doctorbeat
Goto Top

Windows Server 2003 - Hackerangriff oder Trojaner?

Hallo zusammen,

bei uns in der Firma ginge es heute mal richtig rund.

Heute morgen um 9.29 Uhr hat ein Angreifer / Virus unsere gesamten Projekdaten auf dem Fileserver von Verzeichnis A bis T gelöscht.
Das ganze sind ca. 500 GB und mehrere 100.000 Dateien. Die Ordner wurden nicht gelöscht. Dazu brauchte es gerade mal 3 Minuten!!!

Wir wissen, dass die Netzwerkfreigabe verwendet wurde (also nicht lokal) und der Zugriff als Domänen-Admin ausgeführt wurde, da auch ein Verzeichnis dabei war, auf das kein anderer User Rechte hat... Alle anderen Daten auf den Servern sind noch vorhanden.

Wir haben die Überwachung bis dato leider nicht aktiviert gehabt, sodass wir nicht wirklich sehen können, von wo aus der Zugriff kam. Jetzt wird das geloggt...

Jetzt lassen wir den ganzen Tag im Netzwerk die verschiedensten Antiviren-Programme laufen, doch ohne Erfolg. Außerdem haben wir das Admin-Passwort geändert.

Unsere Umgebung:

- Alle Server sind Windows Server 2003 RC2 mit automatischen Updates an.
- Sonicwall Pro 2040.(neuste Firmware, 4.0.2)
- Proxyserver in der DMZ ist ein Apache 2.2
- Alle anderen Server stehen im LAN und sind nicht von aussen zugänglich.
- 3 Dienste werden durchgeschleift: HTTPS, SMTP und Blackberry.
- Meines Wissens nach sind alle eingesetzten Softwares auf einem relativ neuen Stand (min. Ende 2008). Außer SMTP -> standard ISS-SMTP

Das Sonicwall-Log ergab keine Angriffe zu der Uhrzeit, außer ein üblicher IP-SPOOF...

Jetzt bin ich mal gespannt, ob ihr dazu eine Idee habt, was da heute morgen passiert ist!?

Könnte das der böse Conficker gewesen sein? Wie zum Teufel kommt der an unseren Admin-Account? Wurden wir gehackt?

Ich hoffe ihr könnt mir helfen.

Grüße
Doc

Content-ID: 112894

Url: https://administrator.de/contentid/112894

Ausgedruckt am: 26.11.2024 um 10:11 Uhr

60730
60730 31.03.2009 um 19:19:59 Uhr
Goto Top
Servus,

"was" das war - keine Ahnung. WURM / VIRUS oder doch nur ein [STRG] [X] von einem, der das Admin Passwort / unter dessen Accpount gemapptes Laufwerk hatte??

Aber da du die genaue Uhrzeit hast - mal auf den Clients nachsehen, ob ein System zu diesem Zeitpunkt (-5 minuten) eingeschaltet wurde.

Evtl. kommst du so "näher" zum Ziel.

Gruß
DerWoWusste
DerWoWusste 31.03.2009 um 20:26:16 Uhr
Goto Top
Ich würde in der Nachbereitung am Server auch Scans mit dem MBSA machen, manchmal fällt dann doch einiges auf, das vergessen wurde, zum Beispiel lokale Adminkonten. Auch ein lokales Adminkonto hätte sich Zugriff und Löschrechte auf das "Dom.-Admin-exklusive" Verzeichnis verschaffen können, seid Euch nicht so sicher, dass es ein Domänenadmin war. Wieso seid Ihr sicher, dass eine Freigabe zum Löschen verwendet wurde? Und wie lest Ihr ab, dass es 3 Minuten waren?
Seid Ihr sicher, dass im Sicherheitsereignisprotokoll nicht doch Anmeldeereignisse verzeichnet werden?

Eine Infektion kann schuld sein, aber ich halte anderes für wahrscheinlicher. Ein Adminkennwort kann auf viele Weisen verloren gehen, wenn es für Supporteinsätze genutzt wird, wird es nicht gerade sicherer...
-shoulder surfing bleibt die einfachste Methode
-als lokaler Admin gecachte Kennwörter des Domänenadmins auslesen - durchaus schnell machbar, lokales Kennwortcaching unbedingt auf 1 Kennwort reduzieren. oder ganz abschalten
-werden Workstations vom Domänenadmin geöffnet und dann ungesperrt verlassen ist eh alles hinüber
-nutzt ein Domänenadmin vom Client aus in einer Benutzersitzung $-Freigaben des Servers, riskiert er stets, zu vergessen, diese abzumelden (d.h. Netzlaufwerk trennen und nicht nur Explorer schließen) - sollte man gar nicht erst riskieren.
-lokale Admins können mit Keyloggern arbeiten
Frank
Frank 01.04.2009 um 01:28:22 Uhr
Goto Top
Hi,

was meinst Du mit "Überwachung nicht aktiv". Auch keine Ereignisanzeige auf dem Server? Ich würde erst einmal versuchen, den genauen Zeitpunkt der Löschung oder des Zugriffs zu ermitteln. Ich kenne jetzt den Server 2003 nicht genau aber wenn die Ereignisanzeige vorhanden ist, mache erst einmal eine Sicherung davon (man weiß ja nie). Die Quelle "Winlogon" unter Anwendungen sollte Dir doch den Login und den Rechner des Angreifers zeigen. Ich würde versuchen genau herauszufinden, wann und von welcher IP-Adresse der Angreifer kam. Dann kannst Du ggf. anhand der IP-Adresse auch den User/Angreifer/Virus finden. Da Du aber etwas von "per Netzwerkfreigabe" geschrieben hast, glaube ich sowieso eher an einen menschlichen Angreifer. Alternativ, wenn Du keine Daten mehr auf dem Windows Server findest (Protokoll oder Logfiles), drehe die Suche um und schau Dir die Protokolle/Logfiles der Arbeitsplätze mal genauer an (je nachdem wie viele es sind und ob die Netzwerkfreigabe aus dem internen Netzwerk stammt (sonst ist es sinnlos)). Wenn die IP-Adresse nicht aus dem internen Netzwerk stamm kann man sie in der Regel über Whois Dienste etc. auch auflösen und den Besitzer finden. Hängt also davon ab, was für Daten Du raus gefunden/raus finden wirst. Schau auch mal unter der Sonicwall nach den Zugriffen nach (nicht nur nach Angriffen). Wenn es z.B. ein ehemaliger Mitarbeiter ist, sieht es nie nach einem Angriff aus. Wenn dann alles nichts bringt und Du gar keine Spuren mehr im System findest, schau mal nach, wer und wann zu letzt die Firewall konfiguriert hat. Ist er noch ein Mitarbeiter von Euch? (ich weiß das ist ein böser Gedanke, aber auch schon vorgekommen).

Das es der Conficker Virus ist glaube ich nicht, bisher habe ich noch nicht gelesen, dass er Dateien löscht.

Es kann übrigens auch noch etwas ganz triviales sein. Überprüfe mal Deine Festplatte oder Deinen Raid-Verbund genau. Hier und da ist es uns früher schon mal unter Windows-Server passiert, dass unser Raid ein paar Daten verschluckt hat, wenn die Platten komplett vollgelaufen oder eine davon defekt war.

Ich hoffe das hilft Dir ein wenig weiter ..

Gruß
Frank
gnarff
gnarff 05.04.2009 um 23:54:48 Uhr
Goto Top
Dass es in einer Produktionsumgebung mit deratigen Datenbestaenden erst zu einem Crash kommen muss, bis endlich Standardueberwachungsmethoden zum Einsatz kommen finde ich ehrlich gesagt recht heftig.

Wuermer verbreiten sich ueber Netzwerkfreigaben, wenn aber tatsaechlich ein deratiger Schaedling in eurem Netzwerk unterwegs sein sollte, halte ich es nicht fuer sehr verstaendlich warum er nur die Verzeichnisse von A -T loeschen sollte und den Rest unangetastet laesst.

Wuermer kann man auch mit Rootkitfunktionen ausstatten, sodass eure Bemuehungen mit verschieden AV-Loesungen wohl ins Nichts fuehren werden.

Wenn also im SonicWALL - Log nichts aussergewoehliches vermerkt ist, ausser ein "ueblicher IP-Spoofing Angriff" [huestel], dann wuerde ich auch zu der Annahme neigen, dass der Angreifer im eigenen Haus sitzt oder es sich um das Produkt technischen oder menschlichen Versagens handelt.

IP-Spoofing dient nicht nur zur Durchfuehrung von DOS-Angriffen, sondern ist auch bestens geeignet um Sicherheitsvorkehrungen auszuhebeln:
IP spoofing can also be a method of attack used by network intruders to defeat network security measures, such as authentication based on IP addresses. [...] This type of attack is most effective where trust relationships exist between machines. For example, it is common on some corporate networks to have internal systems trust each other, so that a user can log in without a username or password provided he is connecting from another machine on the internal network (and so must already be logged in). By spoofing a connection from a trusted machine, an attacker may be able to access the target machine without authenticating.
Um nur auf eine Angriffmoeglichkeit hingewiesen zu haben...

Saludos
gnarff