Trennung der Netzwerkverbindungen

[Big2k 10]

Moin,

 

habe ein großes (für euch vielleicht kleines) Problem mit einem Windows 2003 Server.

 

Bisher lief unser Netzwerk immer mit Win2k Server und einem Router. Der DNS von dem 2k hat alle anfragen an den zentralen Router weitergeleitet und es lief ohne Probleme.

 

Nun haben wir unser NEtzwerk erneuert und sind auf Windows 2003 Server umgestiegen und alle Clients laufen nun mit Windows XP Professionel.

 

Bin leider eher auf Clientseite fit und habe mit Servern nicht allzuviel zu tun gehabt bzw. es waren immer kleine Aufgaben bisher. Nun muss ich alles alleine aufbauen und hoffe ich kann auf eure Hilfe bauen.

 

Kleiner Überblick über unser Netzwerk.

 

Netzwerk:

1 Win2k3 Server, PDC, DNS, Interneteinwahl (Verbindungsfreigabe)

10 Windows XP Clienten (davon 4 Laptop)

 

Alle Clients haben eine statische IP Adresse und als Gateway sowie primären DNS Server den Windows 2k3 Server (192.168.0.1). Dadurch das der Server die Internetverbindung herstellt habe ich die Verbindungsfreigabe gewählt, die ich von XP her erfolgreich genutzt habe.

 

Nun ist mein Problem, was vorher auch mit Hardware Router da war, das der Server sich insoweit beendet, das keiner mehr drauf zu greifen kann und er nicht mehr pingbar ist. Nur ein neustart hilft.

 

Es kommt immer wieder vor, das nun ohne Hardware Router sich der Server auch aufhängt, wenn man anfragen über den Browser an Seite stellt. Es laufen keinerlei P2P Tools im Netzwerk. Das einzigste was an Software noch auf dem Server installiert ist, ist Lexware Netzwerk Version, VNC und Direct Update.

 

Woran kann es liegen, das der Server quasi die Netzwerkverbindungen trennt und erst durch einen Restart wieder funktioniert.

 

Das hochfahren dauert Ewigkeiten (beim Ladebalken Netzwerkverbindungen werden vorbereitet).

 

Es sind zwei Netzwerkkarten installiert im Server (1 OnBoard für DSL, 1 Gigabit Level One für Netzwerk)

 

Sollte hier keiner durchsteigen, ich steige selber nicht mehr durch :( Wäre aber über jede Hilfe erfreut.

 

Ich bin für jeden Vorschlag und jede Verbesserung zu haben.

 

Grüße aus Jägermeistercity

Christian

[günterf 45]

Hi!

 

Wie ist Dein DNS konfiguriert?

[Big2k 10]

Habe den Assistenten für kleine Netze durchlaufen lassen. Und alle Anfragen die er nicht verarbeiten kann leitet er an die IP der Telekom DNS Server weiter.

 

Nur heute morgen bin ich an den Server um zu schauen warum das Inet nicht mehr funktionierte da überraschte mich der Server mit kurrioser Fehlermeldungen die ich leider nicht notiert hatte, außer das er Fehler mit der Erweiterung des virtuellen Speicher hat.

 

Außerdem war es sehr erschreckend, das mir der Task Manager zeigte, das er ca. 1400 x den Prozess vidriv.exe am laufen hat die ca. 1700 MB Speicher verbrauchen. Die CPU Auslastung war dafür nur 2%. Ist das ein Virus oder Wurm? Habe leider noch keine Virensoftware für den Server gefunden und die große von Symantec war bislang zu teuer.

 

Die Datei liegt im Ordner System32 und ist mir bislang noch nie aufgefallen.

[Big2k 10]

Habe mir nun den aktuellen Sophos inkl. der neuesten Dateien installiert und siehe da 1 Wurm, 1 Trojaner :\

 

hoffe er kriegt ihn runter.

[alexstarke 10]

oh man! du bist mutig! Nen offenen W2k3 Srv ins internet zu hängen ohne irgendwelche arten von schutz! respekt! das trauen sich die meisten Heimanwender nicht, die eine stunde am tag online sind.... und dann mit 24h online Server ohne firewall, virenscanner usw... oh man.....

[Big2k 10]

Mutig nicht *G Drahtseilkünstler passt eher.

 

Sagen wir so es soll laut Chef von heut auf morgen alles sein wenn er sagt online egal wie dann mach ich es auch ... Hab Ihn darauf hingewiesen das unsere Hardware firewall momentan nicht da ist und der Virenscanner Support bei uns noch in den Sternen steht, da er sich nicht entscheiden kann. Nun schauen wie ich aus dieser Situation rauskommen, da die Buchhaltung heute wieder kommt und den Server brauch.

[PIC 11]

Hallo Big2k,

 

Drahtseilkünstler zweifle ich mal an, denn das hier ist keine Kunst, Die Du oder ich beherrschen. Das ist nur noch Leichtsinn. ;)

 

Und von Dir sollte er vielleicht sowas wie ein Ereignisprotokoll bekommen. Hast Du den Virus + Trojaner sowie die Desinfektion dokumentiert? Das alles etwas hübsch zurecht gemacht bringt Dir eine gute Gelegenheit, Deine Warnungen und Empfehlungen anzubringen.

 

Ich für meinen Teil mag einen Chef in so einer Situation (besonders, wo es hier anscheined so offensichtlich ist) nicht aus seiner Verantwortung entlassen. Die sind sich der Probleme oft gar nicht bewusst, und so hat man hat es nachher leichter, IT-Sicherheitsaspekte zu vertreten und durchzusetzen.

 

Eigentlich sollte ein einmal erfolgreich kompromittiertes System nicht mehr verwendet werden. Du weisst nämlich nicht, ob der Angreifer nicht noch mehr auf der Maschine eingerichtet hat, als das, was Du lokalisieren konntest. Schliesslich sind nicht alle Tools, die sich diese Sauhunde auf eine geknackte Maschine packen, als Virus registriert und den Virenscannern als solche bekannt. Da können völlig legale Befehlszeilenwerkzeuge dabei sein, die weder Du noch der Virenscanner überhaupt entdeckt.

 

Wenn es um echte Sicherheitsbelange und wertvolle Daten geht, kommst Du m. E. nicht darum herum, die Maschine neu aufzusetzen.

 

Gruss Jan

[Big2k 10]

Hast ja recht, das es leichtsinn ist :\

 

ABer das ganze System neu aufsetzen Mein Chef killt mich :(

 

Er möchte super viele Dokumentationen haben wie möglich nur ich weiß nicht wie ich eine richtige bzw. ausführliche Dokumentation schreiben soll. Die Logs von Sophos kann ich mir vom Server kopieren und in eine Textdatei kopieren. :suspect: Nur ob er was davon versteht bezweifel ich.

 

Keine Ahnung hat er, dass ist das Problem. Er will bei allem mitreden, aber eine Lösung kann er nie bieten. :mad: :wink2:

 

Muss mal schauen, was ich noch alles so finde.

[PIC 11]

ABer das ganze System neu aufsetzen Mein Chef killt mich :(

Es ist sein System. Er bezahlt Dich, es nach den Regeln der Kunst zu betreiben. Wenn Du ihn warnst und er nicht hören will ist es sein Risiko. Mit Trojanern ist nicht zu spassen - da kommen die tollsten Sachen hinter Deinem Rücken hoch, und wenn Du Pech hast merkst Du es nicht einmal. Und richtig dumm ist dann, wenn Du zwei Monate später per Zufall eine komplette Password-Dumpdatei Eurer sämtlichen Mitarbeiter auf dem Server findest (hab ich auch schon erlebt :eek: :shock: That ain't funny!). Such hier im Board mal nach 'Trojaner', dann bekommst Du schon ein Meinungsbild.

 

Für Dich ist wichtig, dass Dir im Schadensfall keiner einen Strick draus drehen kann - dazu dient die Dokumentation nämlich auch.

ich weiß nicht wie ich eine richtige bzw. ausführliche Dokumentation schreiben soll.

Da gibt es natürlich die verschiedensten Varianten - je nachdem, wie gut Du im Schreiben bist. Ich mache mir bei wichtigen Ereignissen Mitschriften über Befunde und meine Aktionen, das wird eine Word-Datei, die ich, wo es sinnvoll ist, mir Screenshots würze. Diese Ereignis-Logs werden, genau wir mein chronologisches Arbeitslogbuch, als PDF gedruckt und an sicherer Stelle im System abgelegt. Gut ist die Dokumentation dann, wenn ein Anderer die aufgetretenen Probleme und Deine Gegenmaßnahmen daraus nachvollziehen kann.

[Big2k 10]

Ja du hast total recht. Werd ich mich mal dran setzen und die Daten sichern.

 

Was mich aber auch mal interessieren würde ist warum beendet der die Netzwerkverbindung. Er kann nicht angepingt werden und auch keinen pingen. Aber der server ist weiterhin online über DSL.

 

Wenn ich in Keller gehe, die Netzwerkverbindung deaktiviere und iweder aktiviere gehts für eine Zeit wieder.

 

Kann das durch ein Virus/Wurm/Trojaner kommen? Weil Sophos hat alle Dateien entfernt.

[PIC 11]

Ich mag unter den derzeitigen Bedingungen nichts ausschließen und nichts empfehlen. Ist nämlich alles Ratespiel. Da können Ports offen sein oder TFTP-Server im Hintergrund laufen, Keylogger arbeiten und wer weiss sonstwas noch.

 

Beispiel: Besorg Dir den LANguard Network Security Scanner (http://www.gfisoftware.de/de/lannetscan/) oder einen anderen Portscanner und analysier Deinen Server von aussen auf unautorisiert offene Ports und aktive, nicht zum System gehörige Services. Das mit den Diensten ist z. B. besonders pestig, weil Du am laufenden Server selbst die Trojaner-Dienste nicht unbedingt siehst, da sie versteckt sein können.

 

Ein kompromittiertes System kann eine echte Schlangengrube sein - und ich will Dir mit all diesem Geschreibe keine Angst machen. Ich hab nur mal die Betreuung einer Laborumgebung übernommen, deren beide DCs mit Trojanern befallen waren und keiner hatte es gewusst. Das wurde mein hands on-Grundkurs in IT-Sicherheit, sozusagen am lebenden Patienten. Analysiert, Daten gesichert, ein bisschen über Trojaner gelernt und dann zünftig neu aufgesetzt. Nix zu machen :rolleyes: :D ;)

 

PS: Nicht vergessen - Sophos hat bei Dir nur die Dateien entfernt, die es nach seinen Virusdefinitionen als feindlich erkennen konnte.

[günterf 45]

Hi!

 

Wer muss den Kopf hinhalten?

 

Du!

 

Also weg mit dem System!

 

PIC hat mit allen Aussagen recht!

 

Habe in der letzten Zeit sehr oft mit diesen Prob's kontakt!

 

Wenn der Server Prob's bringt hilft nur noch eins:

 

s0kill -> Neuinstallation!

 

Auch wenn der Chef mault!

[Lian 2.403]

Schliesse mich PIC's und Günther's Meinung an: "Lieber ein Ende mit Schrecken, als ein Schrecken ohne Ende" ist hier die Devise.

 

Und: Besorgt Euch eine Firewall oder falls Ihr einen Managed Vertrag mit Eurem ISP habt, least Euch eine.

[Big2k 10]

Jo ihr habt recht nur ich kann ihn nicht überzeugen, da ich irgendwie schon auf der Abschußliste stehe.

 

Ich habe mir mal die offenen Ports angeschaut und die laufenden Services.

 

Vielleicht fällt euch was ungewöhnliches auf.

 

TCP Ports

• 25 - SMTP - Simple Mail Transfer Protocol
  
• 53 - Domain - Domain Name Server
  
• 135 - epmap - DCE endpoint resolution
  
• 139 - Netbios-ssn - NETBIOS Session Service
  
• 389 - LDAP - Light Directory Access Protocol
  
• 445 - Microsoft-DS
  
• 3389 - Terminal Services
  
• 5800 - VNC Remote Control Software
  
• 5900 - Microsoft VNC - RFB003.003
  

 

UDP Ports

• 53 - DNS
  
• 67 - bootps - Bootstrap Protocol Server
  
• 68 - bootpc - Bootstrap Protocol Client
  
• 88 - Kerberos 5
  
• 123 - NTP - Network Time Protocol
  
• 137 - Netbios-NS
  
• 138 - Netbios-DGM
  
• 445 - Microsoft CIFS
  

[Lian 2.403]

Nein, "sieht" normal aus.

 

Lass Dir von Deinem Chef nochmals bestätigen, daß ihr mit einem verseuchten System weiterarbeiten sollt und weise ihn auf die möglichen Folgen hin.