Win2k Server SP4Free und unsichtbare ftp-Verzeichnisse
Ordner und Dateien mit der Zeichenkette ftp sind unsichtbar bzw. werden versteckt
Hallo zusammen,
ich habe hier einen Windows 2000 Server mit SP4 und allen aktuellen Patches, auf dem unter anderem der IIS installiert ist. Hautpsächlich wird dieser Server zum Austausch von Info-Daten per FTP verwendet (Anonymous natürlich deaktiviert; Basisverzeichnis d:\ftproot). Seit heute Vormittag jedoch geht gar nichts mehr: Verzeichnisse und Dateien, die die Zeichenfolge "ftp" beinhalten, werden nicht mehr angezeigt. Ich kann z.B. ein Verzeichnis "temp" anlegen und es ist ohne Probleme sichtbar. Sobald ich dieses Verzeichnis umbenenne in "irgendftpwas" verschwindet es spurlos (bzw. wird versteckt). Ein Versuch das Verzeichnis erneut anzulegen wird mit "existiert schon" quittiert.
Nun habe ich hier schon einige Beiträge gefunden, bei denen etwas ähnliches durch Root-Kits aufgetreten ist. Nachdem ich nun bis eben mit BlackLight und Konsorten zumindest soweit gekommen bin, dass ich sehe, dass die Verzeichnisse zwar vorhanden sind, aber vor der Windows-API versteckt werden, hänge ich fest.
Mit BL hatte ich es auch kurzzeitig schon mal so weit, dass mir das Verzeichnis "ftproot" (das ist das Wichtigste) angezeigt wurde. Nach einem Neustart des Servers war es aber wieder verschwunden und das Spiel ging von vorne los.
Ich habe keine Idee, was ich nun noch machen soll... Weiss jemand von Euch einen Rat?
Vielen Dank und viele Grüße
Levy
Hallo zusammen,
ich habe hier einen Windows 2000 Server mit SP4 und allen aktuellen Patches, auf dem unter anderem der IIS installiert ist. Hautpsächlich wird dieser Server zum Austausch von Info-Daten per FTP verwendet (Anonymous natürlich deaktiviert; Basisverzeichnis d:\ftproot). Seit heute Vormittag jedoch geht gar nichts mehr: Verzeichnisse und Dateien, die die Zeichenfolge "ftp" beinhalten, werden nicht mehr angezeigt. Ich kann z.B. ein Verzeichnis "temp" anlegen und es ist ohne Probleme sichtbar. Sobald ich dieses Verzeichnis umbenenne in "irgendftpwas" verschwindet es spurlos (bzw. wird versteckt). Ein Versuch das Verzeichnis erneut anzulegen wird mit "existiert schon" quittiert.
Nun habe ich hier schon einige Beiträge gefunden, bei denen etwas ähnliches durch Root-Kits aufgetreten ist. Nachdem ich nun bis eben mit BlackLight und Konsorten zumindest soweit gekommen bin, dass ich sehe, dass die Verzeichnisse zwar vorhanden sind, aber vor der Windows-API versteckt werden, hänge ich fest.
Mit BL hatte ich es auch kurzzeitig schon mal so weit, dass mir das Verzeichnis "ftproot" (das ist das Wichtigste) angezeigt wurde. Nach einem Neustart des Servers war es aber wieder verschwunden und das Spiel ging von vorne los.
Ich habe keine Idee, was ich nun noch machen soll... Weiss jemand von Euch einen Rat?
Vielen Dank und viele Grüße
Levy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 38543
Url: https://administrator.de/forum/win2k-server-sp4free-und-unsichtbare-ftp-verzeichnisse-38543.html
Ausgedruckt am: 25.12.2024 um 07:12 Uhr
4 Kommentare
Neuester Kommentar
So, wenn Du schon ma weißt, daß Dein Server von einem Rootkit befallen ist, hast Du die Möglichkeit, das Ding ausfindig zu machen.
Die Registry solltest Du nicht mit regedit, sondern mit regedt32 durchsuchen, dann sollte auch da alles korrekt angezeigt werden.
Im allgemeinen sind Rootkits eben durch ihr auffälliges Verhalten sehr schnell zu identifizieren.
Nutz' mal HiJackThis, um einen Scan des aktuellen Speichers zu haben, vielleicht findest Du da was außergewöhnliches; kannst auch das Logfile hier posten.
Des Weiteren, scan die Registry wie oben genannt, nach ftp; sollte auch was ausspucken.
Lonesome Walker
PS: Wo ist gnarff, wenn man ihn braucht; ich bin mir sicher, er weiß wahrscheinlich sogar den exakten Namen des Rootkits!
Die Registry solltest Du nicht mit regedit, sondern mit regedt32 durchsuchen, dann sollte auch da alles korrekt angezeigt werden.
Im allgemeinen sind Rootkits eben durch ihr auffälliges Verhalten sehr schnell zu identifizieren.
Nutz' mal HiJackThis, um einen Scan des aktuellen Speichers zu haben, vielleicht findest Du da was außergewöhnliches; kannst auch das Logfile hier posten.
Des Weiteren, scan die Registry wie oben genannt, nach ftp; sollte auch was ausspucken.
Lonesome Walker
PS: Wo ist gnarff, wenn man ihn braucht; ich bin mir sicher, er weiß wahrscheinlich sogar den exakten Namen des Rootkits!
Poste mal Dein Logfile hier rein:
http://www.hijackthis.de
Dann wirst Du schon sehen...
(speziell: C:\WINNT\System32\wupdmngr.exe )
Lonesome Walker
http://www.hijackthis.de
Dann wirst Du schon sehen...
(speziell: C:\WINNT\System32\wupdmngr.exe )
Lonesome Walker
Ah, habe ganz vergessen *peinlich*:
http://www.f-secure.de/blacklight/
Das solltest Du auch mal drübergucken lassen...
Lonesome Walker
http://www.f-secure.de/blacklight/
Das solltest Du auch mal drübergucken lassen...
Lonesome Walker