Hi Allerseits,

Ich bin "trojanermässig" ein Neuling und poste das erste mal hier.
Facts: vorige woche hatten wir offensichtlich einen Eindringling in unserem System (W2k Srv+ 10 Clients). Wir hatten permanenten Datenfluß (59kB) nach auswärts. Der ISP Admin checkte mit mir das das FTP Daten(allerdings über permanent wechselnde ports) nach Dänemark (IP !!)fließen. Ich hab über den Router geblockt und weg war der Spuk, aber !!!

Diese Directories fand ich in unseren FTP server:
Wenn ich die Directories aneinanderreihe sieht es so aus:

X:\FTP\ \%d ;T@ggeD; % \bY\Jurk-Off\%d ;prn. filled ; % \bY\ Cyrus \ for 420\ \02.13.03.Extreme.Ops.DVDrip.XviD-PosTX
oder

X:\FTP\ \%d ;T@ggeD; % \bY\Jurk-Off\%d ;prn. filled ; % \bY\ Cyrus \ for 420\ \02.13.03.Swimfan.DVDRip.XViD-DVL\Vobsubs\[100%]-[Complete]-1_Files-[Or-Check]

erst in den letzten beiden directories sind viele daten und ge-rar-te files drinn.

Wer kennt das, was macht der?? Gibts noch wo eine Task ??
Weder trojan check 6 noch KAV (aktuelles Update)machen einen Muckser.??

mit Gruß (und Hoffnung auf Info) aus wien

Gerry

hmm sieht eher nach einem P2P Programm aus. Also Donkey oder MlDonkey.

Will mal einer Idee auf den Grund gehen. haben Anonyme User bei euch zugriff auf den FTP oder so? Denn was auch sein kann, das euer FTP als WarezFTP missbraucht wurde. ABER das kann ich nicht sagen.. Ist nur einen idee.....

[ 20. Februar 2003, 14:26: Beitrag editiert von: Lucky ]

War wohl mehr ein Hacker, der eine Systemschwachstelle genutzt hat, wenn KAV nichts mehr findet. Wobei man fragen muß, ob du alle PC am Netzwerk gescannt hast.
Bei den Daten scheint es sich den Verzeichnissen nach um (illegale) DVD Rips zu handeln, die jemand auf das System gesetzt hat, um sie dann via Netz von anderen Downloaden lassen zu können.(Solche Attacken scheinen immer regelmäßiger aufzutauchen, vor allem bei Servern mit konstanter INet-Verbindung. Die DVDKopierer brauchen Platz, wollen aber keinen Traffic. So brechen sie in Systeme ein und nutzen deren Traffic, was teuer werden kann. Für den Serverbetreiber. So können günstige Server plötzlich durch bis zu 100G Traffic am Tag sehr teuer werden.)
Das weist auf eine Schwachstelle eines der PCc am Netzwerk hin. Alle Sicherheitrelevanten Windows-Updates gemacht? Alles sicher eingestellt? Es scheint nicht so...
Ich würde auch Anzeige erstatten, da jemand bei euch illegale Daten gebunkert hat und ihr sonst selber angezeigt werden könnten. (Die Serverlogs dürften die StA interesieren)

Para

[ 20. Februar 2003, 14:28: Beitrag editiert von: Paranoia ]

hehe da hat der Para doch die selbe Idee gehabt wie ich. [img]smile.gif[/img]

Wenn euer FTP Server ein Unix System ist. Dann lass mal euren Admin schauen, was da so an Diensten läuft. ps -A zeigt die an....

Para meint mit StA die Staatsanwaltschaft....
@para
SCNR

[ 20. Februar 2003, 14:30: Beitrag editiert von: Lucky ]

Wobei ich nicht von Filesharing ausgehe, sondern vom (Raub-)Anlegen eines FTP-Downloades....
Para

</font><blockquote>Zitat:</font><hr />Original erstellt von Lucky:
...
Wenn euer FTP Server ein Unix System ist.
...</font>[/QUOTE]lucky, geh mal bitte zum optiker *g*

an zwei aussagen kannst du erkennen, dass die grundlage ein windows-system ist...

anhaltspunkt 1: die pfadangabe (seit wann gibt es unter unix laufwerksbuchstaben)

anhaltspunkt 2: 3 zeile von oben - das in der klammer (w2k server + 10 clients)... *g*

*SCNR*

[edit]
nachtrag: wie kommst du eigentlich auf filesharing?

para's vermutung mit dem unbefugten eindringen/benutzen des ftp-servers trifft hier zu...
[/edit]

[img]graemlins/teufel3.gif[/img]

[ 20. Februar 2003, 14:40: Beitrag editiert von: n_dot_force ]

ups was peinlich... Ich sollte mal lesen... [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img]

Also ich habe einfach nur geraten. Da ich da DVDRip im Dateinamen gelesen hatte. Da mit dem FTP "missbrauch" kam mir nach dem absenden, daher auch der edit...

Und ausserdem sagen Buchstaben nichts aus... *fg* Wenn man ein verbundenes Laufwerk anlegt(unter Windows) dann erhalten diese ja einen Buchstaben....

[ 20. Februar 2003, 14:45: Beitrag editiert von: Lucky ]

[offtopic]
</font><blockquote>Zitat:</font><hr />Original erstellt von Lucky:
...
Wenn man ein verbundenes Laufwerk anlegt(unter Windows) dann erhalten diese ja einen Buchstaben.
...</font>[/QUOTE]lucky, red dich jetzt nicht raus...

spätestens der 2. anhaltspunkt entkräftet deine "unix-vermutung"... *g*
[/offtopic]

[img]graemlins/teufel3.gif[/img]

na gut na gut.. Ich gib mich geschlagen *fg*

Hallo!

Falls ihr einen W2KServer laufen habt solltet
ihr nach Logins schauen, die kein PW verlangen
und auf root zugreifen koennen, das koennte zb anonymous sein. Und das dann natuerlich aendern.
Wenn nicht, PW des Admins aendern und wenn gewuenscht zusaetzlich Netbios nach aussen
blocken.

Zusaetzlich solltet ihr euren IIS updaten,
denn falls die Standardversion installiert ist,
gibt es viele Bugs, die einem Angreifer ermoeglichen
in euer System einzudringen.

gruß

Im Winserver Forum gibt es ein kleines How-To zur Absicherung von( Web-) Windows 2000 Server Servern(sieht komisch aus, aber ein server auf dem Win 2000 Server läuft heißt so, oder ):
Win-Server Forum: Erfahrungen und Tipps mit dem Winserver
Zwar geht es da um die Absicherung von 1und1 Win2000-servern, aber es läßt sich sicherlich einiges übertragen.
Para

[ 20. Februar 2003, 16:36: Beitrag editiert von: Paranoia ]