unbekannter benutzer "service_ms"

[thork 10]

hallo,

 

ich habe das gefühl, bei usn auf dem server hat sich jemand eingeschlichen.

es existiert ein benutzer unter lokale benutzer "service_ms"

 

der server ist als standalone im internet eingebunden. nur ein user hat die rechte per remote darauf zuzugreifen.

 

aber woher kommt der benutzer?

 

gruß thork

[marka 587]

Der "offizielle" Supportuser von Microsoft beginnt mit "SUPPORT_" und trägt die Beschreibung "Herstellerkonto für Hilfe- und Supportdienste".

 

Ich wäre da auch skeptisch.

Ändere schnellstmöglich das Admin-Konto und deaktiveiere mal den User.

Danach kann man mal in Erfahrung bringen, was der User schon angerichtet hat...

[thork 10]

schon gemacht.

 

und jetzt die schlimme nachricht... wir sind gehackt worden. im system volume verzeichnis befindet sich eine scan500.exe und ca. 60 gb an aktuellen filmen. ich bekomme die daten nicht gelöscht.

 

kann mir wer sagen wie ich den mist da wieder runter bekomme? da mit einfachen befehlen oder löschaktionen das ganze gesperrt ist und der zugriff verweigert wird

 

oje...

[Gulp 265]

Für XP gilt folgender Artikel:

 

Wie Sie auf den Ordner "System Volume Information" zugreifen können

 

Grüsse

 

Gulp

[thork 10]

vielen dank. das hilft mir schon mal weiter

 

so bekomme ich die 60 gb wieder weg, aber...

 

ich bekomme den dienst scan500.exe nicht gelöscht. er schreibst sich 2 mal rein und ist immer wieder sofort da, nachdem ich ihn gekillt habe

 

[EDIT] hat sich erledigt, ich kann 2 prozesse gleichzeitig killen, dann gehts

[GerhardG 10]

mach ein komplettes backup und installiere den server neu. alles andere wäre fahrlässig und zeitverschwendung.

[Zearom 10]

und eine komplett renovierung des sicherheitskonzeptes wäre dann wohl auch angebracht, nicht das plötzlich die gleichen 60 gb wieder woanders auftauchen :)

[thork 10]

ihr habt da villeicht schon recht.

 

leider ist das nicht soi einfach möglich, da der rechner in einem rechenzentrum steht.

 

wir haben unseren fehler gefunden. der webserver hatte einige sicherheitslücken, windows selbst hatte alle updates bis zum letzten installiert.

 

die kennwörter aller datenbanken und aller user wurden neu angelegt.

 

ich hoffe mal, das es damit war. sonst müssen wir echt in den sauren apfel beissen.

 

 

 

eine frage hätte ich da aber doch. wie konnte trotz firewall das tool auf die platte? oder hat sich jemand das kennwort "geklaut" und ist über den remote rein? wobei es nach allen sicherheitsrichtlinien angelegt war

[GerhardG 10]

ein ordentlicher hoster hat im normalfall eine remote konsole oder zumindestens einen "reset service". eine neuinstallation sollte also keine große sache sein. ich würde dir drigend eine neuinstallation anraten. würdest du gerne kunde bei einer firma sein die deine daten auf ehemals gehackten server lagert? derartige arbeitsweise kann überaus geschäfts schädigend, wenn nicht sogar strafbar sein.

 

ich würde den server zudem erst wieder online bringen wenn du die lücke wirklich gefunden hast. welcher webserver mit welcher angeblicher lücke? welche webapps laufen auf dem server?

[marka 587]

Gegenfragen:

 

Läuft der Server bei Euch im RZ oder bei einem Provider?

Server OS? Du sprachst von Windows, aber welches?

Welcher WWW-Server? IIS? Apache?

 

Alles Fragen, ohne deren Antworten man auf die Glaskugel starrt...

[thork 10]

also... es ist ein privater Game Server der bei einem provider im rz steht

 

als BS läuft Windows Server 2003 SP2

der webserver ist das aktuelle xampp paket

 

ok, mit der neuinstallation muß ich mir mal überlegen. klar das ist die bessere variante.

 

danke erst mal

[GerhardG 10]

nach der neuinstallation würde ich als erstes mal xampp weglassen und nur die pakete installieren die du für den gameserver wirklich brauchst.

[thork 10]

@ gerhardg

naja... wir brauchen nen html, php webserver mit sql datenbank und activeperl für stats :-)

allerdings gab es wohl haufenweise sicherheitslücken in dem xampp was wir hatten. die neue version sollte besser sein.

 

 

so, wir haben uns für eine neuinstallation entschieden.

 

nun benötige ich mal eine kleine info. derzeit hatten wir nur die standartfirewall, reicht diese aus? oder lag es daran, dass der server nicht sicher ist / war

 

wie kann ich testen ob sicherheitslücken auf dem server offen sind. so kleine scans wie symantec sie anbietet reichen wohl nicht aus, oder?!

[GerhardG 10]

grundsätzlich reicht die standardfirewall. du solltest aber nicht vergessen was die aufgaben der firewall sind. diese ist nicht für die sicherheit des webservers zuständig. ganz im gegenteil, durch die öffnung des ports ermöglicht sie externen den zugriff auf den server ;)

 

installier die ganzen produkte von hand und trage dich in den entsprechenden security newslettern der einzelnen hersteller ein. praktisch alle bieten auch entsprechende dokus für die sichere konfiguration an.

[thork 10]

das war auch eine meiner ideen mit dem "alles manuell" installieren.

 

aufwendig, aber sicherer.

 

oje... aus schaden wird man klug