entfernt.

Das war es, aber zur Empfehlung unbedingt eine anständige Firewall installieren das erspart dir eine Menge Ärger.

Schutzmaßnahmen kannst du hier lesen.

https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/BasisschutzComputer/basi ...

Virenprogramme kannst du hier bekommen.

FIREWALL: http://www.chip.de/downloads/Comodo-Firewall_41877156.html

Es macht immer Sinn Ärger aus dem Weg zu gehen durch gute Software.

Und besser wäre du trennst dich von Windows XP face-wink Ist total veraltet, und Service Pack´s sind auch abgelaufen. Es gibt zwar bis April ein SP-4 bringt dich aber nicht wirklich weiter. ZU Windows 8 oder 8.1 oder 9 kommt im April raus kann ich dir leider nichts sagen dieses programm kenne ich nicht, kannst aber hier im Forum eine Menge lesen darüber.

Ich hoffe ich konnte dir einigermaßen helfen.

Gruss

Grissini
Mitglied: vanTast
vanTast 27.01.2014 um 10:54:01 Uhr
Goto Top
Zitat von @Grissini:

Hallo,

Ist also dein Bildschirm vor dem Starten gesperrt oder nachdem Windows XP gestartet hat und dann die Sperre, also so wie sich das
anhört klingt es nach Bundespolizeitrojaner Variante gehe wie folgt vor

Also nach Bundestrojaner hört sich das aber garnicht an. Da hast Du Dich irgendwie verlaufen.

Und besser wäre du trennst dich von Windows XP face-wink Ist total veraltet, und Service Pack´s sind auch abgelaufen. Es gibt
zwar bis April ein SP-4 bringt dich aber nicht wirklich weiter.

Ein SP4 für XP? XP ist eigentlich tot. Da gibts kein SP mehr. Obwohl, Du schriebst im April?
Ein Aprilscherz? Cool...

ZU Windows 8 oder 8.1 oder 9 kommt im April raus kann ich dir
leider nichts sagen dieses programm kenne ich nicht, kannst aber hier im Forum eine Menge lesen darüber.

Windows 8 ist kein Programm sondern ein OS face-wink
Und im April kommt auch kein Windows 9 raus, zumindest nicht in diesem Jahr. Ob Threshold Windows 9 heissen wird und wann es nun herauskommt? Gerüchte, Spekulationen und Kaffeesatzlesen.........

Gruss vanTast