Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner legt Benutzer für RDP an, Denkanstoß für mich und Frage an Euch

Mitglied: 111784

111784 (Level 1)

21.01.2014 um 16:33 Uhr, 2720 Aufrufe, 14 Kommentare, 1 Danke

Hallo zusammen,

uns hat gerade ein Neukunde angerufen, dass sich auf seinem PC "jemand" per RDP einwählt.

Mitten bei der Arbeit - Bildschrim gesperrt -
Neu angemeldet, paar Sekunden später wieder - Bildschrim gesperrt -

PC heruntergefahren und hin gefahren.

Vor Ort hat sich dann herausgestellt, dass der PC mit einem Trojaner infiziert war.
Dieser hat den Benutzer "sys" mit allen Berechtigungen angelegt.
Darüber hat sich dann von außen jemand eingewählt. Geöffnet wurde laut recent und ausführen etc. nichts = nochmal schwein gehabt!

Dazu muss man sagen, es ist ein Windows XP PC, Einzel PC, welcher von außen über den standard RDP Port erreichbar war.
Firewall gabs nicht, nur den Vodafone Standard Router.

... Total knorke halt.


Dieses Szenario hat dann allerdings doch zum denken angestoßen...

Bei den meisten unserer Kunden von 1 PC bis 50 PCs gibt es entweder auch nur son Standard-Router oder bei den größeren UTM Firewalls.
Bzw. sobald RDP im Spiel ist VPN.

Bei den Firewalls ist es so, dass vom LAN alles ins WAN kann.

Wie seht Ihr dass, macht dies immer Sinn vom LAN ins WAN alles zu blocken und dann anschließend Dinge wie HTTP etc. durchzulassen.
Sodass die Clients sich mehr oder weniger frei im Internet bewegen können.

Bezogen auf diesen Fall hier, hätte es ja ggf. schon gereicht, damit der Trojaner keine Daten nach Hause bekommen hätte, mal abgesehen davon
dass dieser nicht per z.B. HTTP oder HTTPS (Standard Ports die vom LAN ins WAN geöffnet werden) irgendwie die Daten nach Hause gebracht hätte, was meint Ihr?

Danke




Mitglied: DerWoWusste
21.01.2014 um 16:40 Uhr
Moin.

Wer RDP dauerhaft aufmacht und keine weitere Authentifizierung/VPN nutzt, ist selbst Schuld. Default ist das bei den Routern gewiss nicht offen. Vermutlich war er auch als Admin unterwegs und UAC, na, wer lässt die schon an...
Bitte warten ..
Mitglied: Chonta
21.01.2014 um 16:41 Uhr
Hallo,

sicher das da ein Router vorgeschaltet war? Denn wenn der nicht so eingestellt ist, das er den Standard RDP oder Irgendeinen anderen Port auf den Standard RDP Port eben dieses PCs NATet wie soll da einer von draußen einfach so über RDP ne Anmeldung starten?
Hat der Trojaner evtl ein VPN mitinstalliert das die Verbindung aufmacht und über die dan die RDP-Anmeldung erfolgte?
Keine Sicherheitssoftware auf dem PC?
Ein VPN kann auch über Port80 oder 443 oder welchen Port auf immer vom befallenen PC aufgebaut werden, dh du kannst alles bis auf Port 80 oder 443 blocken, aber sicher bist Du dadurch noch lange nicht.

Gruß

Chonta
Bitte warten ..
Mitglied: hajowe
21.01.2014, aktualisiert um 16:49 Uhr
Hallo Kurznotiert


Bei den Firewalls ist es so, dass vom LAN alles ins WAN kann.

Das halte ich für sehr bedenklich.

Firewalls sollten erst mal nichts erlauben egal von wo nach wo auch immer. !!!
Dann kann man Stück für Stück die Verbindungswege / Ports erlauben, die für ein Arbeiten notwändig sind.

Ein Firmennetzwerk, egal welcher Größe OHNE Absicherung mit Connect zum Internet
ohne Firewall zu betreiben, ist schon mehr als strafbar.

Auf den RDP sind die Kollegen ja vorher bereits eingegangen.

Ist Meine Meinung.

Gruß
hajowe
Bitte warten ..
Mitglied: 111784
21.01.2014 um 16:47 Uhr
RDP war auf dem Router eingerichtet.
Der Kunde wählt sich selbst von Zuhause per RDP ein.
Bitte warten ..
Mitglied: AndiEoh
21.01.2014 um 16:49 Uhr
Hallo,

also bei "Standard" Router Konfiguration dürfte wegen Stateful-NAT von draußen kein RDP möglich sein. Wenn per Port forwarding RDP auf diese Kiste erlaubt war, würde es dir auch nichts nutzen alle Ports außer HTTP(S) zum Internet zu sperren, da über RDP Verbindungen auch Datentransfer möglich ist, d.h. keine zweite Verbindung benötigt wird.

Trotzdem *ist* es sinnvoll alles zum Internet zunächst zu sperren und am besten einen HTTP Proxy zu verwenden, damit fallen ca. 80% der handelsüblichen Trojaner auf die Schnauze, den Rest kannst du nur mit viel Aufwand fernhalten.

Gruß

Andi
Bitte warten ..
Mitglied: certifiedit.net
21.01.2014 um 16:52 Uhr
Hallo kurznotiert,

also kurz zusammengefasst: Ich halte es für sehr unwahrscheinlich, dass der Trojaner für die Umstellung verantwortlich ist. Kein Trojanerschreiber würde danach per RDP drauf gehen um damit anzuzeigen: Du, horch mal, hier bin ich ;).

Ich nehme eher an ein Hobbyadmin hat hier das RDP freigeschalten, den Trojaner - fraglich, was ist es denn für einer?
Bitte warten ..
Mitglied: Chonta
21.01.2014 um 17:01 Uhr
Zitat von 111784:

RDP war auf dem Router eingerichtet.
Der Kunde wählt sich selbst von Zuhause per RDP ein.

Ach Du Schreck, hat er sich das selber so eingerichtet?
Um eine Verbindung nach Hause zu bekommen benutzt man eine VPN Einwahl ins heimische Netz und wenn die Steht benutzt man RDP......

Gruß

Chonta
Bitte warten ..
Mitglied: 111784
21.01.2014 um 17:20 Uhr
Mir geht es garnicht so um den Trojaner, sollte nur als Beispiel für mein eigentliches Anliegen dienen.

Dass das alles Mist war ist klar, dass der Kunde sich selber den RDP Zugang eingerichtet hat, darum soll es garnicht gehen.

Worum es mir eigentlich geht:

Unternehmen mit 10 Mitarbeitern, diese sollen sich frei im Internet bewegen können für Beispielsweise Marktanalyse etc.

UTM Firewall

1) LAN to WAN all deny

2) LAN to WAN all allow

1 oder 2

Die Mitarbeiter dürfen auch auf Freemailer aka web.de zugreifen.
Wenn die Mitarbeiter Ihre Mittagspause auf Facebook oder Twitter verbringen ist dies auch in Ordnung
Bitte warten ..
Mitglied: certifiedit.net
21.01.2014, aktualisiert um 17:24 Uhr
Das musst du selbst ausbaldowern, LAN to WAN all allow ist aber ...dann brauchst auch gar keine UTM mehr. ;)

Freiheit beschneidet immer Sicherheit, Sicherheit immer die Freiheit.
Bitte warten ..
Mitglied: AndiEoh
21.01.2014 um 17:25 Uhr
Wie gesagt:

Auf jeden Fall 1. und am besten für HTTP noch einen Proxy mit AV-Scanner. Allerdings gehen dann einige lustige Streaming Dienste nicht mehr...

Gruß

Andi
Bitte warten ..
Mitglied: DerWoWusste
21.01.2014, aktualisiert um 22:07 Uhr
Ich verlink mal eine Lösung, die halbwegs in die Richtung "secure by default" geht: https://www.administrator.de/contentid/227287
Hierbei nutzt das gesamte Netzwerk eine RemoteApp zum Browsing. Auf dem Server wird per Applocker auf alles geschossen, was nicht in der Whitelist steht. Nutzen wir seit vielen Jahren ohne die geringsten Zwischenfälle. Die Rechner bei uns brauchen und haben abgesehen von dem Remote-Internet keinen Internetzugang, da fließt nichts ab, da kommt nichts rein. (VPNs gibt es natürlich auch, jedoch nur über SINA-Technik)
Bitte warten ..
Mitglied: certifiedit.net
21.01.2014 um 22:08 Uhr
Zitat von DerWoWusste:

Ich verlink mal eine Lösung, die halbwegs in die Richtung "secure by default" geht:
https://www.administrator.de/contentid/227287
Hierbei nutzt das gesamte Netzwerk eine RemoteApp zum Browsing. Auf dem Server wird per Applocker auf alles geschossen, was nicht
in der Whitelist steht. Nutzen wir seit vielen Jahren ohne die geringsten Zwischenfälle. Die Rechner bei uns brauchen und
haben abgesehen von dem Remote-Internet keinen Internetzugang, da fließt nichts ab, da kommt nichts rein. (VPNs gibt es
natürlich auch, jedoch nur über SINA-Technik)

Das Problem bei der Lösung (die zweifelsfrei sehr schön gelöst ist) ist, dass hier wohl (so wie ich es herausgelesen habe, bitte um Korrektur, falls falsch) nicht mal ein kleiner Miniserver werkelt.
Bitte warten ..
Mitglied: Grissini
23.01.2014, aktualisiert um 01:35 Uhr
Hallo,

Ist also dein Bildschirm vor dem Starten gesperrt oder nachdem Windows XP gestartet hat und dann die Sperre, also so wie sich das anhört klingt es nach Bundespolizeitrojaner Variante gehe wie folgt vor

Sobald der berüchtigte Sperrbildschirm auf deinem Rechner erscheint, ist das System bereits mit dem Trojaner infiziert. Die erste Möglichkeit, den Schädling wieder loszuwerden, ist die Entfernung über den abgesicherten Modus. Dazu schaltest du den PC über das Gedrückthalten des Netzschalters aus. Anschließend ziehst du das Netzwerkkabel und startest den Rechner erneut. Während des Hochfahrens drückst du mehrmals die Taste [F8] und wählst aus den Boot-Optionen den Eintrag

"Abgesicherter Modus" aus.

Sobald Windows geladen wurde, meldest du dich mit deinem Benutzerkonto an (falls es einen gibt) und öffnest das Windows-Laufwerk C:\. Über die Suchleiste rechts oben suchst du dann nach "*.exe" und sortierst die Ergebnisse nach dem Änderungsdatum. Auf diese Weise zeigt Windows die neuesten ausführbaren Dateien an, aus denen du anhand einiger Kritierien den Trojaner herausfiltern kannst. Taucht der Sperrbildschirm des Trojaners nach einem Neustart nicht mehr auf, kannst du nun wieder auf deine Dateien zugreifen und sie auf ein externes Laufwerk sichern.

Wenn du wieder Zugriff hast Installierst du dieses Programm von Norton Symantec Power Eraser,

https://security.symantec.com/nbrt/npe.aspx?ssdcat=221&lcid=1031& ...

Aufspielen, und dann nach Rootkits suchen lassen mit Neustart, dann scannt er den Normalen Windows Start, nachdem Windows wieder da ist geht das Programm automatisch auf du läßt Ihn scannen das kann dauern und sagt dir am Ende was auf deinem PC war, dann gehst du auf Viren entfernen, danach macht er wieder einen Neustart, und danach geht das Fenster wieder auf und sagt Viren entfernt.

Das war es, aber zur Empfehlung unbedingt eine anständige Firewall installieren das erspart dir eine Menge Ärger.

Schutzmaßnahmen kannst du hier lesen.

https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/BasisschutzComputer/basi ...

Virenprogramme kannst du hier bekommen.

FIREWALL: http://www.chip.de/downloads/Comodo-Firewall_41877156.html

Es macht immer Sinn Ärger aus dem Weg zu gehen durch gute Software.

Und besser wäre du trennst dich von Windows XP Ist total veraltet, und Service Pack´s sind auch abgelaufen. Es gibt zwar bis April ein SP-4 bringt dich aber nicht wirklich weiter. ZU Windows 8 oder 8.1 oder 9 kommt im April raus kann ich dir leider nichts sagen dieses programm kenne ich nicht, kannst aber hier im Forum eine Menge lesen darüber.

Ich hoffe ich konnte dir einigermaßen helfen.

Gruss

Grissini
Bitte warten ..
Mitglied: vanTast
27.01.2014 um 10:54 Uhr
Zitat von Grissini:

Hallo,

Ist also dein Bildschirm vor dem Starten gesperrt oder nachdem Windows XP gestartet hat und dann die Sperre, also so wie sich das
anhört klingt es nach Bundespolizeitrojaner Variante gehe wie folgt vor

Also nach Bundestrojaner hört sich das aber garnicht an. Da hast Du Dich irgendwie verlaufen.

Und besser wäre du trennst dich von Windows XP Ist total veraltet, und Service Pack´s sind auch abgelaufen. Es gibt
zwar bis April ein SP-4 bringt dich aber nicht wirklich weiter.

Ein SP4 für XP? XP ist eigentlich tot. Da gibts kein SP mehr. Obwohl, Du schriebst im April?
Ein Aprilscherz? Cool...

>ZU Windows 8 oder 8.1 oder 9 kommt im April raus kann ich dir
leider nichts sagen dieses programm kenne ich nicht, kannst aber hier im Forum eine Menge lesen darüber.

Windows 8 ist kein Programm sondern ein OS
Und im April kommt auch kein Windows 9 raus, zumindest nicht in diesem Jahr. Ob Threshold Windows 9 heissen wird und wann es nun herauskommt? Gerüchte, Spekulationen und Kaffeesatzlesen.........

Gruss vanTast
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Bitte um Denkanstoss für Split
Frage von webstorBatch & Shell3 Kommentare

Hi, ich steh gerade total auf dem Schlauch und drehe mich im Kreis. Folgendes Script liest eine URL und ...

Microsoft Office
Brauche bitte Denkanstoss bei Excel
Frage von Data61Microsoft Office2 Kommentare

Hallo zusammen, möchte 2 Excel Tabellen auswerten. Das soll in der Form sein, habe gleiche Adressen in Tabelle 1 ...

SAN, NAS, DAS

Trojan Verschlüsselung iSCSI Laufwerke dauerhaft trennen

gelöst Frage von dennz2018SAN, NAS, DAS2 Kommentare

Ich weiss, so eine Frage gab es sicherlich schon einmal. Aber ich konnte nichts genau hier zu finden. Im ...

Windows Server

GPO legt Netz lahm

Frage von FlinxitWindows Server3 Kommentare

halloo zusammen, wir haben bei uns eine GPO mit reinen Internet Explorer Einstellungen ausgerollt. diese beinhaltete eigentlich nur eine ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 3 TagenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 3 TagenSicherheit2 Kommentare

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 4 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 5 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
DNS
50 EUR für Telekom-, Unitymedia- und Vodafone-Kunden
Frage von Zorro1199DNS14 Kommentare

Hallo zusammen, wie evaluieren gerade das korrekte Einhalten von DNS-TTLs durch verschiedene Provider. Aktuell suchen wir noch Kunden der ...

Windows Server
Sonntagsfrage: Welchen Sinn seht Ihr noch im Server 2019 Essentials
Frage von ashnodWindows Server13 Kommentare

Guten Morgen, ich habe gestern den Windows Server 2019 Essentials als Trial in einer VM installiert um mir das ...

Windows Server
Windows 2012 R2 - Skript um Druckerkonfiguration auszulesen und zu setzen
gelöst Frage von Der-PhilWindows Server11 Kommentare

Hallo! Kennt ihr eine Möglichkeit, per Skript die Konfiguration eines Druckers auszulesen und auf einen anderen anzuwenden? Hintergrund: Ich ...

Grafik
Viele Fotos organisieren - Windows Dateisystem zu lahm bzw. überfordert
Frage von augustaparkGrafik11 Kommentare

Hallo und Guten Morgen, hat einer eine Idee, wie man viele Fotos sinnvoll und effizient organisieren kann? Wir haben ...