Portscan - Auffälligkeiten

[alias 11]

Hallo und guten Tag.

 

Habe ja in den letzten Tagen hier einige Probleme mit unserem Server gepostet. Nun habe ich mal einen Portscan laufen lassen. Vielleicht könnt Ihr irgendwelche Auffälligkeiten feststellen. Wäre für jeden Hinweis dankbar. Nun zum Portscan:

 

TCP: 10.66.70.100 [7-echo]

TCP: 10.66.70.100 [9-discard]

TCP: 10.66.70.100 [13-daytime]

TCP: 10.66.70.100 [17-qotd]

TCP: 10.66.70.100 [19-chargen]

TCP: 10.66.70.100 [42-nameserver]

TCP: 10.66.70.100 [53-domain]

TCP: 10.66.70.100 [80-www-http]

TCP: 10.66.70.100 [88-kerberos]

TCP: 10.66.70.100 [135-epmap]

TCP: 10.66.70.100 [139-netbios-ssn]

TCP: 10.66.70.100 [389-ldap]

TCP: 10.66.70.100 [445-microsoft-ds]

TCP: 10.66.70.100 [464-kpasswd]

TCP: 10.66.70.100 [593-http-rpc-epmap]

TCP: 10.66.70.100 [636-ldaps]

TCP: 10.66.70.100 [1026-icq]

TCP: 10.66.70.100 [1029-icq] | ncacn_http/1.0

TCP: 10.66.70.100 [1038]

TCP: 10.66.70.100 [1097-sunclustermgr]

TCP: 10.66.70.100 [1107-isoipsigport-2]

TCP: 10.66.70.100 [1108-ratio-adp]

TCP: 10.66.70.100 [1115-ardus-trns]

TCP: 10.66.70.100 [1119]

TCP: 10.66.70.100 [1120]

TCP: 10.66.70.100 [1131]

TCP: 10.66.70.100 [2155-backdoor]

TCP: 10.66.70.100 [2638-sybaseanywhere]

TCP: 10.66.70.100 [3268-msft-gc]

TCP: 10.66.70.100 [3269-msft-gc-ssl]

TCP: 10.66.70.100 [3372-tip2]

TCP: 10.66.70.100 [3389-ms-wbt-server]

TCP: 10.66.70.100 [6101-synchronet-rtc]

TCP: 10.66.70.100 [8000-irdmi]

TCP: 10.66.70.100 [8443-pcsync-https]

 

 

Muss dazu sagen, dass eigentlich nur die W2K-Grundinstallation, mit Office und einer Sybase-Datenbank drauf ist.

 

Danke Euch im voraus,

 

Frank

[auer 10]

Ich hoffe, Du hast eine gute Firewall vorgeschaltet oder es handelt sich um einen Rechner, der alleine vor sich hintuckert, ohne Netz.

 

Prinzip: Alles, was man nicht unbedingt und zwingend benötigt, abstellen, etwa die Ports bis 20, die sind - glaube ich - in den einfachen TCP-Netzwerkdiensten drin.

 

------------

Gruß, Auer

[alias 11]

Hi, danke für die Antwort.

 

Es handelt sich "leider" um einen Netzrechner. Und den kann ich leider nicht mehr managen. Geschweige denn, Dienste abstellen, starten oder beenden.

 

Denke wohl, dass ich da ein größeres Problem habe...

 

Frank

[solinske 10]

such dir mal unter google das prog fport, das führst du aus und lässt das ergebnis in eine text-datei schreiben, dann siehst du gan zgenau, welche anwendung welchen port will !!!

 

aber dein server scheint nicht ganz sauber zu sein !!!

 

woe sehen die udp verbindungen aus ????

[alias 11]

Hi solinske,

 

Ich habe mal das Protokoll von FPort angehängt.

Mir fällt hier (leider) nichts außergewöhnliches auf.

 

Frank

fport.txt

[auer 10]

Solange dies alles offiziell installierte Programme sind, ist die Liste natürlich ok. Das Prinzip bei Diensten und Portbelegungen ist, möglichst alles zu minimalisieren, um bei Softwarebugs keine unnötigen Risiken einzugehen.

 

Zwei Fragen: C:\Ent32\Ent32.exe auf 18881 - ist das ein absichtlich installiertes Programm? Der IIS läuft auf dem ungewöhnlichen Port 1131 anstatt auf einem der drei Standardports für http (80), ftp (21) oder SMTP (25). Wurde dies absichtlich so installiert oder wurde der IIS von einem Dritten gestartet?

 

Bei den anderen Diensten gehe ich davon aus, daß sie alle absichtlich aktiv sind und benötigt werden.

 

-------------

Gruß, Auer

[alias 11]

Hallo, auer,

 

bei der Ent32.exe handelt es sich um eine USV der Fa. Microdowell.

 

Der IIS ist von meinem Vorgänger bzw. meiner Vorgängerin installiert worden :shock: . Wofür, ist hier im Moment eigentlich fraglich. Die Dame ist zur Zeit im Urlaub.

 

Frank

[edv-olaf 10]

Hallo alias,

 

wenn dieser Rechner ohne Schutz (Firewall) im Internet hängt, kannst du genausogut auf eurer Website das Passwort des Admin veröffentlichen. Der Server stellt eine Einladung mit weit sichtbarer Leuchtreklame dar.

 

Wenn er noch nicht missbraucht wird für unerlaubten Dateitausch oder DDoS-Attacken, dann wird es nur eine Frage der Zeit sein, bis ein Hacker euren Server lahm legt.

 

Wer auch immer die Verantwortung für den Rechner hat, sollte dringenst Sicherheitsmaßnahmen einleiten! Die sind jedoch nicht mal schnell auf 5, 6 Seiten erklärt. Imzweifelsfall besorgt euch eine Hardware-Firewall, die vorkonfiguriert einsatzbereit ist.

 

Der Schaden, der euch durch Ausfälle oder Missbrauch entstehen wird, steht in keinem Verhältnis zu den Kosten der Anschaffung einer Firewall!

 

Grüße

Olaf

[alias 11]

Hi, olaf,

 

der Rechner geht über eine Datenzentrale* in das Internet. Und die ist (eigentlich) über eine Hardware-Firewall abgesichert.

 

Da ich aber diesen Humpen neu installieren werde wird er in Zukunft nicht mehr für das Internet freigegeben werden.

 

*Die Frage ist, ob diese "Fachleute" dort alles im Griff haben... :suspect:

 

 

Frank

[edv-olaf 10]

Datenzentrale??? = Rechenzentrum?

Na egal, ich wollte dich nur darauf aufmerksam machen, dass es einem administrativen Suicidversuch gleichkommt, wenn ein Win-Server ohne weitere Maßnahmen an's Internet angeschlossen wird.

 

Viel Glück und wenig Angriffe

Olaf

[auer 10]

Ich habe mir mal das von @solinske empfohlene fport geholt und auf meinen Rechner angewandt. Zu meiner Verblüffung stellte sich heraus, daß auch bei mir der IIS noch einen weiteren Port belegt - 1028. Ich verstehe allerdings nicht, warum in deiner zuerst geposteten Liste der IIS den Standardport 80-www-http belegt, das fPort diesen jedoch nicht findet.

 

Das Heikle am IIS ist, daß es für diesen diverse BufferOverflows und anderes gab (CodeRed). Läuft dieser also und fehlt ein relevanter Patch, so kann auch ein Mitarbeiter von innen sich durch dieses Loch Adminrechte verschaffen - es gibt nun einmal auch Angriffe von innen, von außen her ist der Server nicht erreichbar. Besorge dir von Microsoft hfnetchk, damit kannst Du prüfen, ob Dein Rechner in bezug auf Patches auf dem neuesten Stand ist. Ansonsten: Abschalten, wenn ihn jemand braucht, wird er sich schon melden.

 

-------------

Gruß, Auer

[alias 11]

@auer,

 

wenn es gehen würde, würde ich ja Patches installieren bzw. deinstallieren. Aber ich muß sagen, nach einer Update-Session der Maschine (über Microsoft - Auto-Update) und einem Neustart der Kiste lässt sich diese nun nicht mehr "managen". Ich komme noch nicht mal mehr in die Systemsteuerung (Explorer hängt sich auf) geschweige denn kann ich Dienste anhalten, beenden oder starten.

 

Selbst eine Deinstallation der Patches von Microsoft funktioniert nicht. Wollte vor einigen Tagen das kompl. SP4 drüber bügeln, ging aber leider, wie oben erwähnt, nicht.

 

Was mich verwundert ist, dass dieses erst nach einer Auto-Windows-Update-"Prozedur" so abgeht...

 

Frank

[alias 11]

@olaf,

 

da kannst du mal sehen, wie es in meiner Birne mittlerweile aussieht (Datenzentrale). Natürlich handelt es sich um ein Rechenzentrum, über das wir über einen Proxy ins Internet tauchen.

 

Aber ich sagte schon, mit der Maschine wohl nicht mehr.

 

Frank

 

P.S. Besten Dank für die Wünsche :wink2:

[auer 10]

Das hat zwar nichts mehr mit deiner ursprünglichen Frage zu tun. Aber wenn Du nicht einmal mehr in die Dienstverwaltung kommst bzw. der Explorer abstürzt, dann stimmen da doch ganz andere Dinge nicht mehr? Sicherung -> Neuinstallation, auf das dortige OS ist doch dann kein Verlaß mehr.

 

-------------

Gruß, Auer

[solinske 10]

wozu brauchst du die einfachen TCP/ip Dienste ??? - abschalten !!!

 

du kannst ja mal auf die seite

 

http://www.portscan.de

 

gehen und einen schnelltest machen, dann siehst du, ob die jungs im RZ aufpassen !!!

 

ist nur ein abklopfen der ports, es werden keine trojane (etc) eingespielt !!!

 

@auer

gibt es den hfnetchk noch .- ich dachte ms macht jetzt alles über den msbsa ???