Christl 10 Geschrieben 29. Dezember 2003 Melden Teilen Geschrieben 29. Dezember 2003 Hallo zusammen, ich habe folgendes Problem mit meinem Server (2000 mit SP4): heute morgen waren lt. Firewall 12 Verbindungen zu einer 81er-IP-Adresse offen, auf denen auch fleissig gesendet wurde. Anwendung: evntsvc.exe Die Anwendung liess sich nicht beenden, die Verbindungen wurden nach dem beenden umgehend wiederhergestellt. Laut Google etc. kommt diese Anwendung mit dem RealPlayer mit. Dieser ist aber nicht installiert. (!??!) (-> Sollte auch auf keinem der Clients sein, das muss ich aber noch prüfen) Letzendlich lief auf dem Server ein Dienst: Serv-U FTP-Server... siehe hier: http://www.serv-u.info/download.asp Wie kommt dieses Ding auf den Server? Antivir etc. hat nichts gefunden. Bitte nicht solche Ratschläge wie Firewall besser zuschrauben etc. Zitieren Link zu diesem Kommentar
Damian 1.590 Geschrieben 29. Dezember 2003 Melden Teilen Geschrieben 29. Dezember 2003 Hi Christl. Sieht so aus, als hätte jemand deinen Server geentert. :( Der gefundene Serv-U-FTP ist ein ziemlich sicheres Zeichen dafür. Mein Tipp: Server vom Netz nehmen und gründlich durchchecken mit: - Anti-Trojaner-Tools - einem zweiten Virenscanner, deiner könnte "tot" sein - alle laufenden Dienste auf dem System genau überprüfen, ob sie da hingehören Auch wenn es nervt: überprüfe noch mal gründlich deine Firewall-Einstellungen und ob alle Security-Patches auf dem Server vorliegen. Damian Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 29. Dezember 2003 Melden Teilen Geschrieben 29. Dezember 2003 Hi, Die Aussage mit dem Realplayer erscheint mir nicht ganz richtig. Aber der Reihe nach: Trenn Deinen Server mal vom Netzwerk, um weiteren Schaden abzuwenden, denn der ist offensichtlich Opfer eines Hackers oder Wurms geworden. Die Log-Files der Firewall wie auch des Ereignisprotokolls solltest Du unbedingt sichern! Du kannst Dir sicherlich jede Menge Antiviren- und Antitrojaner-Tools aus dem Web ziehen und Deine Maschine genauer analysieren. Hier ein guter Link zur eigenen Analyse: http://www.gaijin.at/mantrojan.shtml In der registry solltest Du vor allem folgende Schlüssel nach verdächtigen Werten prüfen: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\(IhrName)\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices und säubern, dann Neustart. Gruß Ralf Zitieren Link zu diesem Kommentar
Christl 10 Geschrieben 29. Dezember 2003 Autor Melden Teilen Geschrieben 29. Dezember 2003 HimmelAr***undWolkenbruch! Hab grad auch noch auf einem der Clients ein "fleissiges" Chat-Programm gefunden.... Hm, ich wollte eigentlich erst in 2 Wochen umstellen (neue Domaine mit entsprechenden Benutzerkonten etc.pp.... -> mach grad den 70-218 :D :D ) Sieht so aus, als müßte ich das gleich in Angriff nehmen... Firewall wird dann auch rausgeschmissen, war bis dato die Norton, jetzt kommt IAS... Ich weiss, Norton war keine gute Wahl, aber vorher war nix, aber auch garnix in diesem besch****** Netzwerk, was irgendwie einem wenigstens Sicherheit vorgespielt hat... *grummel* Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 29. Dezember 2003 Melden Teilen Geschrieben 29. Dezember 2003 Hallo nochmals, einen Domänencontroller mit einer PersonalFirewall im Internet? :shock: Mal im Ernst, die neue Lösung sollte immer eine Firewall getrennt vom DC sein, wie das auch MS vorsieht. Und Abhilfe sollte dringend geschaffen werden! Gruß Ralf :wink2: Zitieren Link zu diesem Kommentar
Christl 10 Geschrieben 29. Dezember 2003 Autor Melden Teilen Geschrieben 29. Dezember 2003 Original geschrieben von mailfriend67 Hallo nochmals, einen Domänencontroller mit einer PersonalFirewall im Internet? :shock: Mal im Ernst, die neue Lösung sollte immer eine Firewall getrennt vom DC sein, wie das auch MS vorsieht. Und Abhilfe sollte dringend geschaffen werden! Gruß Ralf :wink2: Jep, Du hast natürlich recht... Problem bei der ganzen Sache (ich mein jetzt das Netzwerk) war, dass hier nichts, aber auch gar keine Sicherheit war... Nicht mal lokale Netzwerkadressen. Als allerersten schritt hab ich die Internetverbindung erst mal vom Server genommen und auf einen anderen Rechner gesetzt, der quasi als Router arbeitet (mit eben einer x-beliebigen Firewall drauf, damit wenigstens die allerschlimmsten Sachen draussen bleiben)... Ich wollte nun nach den Feiertagen umstellen, muss aber wohl früher sein.... (Zeit ist immer das Problem, da ich die Administration nur so "nebenbei" mache, bin eigentlich AE) Zu dem FTP-Server: Jep, es muss jemand drauf gewesen sein, irgendso ein Franzosenbeutel, hat in irgendeinem Unter-unter-unterverzeichnis lauter gerippte DVD´s abgelegt.... (nochdazu in französisch, kann mer ned mal anschauen... tstststs) Zitieren Link zu diesem Kommentar
TomRohwer 10 Geschrieben 29. Dezember 2003 Melden Teilen Geschrieben 29. Dezember 2003 Wenn's Dich tröstet, Christl - mit solchen Netzwerken und solchen Usern stehst Du nicht allein auf der Welt. Kommt mir nur zu bekannt vor... :mad: Wenn Dir das das dritte Mal innerhalb von ein paar Wochen passiert ist (manche User finden unfreiwillig Sicherheitslücken zuverlässiger als Trüffelschweine Trüffel...), kommst Du in schwere Versuchung, mal ein PopUp-Fenster zu machen, das beim Besuch bestimmter Sex-, MP3- oder ähnlicher Seiten aufpoppt und dem User in bunten Farben etwas ankündigt wie: "Vielen Dank, daß Sie Sex-Access gewählt haben! Ihre Festplatte wird nun formatiert und ein komplett neues Betriebssystem eingerichtet, damit sie zukünftig automatischen Zugriff auf unsere Seiten haben. Die Internet-Einwahl erfolgt danach automatisch über unseren Dialer zum Schnäppchenpreis von Euro 9,99 pro Minute. Haben Sie nun bitte ein paar Minuten Geduld..." Nur mal so als pädagogische Maßnahme... Zitieren Link zu diesem Kommentar
Christl 10 Geschrieben 29. Dezember 2003 Autor Melden Teilen Geschrieben 29. Dezember 2003 Jep, solche "Netzwerke" kennt man eigentlich nicht mal vom HörenSagen, aber leider existieren die! Und, logischerweise, riskieren die Firmen lieber, dass die "bestehenden" Mitarbeiter abends mal Ihren Rechner neu aufziehen müssen, als dass sie jemanden extra beschäftigen, der ihnen mal das Netzwerk macht... Oder sie stellen so einen Doffkopf wie mich ein, der eigentlich Online-Shop proggen und anderes machen soll, und halt "nebenbei" mal das Netzwerk "auffrisieren" soll... *heul* Zitieren Link zu diesem Kommentar
Damian 1.590 Geschrieben 29. Dezember 2003 Melden Teilen Geschrieben 29. Dezember 2003 Hi Christl. Kann mich TomRohwer nur anschließen. Solche verkorksten und sich selbst überlassenen Netzwerke gibt es zuhauf. Professionelle Betreuung? Gott bewahre, kostet ja Geld! Dann liebe volles Risiko fahren mit der Option, dass ganze Unternehmen zu gefährden. No Pain - no Gain. Manche "Entscheider" planen nur von 12 bis Mittag. :rolleyes: Damian Zitieren Link zu diesem Kommentar
mailfriend67 10 Geschrieben 29. Dezember 2003 Melden Teilen Geschrieben 29. Dezember 2003 Original geschrieben von Damian Hi Christl. Manche "Entscheider" planen nur von 12 bis Mittag. :rolleyes: Damian Wie? Soweit planen die?! :D Aber "christl" wird es ja nun besser machen! :) Gruß Ralf :wink2: Zitieren Link zu diesem Kommentar
Damian 1.590 Geschrieben 29. Dezember 2003 Melden Teilen Geschrieben 29. Dezember 2003 Aber "christl" wird es ja nun besser machen! :) Bestimmt. Ich hoffe nur, man läßt sie (oder ihn?) auch machen und gibt Unterstützung. :wink2: Damian Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.