5
Hacker war via FTP auf Win2K Server
Hacker Dateien, Ordner können nicht entfernt werden.
Hallo
Ein Hacker war auf meiner Win2K Server Kiste und hat es via IIS FTP Server geschafft Daten hochzuladen. Ziemlich viele
D.h. ganze CDs als WinRar.
Nun gut. Anderer FTP Server statt IIS FTP und er hatte keinen Zugriff mehr. Nur...
jetzt hat es div. Ordner und Unterordner die Sonderzeichen beinhalten. Stöbere ich diese über die Konsole auf so hat es nichts drin? Nur NTBackup hat die Dateien entdeckt und sichert die bösen, bösen CD WinRars. Beispiel:
\\Server\root\domain\html\? & % 345\.tmp\... und so weiter.
Versuche ich den Ordner '? & % 345' zu löschen, erhalte ich die Meldung: "kann nicht gelöscht werden: Die angegebene Datei wurde nicht gefunden.
Toll ist auch, dass ich leer Ordner habe. Versuche ich diese zu löschen, erhalte ich die gleiche Fehlermeldung wie oben. Ich weiss jedoch, dass da diese CDs drin sind.
Hhhhmmm... jemand eine Idee?
Ein Hacker war auf meiner Win2K Server Kiste und hat es via IIS FTP Server geschafft Daten hochzuladen. Ziemlich viele
D.h. ganze CDs als WinRar.Nun gut. Anderer FTP Server statt IIS FTP und er hatte keinen Zugriff mehr. Nur...
jetzt hat es div. Ordner und Unterordner die Sonderzeichen beinhalten. Stöbere ich diese über die Konsole auf so hat es nichts drin? Nur NTBackup hat die Dateien entdeckt und sichert die bösen, bösen CD WinRars. Beispiel:
\\Server\root\domain\html\? & % 345\.tmp\... und so weiter.
Versuche ich den Ordner '? & % 345' zu löschen, erhalte ich die Meldung: "kann nicht gelöscht werden: Die angegebene Datei wurde nicht gefunden.
Toll ist auch, dass ich leer Ordner habe. Versuche ich diese zu löschen, erhalte ich die gleiche Fehlermeldung wie oben. Ich weiss jedoch, dass da diese CDs drin sind.
Hhhhmmm... jemand eine Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 39435
Url: https://administrator.de/contentid/39435
Printed on: April 25, 2024 at 05:04 o'clock
5 Comments
Latest comment
Das hier:
http://www.sysinternals.com/Utilities/RootkitRevealer.html
und das hier:
http://www.f-secure.de/blacklight/
über den IIS schrubben lassen, sollte Dir hoffentlich was anzeigen.
Ich gehe davon aus, daß Du als Domänen-Admin versucht hast, was zu löschen.
Nachdem Du den Rechner gesäubert hast, alle Daten sichern, System neu aufsetzen.
Wer's einmal schafft, hinterläßt meist Hintertürchen, damit er's wieder machen kann
(zumindest würde ich das so machen
)
Lonesome Walker
PS: Falls es kein Rootkit war, nochmal melden...
http://www.sysinternals.com/Utilities/RootkitRevealer.html
und das hier:
http://www.f-secure.de/blacklight/
über den IIS schrubben lassen, sollte Dir hoffentlich was anzeigen.
Ich gehe davon aus, daß Du als Domänen-Admin versucht hast, was zu löschen.
Nachdem Du den Rechner gesäubert hast, alle Daten sichern, System neu aufsetzen.
Wer's einmal schafft, hinterläßt meist Hintertürchen, damit er's wieder machen kann
(zumindest würde ich das so machen
)Lonesome Walker
PS: Falls es kein Rootkit war, nochmal melden...
zunächst mal herzlichen Dank 'Lonesome' 
werde ich tun und mich melden..
Marcel
werde ich tun und mich melden..
Marcel
Hallo
Hatte nun Zeit mich der Sache anzunehmen:
Der RootkitRevealer meldete über 3'000 Kidis und der Blacklight keine versteckte Dateien. Der entsprechende virt. Webserver wurde deaktiviert. Nun bleibt mir nichts anderes, als das System komplett neu aufzusetzen. Habe mich auch über Rootkit ein wenig schlauer gemacht. Anscheinend gibts keinen Scanner der erkennt und beseitigt. Sniff...
Gruss
Marcel
Hatte nun Zeit mich der Sache anzunehmen:
Der RootkitRevealer meldete über 3'000 Kidis und der Blacklight keine versteckte Dateien. Der entsprechende virt. Webserver wurde deaktiviert. Nun bleibt mir nichts anderes, als das System komplett neu aufzusetzen. Habe mich auch über Rootkit ein wenig schlauer gemacht. Anscheinend gibts keinen Scanner der erkennt und beseitigt. Sniff...
Gruss
Marcel
Hi !
Ich würde mir überlegen, falls das technisch bei euch umsetzbar wäre, ggf. auf OpenSSH umzusteigen.
Da bist Du auch das Problem mit dem unverschlüsselten Datentransfer via FTP los.
Ist zwar ein bischen "komplizierter" als FTP, aber dementsprechend auch sicherer.
Hier ne kurze Beschreibung von Open SSH
http://www.dfn.de/content/fileadmin/1Dienstleistungen/GWIN/sonstiges/SS ...
http://www.golem.de/0609/48108.html
Hier die Downloadseite:
http://sshwindows.sourceforge.net/download/
Ich würde mir überlegen, falls das technisch bei euch umsetzbar wäre, ggf. auf OpenSSH umzusteigen.
Da bist Du auch das Problem mit dem unverschlüsselten Datentransfer via FTP los.
Ist zwar ein bischen "komplizierter" als FTP, aber dementsprechend auch sicherer.
Hier ne kurze Beschreibung von Open SSH
http://www.dfn.de/content/fileadmin/1Dienstleistungen/GWIN/sonstiges/SS ...
http://www.golem.de/0609/48108.html
Hier die Downloadseite:
http://sshwindows.sourceforge.net/download/
Hallo wmeis
herzlichen Dank! Gleich zwei Fliegen mit einer Klappe. Suchte nämlich eine sicherere Alternative zu Remotedesktop. Voilà! Getestet habe ich es auf WinXP sowie Server, Notebook. Läuft einwandfrei.
herzlichen Dank! Gleich zwei Fliegen mit einer Klappe. Suchte nämlich eine sicherere Alternative zu Remotedesktop. Voilà! Getestet habe ich es auf WinXP sowie Server, Notebook. Läuft einwandfrei.
