Scherbe 10 Geschrieben 8. Juni 2005 Melden Teilen Geschrieben 8. Juni 2005 Hi, ich habe ein ganz großes Probem und zwar habe ich bei einem NT 4-Server (Service Pack 6) ein Internet-Update gemacht. Er hat sich knapp 24MB geladen und nach der Installation zum Neustart aufgefordert. Seit dem macht der Server immer nen Neustart... er kommt so weit, dass er mir den blauen Bildschirm zeigt, wo oben in weißer Schrift der Name des Betriebssystems und der Prozessor angezeigt wird. Dann, wo er eigentich auf die Anmeldung wechseln müsste macht er nen Neustart :( Keine Fehlermeldungen, nix ... kann mir jemand sagen, was ich jetzt machen kann (ausser Neuinstallation) ... bitte ich muss an die Daten kommen oder besser noch ich brauch den wieder funktionsfähig. MfG Scherbe Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 8. Juni 2005 Melden Teilen Geschrieben 8. Juni 2005 Ist natürlich etwas verzwickt. Du hast dir vermutlich auch nicht die Patch-Nummern notiert sondern ein Express-Update durchgeführt? Was ist mit einem Bluescreen? Kommt da nix? Du musst an die Daten... keine Sicherung? Sonst die Platte in einen anderen Win-PC reinhängen. Grüße Olaf Zitieren Link zu diesem Kommentar
macabros 10 Geschrieben 8. Juni 2005 Melden Teilen Geschrieben 8. Juni 2005 hi, man ist der Mensch vergesslich, gab es jetzt oder nicht aber wenn ja probiers doch einfach mal den "abgesicherten Modus"!? NT4 ist ne ganz üble Geschichte wenn das Teil abraucht... Ansonsten die Daten retten so wie Olaf schon beschrieben... greez MacabroS Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 8. Juni 2005 Melden Teilen Geschrieben 8. Juni 2005 Hallo erstmal "Keine Fehlermeldungen, nix ... kann mir jemand sagen, was ich jetzt machen kann (ausser Neuinstallation) ... bitte ich muss an die Daten kommen oder besser noch ich brauch den wieder funktionsfähig." was den was den ... haben wir da etwa ein Backup vergessen ... @ macabros der abgesichterte Modus bei NT bezieht sich auf VGA, ich glaub nicht das es reicht ... ;) eine Möglichkeit gibt es da noch ... eine Reparatur Inst ... mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
Scherbe 10 Geschrieben 9. Juni 2005 Autor Melden Teilen Geschrieben 9. Juni 2005 Jap, derjenige, der den Rechner betreut hatte hat natürlich keine Notfalldisketten angelegt... naja, nun ist es eh zu spät dafür. Also Fehlermeldungen kamen wirklich keine und auch kein Bluescreen usw. er hat einfach immer wieder nen Neustart gemacht. Nun habe ich in meinem jugendlichen Leichtsinn versucht per CD zu "reparieren" und das ohne Notfalldisketten. Der NT-Server hatte leider Service Pack 6 drauf. Nach dem Reparaturvorgang wars auf einmal wieder SP1 :( ... beim Neustart kommt jetzt wenigstens nen Bluescreen (was für ein Erfolg :rolleyes: ) ... mit der Fehlernummer 000021a Tja, Platte woanders reinhängen ist leider nicht so leicht... es ist ein Compaq-Server und hat Wide Ultra3 -Platten drin aber nirgendwo hier gibt es noch nen Server der den Controller hat. Die Windowsinstallation kann ich wohl abhaken... ich versuch jetzt erstmal in den Server einen IDE-Controller reinzustecken und ein System auf ener IDE-Platte zu installieren, evtl. komm ich so wenigstens an die Daten. Tja, über 2 Jahre lief der Server ohne dass ihn jemand angefasst hat und erst als er von Crackern als Angriffsserver (DDOS-Attacke) genutzt wurde, ist er wieder ins Rampenlicht getreten. Den Virus, die IRC-Tools und auch den FTP-Server hab ich alle runter bekommen (zumindest lief der Server nach dem Entfernen noch) und die Sicherheitspatches von MS haben ihm das Genick gebrochen... vieleicht besser so, so bin ich gezwungen alles neu zu installieren und gehe so evtl. Backdoors aus dem Weg. THX für Hilfsversuche. MfG Scherbe Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 9. Juni 2005 Melden Teilen Geschrieben 9. Juni 2005 Hallo Scherbe also um an die Daten ranzukommen kann man sich ja ein Windows auf CD brennen. (Das CD Rom sollte bootfähig sein) Wichtig: wennn du NT neu Installierst und dann fertig bist Rettungs Disketten nicht vergessen ... ;) mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 9. Juni 2005 Melden Teilen Geschrieben 9. Juni 2005 Tja, über 2 Jahre lief der Server ohne dass ihn jemand angefasst hat und erst als er von Crackern als Angriffsserver (DDOS-Attacke) genutzt wurde, ist er wieder ins Rampenlicht getreten. Den Virus, die IRC-Tools und auch den FTP-Server hab ich alle runter bekommen Na dann auf jeden Fall neu installieren! Du kannst NIE sicher sein, dass du alle Hacker-Tools erwischt hast bei der Säuberung. Der Server ist und bleibt kompromittiert, solange du ihn nicht neu installierst. TIP: Wenn wieder alles neu ist, mach ein Image von der Systempartition, spart dir im Wiederholungsfall einige Stunden Arbeit. Grüße Olaf Zitieren Link zu diesem Kommentar
Scherbe 10 Geschrieben 21. Juni 2005 Autor Melden Teilen Geschrieben 21. Juni 2005 So, die Sache ist nu auch erledigt... ich weiß, dass eine Neuinstallation notwendig war, weil ich nie wissen kann ob evtl. noch ein Rootkit drauf ist oder sonstwas. Zudem habe ich bei meinen Recherchen ne Menge über den Typen gelernt, der sich den Server gekrallt hat. Dinge, die mir am Anfang nicht aufgefallen sind... So ungefähr hat es sich abgespielt: 1.) HackerDefender073 hat das System infiziert 2.) Eine Datei IIS-Exploit wurde kurz danach eingeschleust und ausgeführt (habe ich in den Log-Files auslesen können) 3.) Diverse Scripte wurden installiert um Funktionen wie FTP-Server und Mailserver zu starten/einzurichten 4.) (mal was ganz freches) ... in den FTP-Begrüßungsscripts steht drin "Füllt die Platte nicht zu sehr", "Viel Spaß beim Download" usw. 5.) Ein Fernwartungstool wurde installiert (Remote Anything) 6.) Diverse Scripte um evtl. Firewalls und Antivirenprogramme (lokal) zu deaktivieren wurden installiert (dabei wurden alle mir bisher bekannten Proggis berücksichtigt) 7.) IRC Client (mIRC) wurde installiert mit diversen Scripten um fast alles bewerkstelligen zu können. DDOS-Attacken, SYN-Flood, Pings usw. Was ich irgendwie noch erwartet hab, wäre dass er das Admin-PW ändert... das hätte dem ganzen die Krone aufgesetzt. Was man bei sowas zuerst tun sollte: 1.) Die IP, an die die DDOS-Attacke ging sofort in der Firewall sperren (in diesem Fall war es ein Forum in arabischer Schrift... kann leider nicht die Sprache, weswegen ich auch nicht weiß was das für ein Forum ist.) 2.) Server vom Netz getrennt Letzentlich durfte ich den Server neu aufsetzen (natürlich diesmal mit allen Sicherheitspatches und Notfallsicherungen) ... ;) Intesessante Erfahrung muss ich abschließend sagen. Obwohl meine Suche noch nicht vorbei ist... ich hab wie gesagt ne Menge erfahren... hehe, da werd ich noch weiterstochern. MfG Scherbe Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 21. Juni 2005 Melden Teilen Geschrieben 21. Juni 2005 Hallo Scherbe eine Frage würde mich noch interessieren, wie war (ist) den dieses Netzwerk aufgebaut ? wo stand den der srv imm Netzwerk und mit welcher aufgabe ? mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
Scherbe 10 Geschrieben 21. Juni 2005 Autor Melden Teilen Geschrieben 21. Juni 2005 Der Server hat eigentlich seine eigene Domäne aufgebaut gehabt... und ist über eine extrerme Firewall ins Internet gegangen - IIS 4.0 (Bereitstellen von Informationen mit Zusatztools Map-Services) Genaue Infos über welche Seite oder IP er zu erreichen war (bzw. nun wieder ist), darf ich nicht weitergeben... MfG Scherbe Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 21. Juni 2005 Melden Teilen Geschrieben 21. Juni 2005 nene genaue Infos wollt ich garnicht. aber da er ja angegriffen worden ist hat mich Interessiert wo er steht quasi Intern, Perimeter oder Extern bzw. die aufgabe die er hat um zu verstehen wo er eigentlich rein sollte. cu holgi :) Zitieren Link zu diesem Kommentar
Scherbe 10 Geschrieben 22. Juni 2005 Autor Melden Teilen Geschrieben 22. Juni 2005 Also im Prinzip: - Aufgabe: Webserver (IIS) - war und ist (jetzt neu) weiterhin über eine feste IP erreichbar, davor war ne Externe Firewall (die mich dann eben auch durch ihre Logs auf die DDOS-Attacke hingewiesen hat... so 2500 Mails von der Firewall (sie konnte leider nicht mehr als 2048 gleichzeitige Verbindungen verwalten) an einem WE erwartet man eigentlich nicht ;) ) geschaltet MfG Scherbe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.