dcdiag schwerwiegende fehler am dc w 2003

[rdsbonn 10]

Hallo liebe Forumsteilnehmer.

 

Wir haben auf unserem PDC schwerwiegende Fehler seitdem sich ein ****ing Trojaner breitmachte. Darf man so Hacker eigentlich erschießen?

 

Nun zum Problem:

 

rpc server antwortet nicht.

 

ich mache dcdiag mit folgendem Ergebnis:

 

C:\>dcdiag

 

Domain Controller Diagnosis

 

Performing initial setup:

Done gathering initial info.

 

Doing initial required tests

 

Testing server: de-53113-adenaueralle77\SERVER001

Starting test: Connectivity

The host 2ff435a2-1e6b-4d80-804b-f6624013aef3._msdcs.eurojuridicumag.lo

cal could not be resolved to an

IP address. Check the DNS server, DHCP, server name, etc

Although the Guid DNS name

(2ff435a2-1e6b-4d80-804b-f6624013aef3._msdcs.eurojuridicumag.local)

couldn't be resolved, the server name

(server001.eurojuridicumag.local) resolved to the IP address

(192.168.10.21) and was pingable. Check that the IP address is

registered correctly with the DNS server.

......................... SERVER001 failed test Connectivity

 

Doing primary tests

 

Testing server: de-53113-adenaueralle77\SERVER001

Skipping all tests, because server SERVER001 is

not responding to directory service requests

 

Running partition tests on : ForestDnsZones

Starting test: CrossRefValidation

......................... ForestDnsZones passed test CrossRefValidation

 

Starting test: CheckSDRefDom

......................... ForestDnsZones passed test CheckSDRefDom

 

Running partition tests on : DomainDnsZones

Starting test: CrossRefValidation

......................... DomainDnsZones passed test CrossRefValidation

 

Starting test: CheckSDRefDom

......................... DomainDnsZones passed test CheckSDRefDom

 

Running partition tests on : Schema

Starting test: CrossRefValidation

......................... Schema passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... Schema passed test CheckSDRefDom

 

Running partition tests on : Configuration

Starting test: CrossRefValidation

......................... Configuration passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... Configuration passed test CheckSDRefDom

 

Running partition tests on : eurojuridicumag

Starting test: CrossRefValidation

......................... eurojuridicumag passed test CrossRefValidatio

n

Starting test: CheckSDRefDom

......................... eurojuridicumag passed test CheckSDRefDom

 

Running enterprise tests on : eurojuridicumag.local

Starting test: Intersite

......................... eurojuridicumag.local passed test Intersite

Starting test: FsmoCheck

......................... eurojuridicumag.local passed test FsmoCheck

 

C:\>

 

 

wer weis rat?

 

Vielen Dank,

Daniel

[rdsbonn 10]

sorry, aber da fehlt das netdiag:

 

C:\>netdiag

 

......................................

 

Computer Name: SERVER001

DNS Host Name: server001.eurojuridicumag.local

System info : Windows 2000 Server (Build 3790)

Processor : x86 Family 15 Model 2 Stepping 7, GenuineIntel

List of installed hotfixes :

KB898715

Q147222

 

 

Netcard queries test . . . . . . . : Passed

GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED]

[WARNING] The net card 'WAN-Miniport (IP) - Paketplaner-Miniport' may not be

working because it has not received any packets.

GetStats failed for 'WAN-Miniport (PPTP)'. [ERROR_NOT_SUPPORTED]

GetStats failed for 'WAN-Miniport (PPPOE)'. [ERROR_NOT_SUPPORTED]

[WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has

not received any packets.

GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED]

 

 

 

Per interface results:

 

Adapter : onboard-intern01

 

Netcard queries test . . . : Passed

 

Host Name. . . . . . . . . : server001

IP Address . . . . . . . . : 192.168.10.21

Subnet Mask. . . . . . . . : 255.255.255.0

Default Gateway. . . . . . : 192.168.10.1

Dns Servers. . . . . . . . : 192.168.10.1

192.168.10.21

 

 

AutoConfiguration results. . . . . . : Passed

 

Default gateway test . . . : Passed

 

NetBT name test. . . . . . : Passed

 

WINS service test. . . . . : Skipped

There are no WINS servers configured for this interface.

 

 

Global results:

 

 

Domain membership test . . . . . . : Passed

 

 

NetBT transports test. . . . . . . : Passed

List of NetBt transports currently configured:

NetBT_Tcpip_{8E2933C4-00EA-4618-BF20-550682EF48CB}

1 NetBt transport currently configured.

 

 

Autonet address test . . . . . . . : Passed

 

 

IP loopback ping test. . . . . . . : Passed

 

 

Default gateway test . . . . . . . : Passed

 

 

NetBT name test. . . . . . . . . . : Passed

 

 

Winsock test . . . . . . . . . . . : Passed

 

 

DNS test . . . . . . . . . . . . . : Failed

[WARNING] Cannot find a primary authoritative DNS server for the name

'server001.eurojuridicumag.local.'. [RCODE_SERVER_FAILURE]

The name 'server001.eurojuridicumag.local.' may not be registered in

DNS.

[WARNING] The DNS entries for this DC are not registered correctly on DNS se

rver '192.168.10.1'. Please wait for 30 minutes for DNS server replication.

[WARNING] The DNS entries for this DC are not registered correctly on DNS se

rver '192.168.10.21'. Please wait for 30 minutes for DNS server replication.

[FATAL] No DNS servers have the DNS records for this DC registered.

 

 

Redir and Browser test . . . . . . : Passed

List of NetBt transports currently bound to the Redir

NetBT_Tcpip_{8E2933C4-00EA-4618-BF20-550682EF48CB}

The redir is bound to 1 NetBt transport.

 

List of NetBt transports currently bound to the browser

NetBT_Tcpip_{8E2933C4-00EA-4618-BF20-550682EF48CB}

The browser is bound to 1 NetBt transport.

 

 

DC discovery test. . . . . . . . . : Passed

 

 

DC list test . . . . . . . . . . . : Passed

 

 

Trust relationship test. . . . . . : Skipped

 

 

Kerberos test. . . . . . . . . . . : Passed

 

 

LDAP test. . . . . . . . . . . . . : Passed

 

 

Bindings test. . . . . . . . . . . : Passed

 

 

WAN configuration test . . . . . . : Skipped

No active remote access connections.

 

 

Modem diagnostics test . . . . . . : Passed

 

IP Security test . . . . . . . . . : Skipped

 

Note: run "netsh ipsec dynamic show /?" for more detailed information

 

 

The command completed successfully

 

C:\>

[PIC 11]

Hallo rdsbonn,

 

wenn Du sicher bist, dass Euer Produktiv-PDC gehackt wurde - dann mach ihn neu! Um die Domäne funktionsfähig zu erhalten, kommt es jetzt auf sorgfältige Planung an.

 

Wann wurde der Rechner gehackt - gibt es eine saubere Sicherung? Habt Ihr weitere DCs laufen - und sind die noch sauber? Wenn ja, hast Du eine gute Basis, den PDC schlicht zu demoten und das System neu zu installieren, weil die AD durch die Replikation erhalten wird.

 

Ein einmal von Trojanern kompromittiertes System ist grundsätzlich nicht mehr als sicher zu betrachten. Ich sehe keine Alternative - das wäre viel zu gefährlich. Ich verweise ansonsten mal auf meinen Beitrag HIER und die zitierten Threads, falls Du noch zögerst, die Neuinstallation in Angriff zu nehmen.

 

Gruss Jan

[rdsbonn 10]

also der server wurde bereits 2003 aufgesetzt. es wurde auch ein exchge 2k3 drauf installiert.

 

zur zeit muss er also repariert werden, erst ab august gibt es neu server.

 

ich bin mir aber 100 %ig sicher, das alle trojaner entfernt wurden. der rechner ist bis auf den fehler absolut sauber.

 

er steht zudem hinter einer symantec enterprise firewall, welche im log ein perfektes verhalten bestätigt.

 

einzig der dc spinnt, ich km darauf, weil sich keine rpc mehr starten ließen. der remotedesktop funkt nicht mehr, eine msde ließ sich ebenso nicht installieren.

 

kannst du mir bei dem dns problem helfen?

 

gruß, daniel

[PIC 11]

zur zeit muss er also repariert werden, erst ab august gibt es neu server

Die für das Unternehmen sicherste Reparatur ist die Neuinstallation des DC, und dafür brauchst Du keinen neuen Server. Reparaturen an den bestehenden Symptomen wachsen sich schnell zur Frickelei aus.

 

ich bin mir aber 100 %ig sicher, das alle trojaner entfernt wurden. der rechner ist bis auf den fehler absolut sauber.

Das möchte ich Dir ja gerne glauben, nur vom Sicherheitsstandpunkt aus ist gerade das unklug. Kein Tool findet alles, Du KANNST eben nicht sicher sein. PS: Welche Trojaner hast Du identifiziert und mit welchen Tools? Wann war das? Wie lange waren die auf dem System aktiv, bevor Du die Infektion bemerkt und die Trojaner gelöscht hast?

 

Du schreibst selbst: alle Trojaner - das klingt für mich nach mehrfacher und anwachsender Infektion, wenn ein Hacker sich erst Zugriff verschafft und den dann zügig ausgebaut hat. Das ist also nicht sofort bemerkt worden und der/die Hacker haben sich richtig schön austoben können?

 

er steht zudem hinter einer symantec enterprise firewall, welche im log ein perfektes verhalten bestätigt.

Was heisst denn hier perfektes Verhalten? Keine ungewöhnlichen offenen Ports vielleicht, OK. Hoffentlich aber nicht, dass ein Hackertool z. B. Passwortdumpdateien all Eurer Mitarbeiter über den ganz normalem FTP Port 21 versendet? Bedenke: diese Firewall hat Euch vor dem Angriff nicht schützen können - es sei denn, der Angreifer kam von innen!

 

kannst du mir bei dem dns problem helfen?

Nein, ich sehe nicht, wo es da genau hakt. Ausser Abarbeiten der ganz normalen DNS-Checklisten (gibt's bei Microsoft) als erster Schritt fällt mir im Moment nix ein. Vielleicht hat ja ein anderer unserer User eine Idee dazu.

 

Gruss Jan