Microby 10 Geschrieben 16. November 2003 Melden Teilen Geschrieben 16. November 2003 :D Hi Leute, :D Ich bin nun ganz neu hier bei Euch obwohl ich schon oft mir Hilfe hier geholt habe. Ich muss dazu sagen, unbeleckt bin ich nicht , eher beruflich hauptsächlich in Netzwerkfragen vorbelastet (Ihr versteht hoffentlich wie ich das meine). Nun habe ich aber wirklich mal ein Problem bei dem ich an meine Grenzen komme und ich hier bei Euch auch nichts gefunden habe. Aber in Teamwork kommen doch imer die besten Lösungen zu Stande. Also es geht um eine Serverdomäne. Bis letzte Woche lief alles ganz prima hier bei mir, nur hab ich einem fiesen Trojaner (trotz AntiVir) der per ICQ-Nachricht über die Router-Firewall drüber kam aufgesessen. Der Typ hat sich meine Config-Datei vom TotalCommander (dummerweise mit Passwörtern, man lernt nie aus...) gegriffen und dann auf meinen Websites einen Virenscript eingebaut. Nachdem Passwörter geändert wurden setzte ich sämtliche Rechner im Netz neu auf, man weiß ja nie. Seitdem bekomme ich kein stabiles Netz mehr hin. Also, die Einrichtung klappte ohne Problem, alles mit AD verwaltet, alle richtige Netzwerkadressen, DHCP vom Router, Server hat ne feste wegen DNS-Server, alles keine Probleme. Und dann, wenn der Server ne Weile läuft und ich mit den Clients mit dem Explorer auf die Serverlaufwerke (Dateiserver) zugreifen will, bleibt auf dem Client der Explorer hängen. Wenn ich dann mit dem Taskmanager den Explorer kille und neu reanimiere kann ich auf das Laufwer zugreifen. Dies passiert ohne Regelmäßigkeit Der Server hängt dann aber nicht. Ob ich dabei der Domäne angeschlossen bin oder ob nicht, das spielt keine Rolle. Ich hab ja auch schon an die Netzwerkkartentreiber gedacht, aber es ist auf beiden Clients, 1 Rechner, 1 Laptop, ... und es lief ja früher auch... Ich weiß nicht mehr..., Leute fangt an zu fragen... Ach ja noch kurz: Reines XP-Netzwerk... Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 16. November 2003 Melden Teilen Geschrieben 16. November 2003 Hi! Was hast Du für einen Server? Wer ist für DNS zuständig? Nach der Installation von AD erstellt Win im DNS einen "." Eintrag, der gelöscht werden muss. Zitieren Link zu diesem Kommentar
Microby 10 Geschrieben 16. November 2003 Autor Melden Teilen Geschrieben 16. November 2003 Dankeschön, toll für die schnelle Reaktion. 2003, und der Server selber. 2003 erzeugt meines Wissens nach diesen ominösen "."-Eintrag nicht mehr. zumindest hab ich ihn nicht mehr gefunden. Beim 2000er Server geb ich Dir allerdings recht. Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 17. November 2003 Melden Teilen Geschrieben 17. November 2003 Hi! Darum die Frage nach dem Server. Wie hast Du denn den DNS konfiguriert? Warum DHCP über den Router? Zitieren Link zu diesem Kommentar
Microby 10 Geschrieben 17. November 2003 Autor Melden Teilen Geschrieben 17. November 2003 Den DNS hab ich durchs AD konfigurieren lassen bei der Heraufsetzung zum DC. Den DHCP lass ich übern Router laufen für den Fall das der Server mal aus ist. Zitieren Link zu diesem Kommentar
Microby 10 Geschrieben 18. November 2003 Autor Melden Teilen Geschrieben 18. November 2003 Hi, hat keiner mehr ne Idee? Habe inzwischen den Server nochmals komplett gekillt und nun kein DNS mehr zu laufen. Trotzdessen hab ich aber immer noch diese Probleme. Zitieren Link zu diesem Kommentar
auer 10 Geschrieben 18. November 2003 Melden Teilen Geschrieben 18. November 2003 Vage Vermutungen: Der Hacker war ja wohl nicht der schlechteste - er wird noch irgendeine Hintertür eingebaut haben. Wenn sich der Explorer aufhängt, sieht das danach aus, als ob er versucht, auf eine zusätzliche Adresse zuzugreifen und dies nicht schafft. Es gibt einen Virus / Trojaner, der die hosts umschreibt bzw. den Reg-Schlüssel ändert, so daß eine andere hosts verwendet wird. ------------- Gruß, Auer Zitieren Link zu diesem Kommentar
Microby 10 Geschrieben 18. November 2003 Autor Melden Teilen Geschrieben 18. November 2003 Hi, hmm, naja also die Hosts konnte ich ja überprüfen. Die sind sauber, also nur der local auf den Clients und beim Server der local und von Hand eingetragen die Addy der Servernetzwerkkarte in Verbindung der eigenen Domäne. Also, die Art des Angriffs war ja wohl noch nicht so bekannt. Aber da sich das Teil rasend schnell über meine und wer weiß noch welche Websites inklusive ICQ-Clients verbreitet hat, denke ich mal das die bei Symantec usw. was davon mitbekommen haben, ich habe zumindest die letzten Tage fast täglich nen Update bekommen, sonst ist es eins in der Woche. Und mein Virenscanner und diverse Anti Trojaner finden aber nichts. Zumal ich alle Rechner komplett neu aufgesetzt habe.Aber selbst diverse Komplettscans brachten nix zu Tage. Hast Du vielleicht ne Idee wonach ich in der Reg. suchen könnte? Es ist auch so, wenn ich den Explorer per Task kille, beendet er zwar auf dem Desktop, im Manager hängt er aber noch fest. Wenn man ihn dann mittels neuem Task startet bekommt man Zugriff auf das Netzlaufwerk. Wenn man sich so (killen, reanimieren) durch alle Laufwerke durchgehangelt hat, hat man Zugriff auf alle Laufwerke. Da man wie schon gesagt, z.B. mit dem Mailproggi aber immer Zugriff auf den Postordner der auch im Netz liegt hat, ist ja an sich nicht der Netzverkehr behindert. Aber Deine Gedanken sind gut, nur wie weiter...? Zitieren Link zu diesem Kommentar
Microby 10 Geschrieben 18. November 2003 Autor Melden Teilen Geschrieben 18. November 2003 Das mit der Hintertür könnte was dran sein. Wenn ich mir hier so meine Logfiles ansehe... Klar, früher hat man nie groß drauf geachtet. Aber ständig: Tue Nov 18 15:27:08 2003 - teardrop attack - any [wan,217.230.25.240,217.85.35.192:0] - [discard] Tue Nov 18 15:28:16 2003 - stop blocking - ids Tue Nov 18 15:28:23 2003 - syn flood attack - tcp [wan,217.230.117.84,xxx.xxx.x.x:2291] - [discard] Tue Nov 18 15:28:23 2003 - block attack - ids Tue Nov 18 15:33:25 2003 - stop blocking - ids Sieht doch nett aus, oder? Und das ist nur ein kleiner Auszug... Scheint so als suche da jemand nach Rückruf. Aber wonach kann ich suchen? Zitieren Link zu diesem Kommentar
Microby 10 Geschrieben 19. November 2003 Autor Melden Teilen Geschrieben 19. November 2003 Keiner mehr nen Plan? Habe immer die jeweils neuesten Sicherheits-Patches von MS mit draufgenudelt. Bin drauf und dran nochmals den Server nochmals ohne die Teile zu installieren. Vorm Crash hatte ich nähmlich nur den, weiß ich KB8239..?, na den wegen dem Blaster darauf. Zitieren Link zu diesem Kommentar
auer 10 Geschrieben 20. November 2003 Melden Teilen Geschrieben 20. November 2003 Der Reg-Schlüssel, der den Ort der hosts benennt, ist in http://www.mcseboard.de/showthread.php?threadid=15573 erwähnt. Sucht man bei Microsoft nach teardrop, gibt es sofort Hinweise auf TCP-Überflutungen. Entweder legt dir jemand von außen her dein System lahm oder - was ich eher befürchte - jemand wollte dein System verwenden, um einen DDOS - Angriff auf eine andere Firma zu starten. Und der Angriff bleibt nun im internen Netz stecken. Da scheint ziemlich viel im Argen zu sein. ------------- Gruß, Auer Zitieren Link zu diesem Kommentar
Microby 10 Geschrieben 20. November 2003 Autor Melden Teilen Geschrieben 20. November 2003 Danke für den Tipp. Hat leider auch kein Ergebnis gebracht, die Regs sind sauber, selbst die TCP- Einträge sind alle supi... Und das Trojaner-Suchtool hat auch nix ergeben, auf allen Pladden... Zitieren Link zu diesem Kommentar
Microby 10 Geschrieben 20. November 2003 Autor Melden Teilen Geschrieben 20. November 2003 Habe den server und die Clients nun nochmals komplett neu aufgesetzt Nachdem Beitritt zur Domäne hab ich mich dann mit nem Client an der Domäne angemeldet. Und das dauerte... Ich hab einfach ihn machen lassen, vorher hab ich ihn schon lang gekillt. Also es ist wohl doch ein reines Geschwindigkeitsproblem. Wenn ich mich angemeldet habe und auf die Netzlaufwerke gehe, lass ich ihn einfach machen, 15 min oder so und dann läufts. Zumindest dieses eine. DNS hab ich jetzt auf dem Server drauf, habs nachträglich installiert und für kleine Netzwerke, also nur Forwarding automatisch konfigurieren lassen. In der Ereignisanzeige sieht alles supi aus, also nix mehr wie früher, lauter DNS-Probleme. Beim Client ist auch der Server als DNS eingetragen. Hat jemand nen Tipp? Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 21. November 2003 Melden Teilen Geschrieben 21. November 2003 Hi! Also nichts ist wichtiger als ein richtig konfiguriertes DNS! Dazu gehört aber auch eine revers Zone! Auch wenn Einige sagen es geht auch ohne, aber wie? DNS kann nur rund Laufen, wenn er richtig und vollständig konfiguriert ist! Weiter sollte man die Abhängigkeiten von DNS und DHCP nicht ausser acht lassen. Die gegenseitigen Einstellungen verzahnen das System und verkürzen Abfragen. Zitieren Link zu diesem Kommentar
Buschi 10 Geschrieben 21. November 2003 Melden Teilen Geschrieben 21. November 2003 Hi Microby, Du hast geschrieben das Du den DNS nach der Einrichtung des AD erstellt hast ?! Wie hast Du dann bitte den AD Setupmanager beenden können ? Desweiteren würde mich mal die genaue Konfiguration der Cleient und Server ( ipconfig /all ) interessieren wenn Du die mal Abbilden könntest ? Wenn ich alles Richtig verstanden haben sind jetzt alle Rechner neu aufgesetzt und auf keinen Fall ein bekannter Virus drauf ?! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.