Jump to content

winlogon.exe - port 83


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Geschrieben

moinmoin

 

weiß jemand warum die winlogon.exe seit heute den port 83 aufgemacht hat?

beim portscan steht beim port "enter password".

 

Windows NT-Anmeldung (C:\WINDOWS\system32\winlogon.exe
TCP: mit-ml-dev (83)

^^aus der firewall^^

 

cya

trojan

Geschrieben
windows 2003 server standard, windows update wüsste ich jez nicht... viren sollten keine drauf sein... laut AVG, panda online scan und trendmicro online scan

hast du sonst was neues installiert? Steht irgendwas im eventlog? Schau mal wann die winlogon das letzte mal geändert wurde!

Geschrieben

ein "toller" kumpel hat sich den spaß gemacht und eine remote-shell draufgehauen... wie er das gemacht hat will er mir aber nicht sagen... zugriff auf den server hat er auf jedenfall nicht... also muss er irgendwie anders reingekommen sein... nur wie?!

 

wenn man sich mit putty im raw-mode auf port 83 connected hat musste man ein pwd eingeben und schwupp hatte man die shell vor sich... :shock: :eek:

 

thx zahni für die progs :) scheinen zu klappen, bis auf das rootkitrev :( "must be run from the console" ... habs von der console gestarte, da kommt das gleiche...

 

winlogon.exe > Erstellt, Geändert > Freitag, 25. März 2005, 13:00:00

Dateiver. : 5.2.3790.1830 (srv03_sp1_rtm.050324-1447)

die läuft zweimal , einmal mit 7mb ram und einmal mit 2,5mb ram...

 

spybot rennt, werd wenn er was findet hier rein editieren

 

[

Advertising.com - 9 Einträge

Avenue A, Inc - 1 Eintrag

DoubleClick - 1 Eintrag

FastClick - 1 Eintrag

MediaPlex - 1 Eintrag

ValueClick - 1 Eintrag

] sind nur tracking-cookies, also nix weltbewegendes

 

was haltet ihr von der tiny prof. firewall ? hab die zZ drauf um die connections zu sehen.

 

danke für eure hilfe... kann sich den server mal jemand genauer von außen anschauen ob es wege gibt reinzukommen? wäre sehr nett, weil ich bin mit meinem latein am ende :(

 

cya

trojan

Geschrieben

neuer tag neues glück ;) ich hoffe pushen ist hier erlaubt ;)

 

kennt sich hier jmd php aus? ich hab was auf meinem server gefunden....

 

http://212.112.249.4/about.php < eine remote-shell auf php basis... hab den php-parser im apache abgestellt, wenn ihr das file testen wollt, müsst ihr nur den pass ändern, den hab ich leider nicht :( , und auf euren space legen (windows?)...

 

cya

trojan

 

ach, (edit!) ist es eigentlich möglich einzelne Logs aus der Eventlog zu löschen?

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...