MiLLHouSe 15 Geschrieben 8. Juli 2003 Melden Teilen Geschrieben 8. Juli 2003 Hallo, habe auf meinem Exchange2000-Server den Dienst Firedaemon.exe gefunden. Offenbar wird dieser von einer Datei "fired.bat" gestartet, die folgenden Inhalt aufweist: @echo off echo Checking for Windows critical updates echo !!! Processing !!! set MXBIN=c:\WINNT\system32 set MXHOME=c:\WINNT\system32 c:\WINNT\system32\firedaemon.exe -i winlogon c:\WINNT\system32 "c:\WINNT\system32\WINMGNT.EXE" "" Y 0 0 N Y echo Disconnect from Microsoft.com net start Winlogon echo No new updates... kann mir jemand erklären, was das bedeutet?? Grüße MiLLHouSe Zitieren Link zu diesem Kommentar
Haraldino 10 Geschrieben 8. Juli 2003 Melden Teilen Geschrieben 8. Juli 2003 Hi MillHouse, hier kannst du es nachlesen. http://www.firedaemon.com/ Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 8. Juli 2003 Autor Melden Teilen Geschrieben 8. Juli 2003 alles schön und gut, doch ich hab das Teil nie installiert...... Ich möchte nur wissen, ob diese *.bat-Datei irgendetwas bösartiges ausführt bzw. evtl. eine ständige Internetverbindung aufbaut, die meinen kompletten Server lahm legt.... Seit Donnerstag haben wir hier nämlich Probleme mit dem Internet - irgendwas schickt heftigst Datenpakete ins Internet (allein gestern 17GB!!!) und jetzt will/muss ich wissen, ob es evtl. damit zusammenhängen kann!!! Zitieren Link zu diesem Kommentar
xii 10 Geschrieben 13. Januar 2004 Melden Teilen Geschrieben 13. Januar 2004 Hast du auch zufällig einen neuen Dienst der Serv-U FTP Server heisst? und werf auch mal einen Blick in den Task Manager rein und guck nach neuen Prozessen die dir nicht bekannt sind... MFG Stefan Zitieren Link zu diesem Kommentar
CaIvin 10 Geschrieben 13. Januar 2004 Melden Teilen Geschrieben 13. Januar 2004 Serv-U wird sicher nicht so heissen sondern wie ein Windows-Dienst umbenannt sein. Allerdings vielleicht mit anderen Großbuchstaben. Außerdem sollteste mal Dein System absuchen, nach den Diensten die laufen, ob exe, com und Co vielleicht doppelt vorhanden ist. Zum Beispiel eine ExploreR.exe im ... C:\Winnt\System32\ (also da wo sie nicht hingehört). Dies nur als Beispiel. Ich tippe aber auch drauf, das Du gehackt worden bist :shock: Gruß und viel Erfolg: CaIvin Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 13. Januar 2004 Melden Teilen Geschrieben 13. Januar 2004 c:\WINNT\system32\firedaemon.exe -i winlogon c:\WINNT\system32 "c:\WINNT\system32\WINMGNT.EXE" diese zeile der bat installiert bei dir die datei "winmgnt.exe" als dienst "winlogon". vielleicht solltest du dir mal diese "winmgnt.exe" anschauen, was die überhaupt macht. wmi = winmgmt ...und nicht mit 'n". wenn ihr das tool nicht installiert habt, sieht das ganz nach nem hack aus. Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 18. März 2004 Autor Melden Teilen Geschrieben 18. März 2004 Muss dazu nochmal was anmerken: Erst jetzt hat unser Virenscanner darauf angeschlagen. Das Teil ist ein Virus mit dem Dienst "winmgnt.exe". Als Beschreibung steht dabei, dass es sich um den ServU-Daemon handelt. Leider kann ich ihn nicht löschen, weil der Dienst im Arbeitsspeicher hängt und aktiv genutzt wird. Ich hoffe nun auf einen Reboot heute Abend und dass das Teil dann gelöscht wird. So ne ... Darüber wird wohl auch der Netsky-Virus von unserem System verschickt *heul* Warum das System erst gestern drauf angeschlagen ist, möchte ich aber echt mal wissen... Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 18. März 2004 Melden Teilen Geschrieben 18. März 2004 hi, oh mann ... datei entdeckt am 08.07.2003, viren-scan-alarma am 17.03.2004 -> das heisst schon mal, dass du dich auf deine antivirenlösung scheinbar nicht verlassen kannst. aber ich frage mich, wieso du damals noch nichts unternommen hast, als die ersten antworten mit dem hinweis auf servu kamen ... in 7 monaten kann man als virus/ftp-server ganz schön was unternehmen ... gruss, g@mlin Zitieren Link zu diesem Kommentar
PIC 11 Geschrieben 18. März 2004 Melden Teilen Geschrieben 18. März 2004 Hallo MiLLHouSe, na, da brennt vielleicht viel mehr als nur der Kittel! :shock: Jo, das war ziemlich sicher ein Hack. Und das hat dann weitreichende Konsequenzen, sonst bekommst Du da keinen Grund mehr hinein: Ein einmal erfolgreich kompromittiertes System sollte eigentlich nicht mehr verwendet werden. Du weisst nämlich nicht, ob der Angreifer nicht noch viel mehr auf der Maschine eingerichtet hat, als das, was Du lokalisieren konntest. Schliesslich sind längst nicht alle Tools, die sich diese Sauhunde auf eine geknackte Maschine packen, als Virus registriert und den Virenscannern als solche bekannt. Da sind völlig legale Befehlszeilenwerkzeuge dabei sein, die weder Du noch der Virenscanner überhaupt entdeckt. Wenn es um echte Sicherheitsbelange und wertvolle Daten geht, kommst Du m. E. nicht darum herum, die Maschine neu aufzusetzen. Wenn Du auf dem derzeitigen Stand weiter wurstelst, kommen vielleicht die tollsten Sachen hinter Deinem Rücken hoch, und wenn Du Pech hast merkst Du es nicht einmal. Und richtig dumm ist dann, wenn Du zwei Monate später per Zufall eine komplette Password-Dumpdatei Eurer sämtlichen Mitarbeiter auf dem Server findest (hab ich schon erlebt :eek: That ain't funny!). Seit dieser Geschichte scanne ich übrigens die Ports unserer Server in regelmässigen Abständen, um sie auf Hinweise auf Einbrüche (unübliche Ports und Services) zu prüfen: Trojaner-Dienste werden häufig versteckt, die siehst Du dannauf der befallenen Maschine in den Diensten überhaupt nicht! Dagegen hilft nur Überwachung von aussen. Gruss Jan Zitieren Link zu diesem Kommentar
MiLLHouSe 15 Geschrieben 18. März 2004 Autor Melden Teilen Geschrieben 18. März 2004 Original geschrieben von gr@mlin hi, oh mann ... datei entdeckt am 08.07.2003, viren-scan-alarma am 17.03.2004 -> das heisst schon mal, dass du dich auf deine antivirenlösung scheinbar nicht verlassen kannst. aber ich frage mich, wieso du damals noch nichts unternommen hast, als die ersten antworten mit dem hinweis auf servu kamen ... in 7 monaten kann man als virus/ftp-server ganz schön was unternehmen ... gruss, g@mlin schlicht und ergreifend, weil ich die Frage im Juli gestellt habe, die Antworten aber erst im Januar kamen und ich kein Abonnement auf den Thread hatte. Ich weiß, dass es ziemlich besch... ist, bin aber froh, dass in gut zwei Wochen der Server ausgemustert wird. Soviel dann auch schon zu PIC's Beitrag :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.