thork 10 Geschrieben 11. Juli 2007 Melden Geschrieben 11. Juli 2007 hallo, ich habe das gefühl, bei usn auf dem server hat sich jemand eingeschlichen. es existiert ein benutzer unter lokale benutzer "service_ms" der server ist als standalone im internet eingebunden. nur ein user hat die rechte per remote darauf zuzugreifen. aber woher kommt der benutzer? gruß thork Zitieren
marka 589 Geschrieben 11. Juli 2007 Melden Geschrieben 11. Juli 2007 Der "offizielle" Supportuser von Microsoft beginnt mit "SUPPORT_" und trägt die Beschreibung "Herstellerkonto für Hilfe- und Supportdienste". Ich wäre da auch skeptisch. Ändere schnellstmöglich das Admin-Konto und deaktiveiere mal den User. Danach kann man mal in Erfahrung bringen, was der User schon angerichtet hat... Zitieren
thork 10 Geschrieben 11. Juli 2007 Autor Melden Geschrieben 11. Juli 2007 schon gemacht. und jetzt die schlimme nachricht... wir sind gehackt worden. im system volume verzeichnis befindet sich eine scan500.exe und ca. 60 gb an aktuellen filmen. ich bekomme die daten nicht gelöscht. kann mir wer sagen wie ich den mist da wieder runter bekomme? da mit einfachen befehlen oder löschaktionen das ganze gesperrt ist und der zugriff verweigert wird oje... Zitieren
Gulp 275 Geschrieben 11. Juli 2007 Melden Geschrieben 11. Juli 2007 Für XP gilt folgender Artikel: Wie Sie auf den Ordner "System Volume Information" zugreifen können Grüsse Gulp Zitieren
thork 10 Geschrieben 11. Juli 2007 Autor Melden Geschrieben 11. Juli 2007 vielen dank. das hilft mir schon mal weiter so bekomme ich die 60 gb wieder weg, aber... ich bekomme den dienst scan500.exe nicht gelöscht. er schreibst sich 2 mal rein und ist immer wieder sofort da, nachdem ich ihn gekillt habe [EDIT] hat sich erledigt, ich kann 2 prozesse gleichzeitig killen, dann gehts Zitieren
GerhardG 10 Geschrieben 11. Juli 2007 Melden Geschrieben 11. Juli 2007 mach ein komplettes backup und installiere den server neu. alles andere wäre fahrlässig und zeitverschwendung. Zitieren
Zearom 10 Geschrieben 11. Juli 2007 Melden Geschrieben 11. Juli 2007 und eine komplett renovierung des sicherheitskonzeptes wäre dann wohl auch angebracht, nicht das plötzlich die gleichen 60 gb wieder woanders auftauchen :) Zitieren
thork 10 Geschrieben 11. Juli 2007 Autor Melden Geschrieben 11. Juli 2007 ihr habt da villeicht schon recht. leider ist das nicht soi einfach möglich, da der rechner in einem rechenzentrum steht. wir haben unseren fehler gefunden. der webserver hatte einige sicherheitslücken, windows selbst hatte alle updates bis zum letzten installiert. die kennwörter aller datenbanken und aller user wurden neu angelegt. ich hoffe mal, das es damit war. sonst müssen wir echt in den sauren apfel beissen. eine frage hätte ich da aber doch. wie konnte trotz firewall das tool auf die platte? oder hat sich jemand das kennwort "geklaut" und ist über den remote rein? wobei es nach allen sicherheitsrichtlinien angelegt war Zitieren
GerhardG 10 Geschrieben 11. Juli 2007 Melden Geschrieben 11. Juli 2007 ein ordentlicher hoster hat im normalfall eine remote konsole oder zumindestens einen "reset service". eine neuinstallation sollte also keine große sache sein. ich würde dir drigend eine neuinstallation anraten. würdest du gerne kunde bei einer firma sein die deine daten auf ehemals gehackten server lagert? derartige arbeitsweise kann überaus geschäfts schädigend, wenn nicht sogar strafbar sein. ich würde den server zudem erst wieder online bringen wenn du die lücke wirklich gefunden hast. welcher webserver mit welcher angeblicher lücke? welche webapps laufen auf dem server? Zitieren
marka 589 Geschrieben 11. Juli 2007 Melden Geschrieben 11. Juli 2007 Gegenfragen: Läuft der Server bei Euch im RZ oder bei einem Provider? Server OS? Du sprachst von Windows, aber welches? Welcher WWW-Server? IIS? Apache? Alles Fragen, ohne deren Antworten man auf die Glaskugel starrt... Zitieren
thork 10 Geschrieben 11. Juli 2007 Autor Melden Geschrieben 11. Juli 2007 also... es ist ein privater Game Server der bei einem provider im rz steht als BS läuft Windows Server 2003 SP2 der webserver ist das aktuelle xampp paket ok, mit der neuinstallation muß ich mir mal überlegen. klar das ist die bessere variante. danke erst mal Zitieren
GerhardG 10 Geschrieben 11. Juli 2007 Melden Geschrieben 11. Juli 2007 nach der neuinstallation würde ich als erstes mal xampp weglassen und nur die pakete installieren die du für den gameserver wirklich brauchst. Zitieren
thork 10 Geschrieben 12. Juli 2007 Autor Melden Geschrieben 12. Juli 2007 @ gerhardg naja... wir brauchen nen html, php webserver mit sql datenbank und activeperl für stats :-) allerdings gab es wohl haufenweise sicherheitslücken in dem xampp was wir hatten. die neue version sollte besser sein. so, wir haben uns für eine neuinstallation entschieden. nun benötige ich mal eine kleine info. derzeit hatten wir nur die standartfirewall, reicht diese aus? oder lag es daran, dass der server nicht sicher ist / war wie kann ich testen ob sicherheitslücken auf dem server offen sind. so kleine scans wie symantec sie anbietet reichen wohl nicht aus, oder?! Zitieren
GerhardG 10 Geschrieben 12. Juli 2007 Melden Geschrieben 12. Juli 2007 grundsätzlich reicht die standardfirewall. du solltest aber nicht vergessen was die aufgaben der firewall sind. diese ist nicht für die sicherheit des webservers zuständig. ganz im gegenteil, durch die öffnung des ports ermöglicht sie externen den zugriff auf den server ;) installier die ganzen produkte von hand und trage dich in den entsprechenden security newslettern der einzelnen hersteller ein. praktisch alle bieten auch entsprechende dokus für die sichere konfiguration an. Zitieren
thork 10 Geschrieben 12. Juli 2007 Autor Melden Geschrieben 12. Juli 2007 das war auch eine meiner ideen mit dem "alles manuell" installieren. aufwendig, aber sicherer. oje... aus schaden wird man klug Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.