Hallo lieb Gemeinde,

ich habe folgendes Problem: Wir haben auf unserem Windows Server ein Tool laufen per PHP und was alles dazugehört. Dieses ist Programmtechnisch gesehen auch vom Netz getrennt. Umleitung auf externe Homepage wenn die IP Adresse nicht stimmt. Ich hatte in letzter Zeit mit TCPView beobachtet das durch den System Idle Prozess im Sekundentakt neue Ports geöffnet werden die anschließend auf "TIME_WAIT" stehen. Sind alle Ports durch dann fängt er wieder von vorn an. Und das immer und immer wieder. Festgestellt habe ich das ganze mit PHP da dort des öffteren folgende Fehlermeldung kommt: "Normalerweise darf jede Socketadresse (Protokoll, Netzwerkadresse oder Anschluss) nur jeweils einmal verwendet werden". Dazu muss ich sagen das der Server xxx.xxx.xxx.248 mit einem bei uns internen anderen Server kommunizieren will. xxx.xxx.xxx.199 (also die TCP Verbindungen). Das finde ich äußerst komisch. Ich habe den IIS auch schon komplett abgeschalten und beobachtet das es vielleicht an einer Schleife liegt, aber nichts es werden immer mehr "Wartende Verbindungen" erstellt.
Die Verbindungen sind alle zusammen an den MsSql Server gerichtet.
Ich bin mir nicht sicher ob ich mit dem Thema hier richtig bin...

Ich habe mal Malware Bytes laufen lassen und das ist das Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 20.04.2016
Suchlaufzeit: 09:57
Protokolldatei: malware.txt
Administrator: Ja

Version: 2.2.1.1043
Malware-Datenbank: v2016.04.20.02
Rootkit-Datenbank: v2016.04.17.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows Server 2012 R2
CPU: x64
Dateisystem: NTFS
Benutzer: xxx

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 716912
Abgelaufene Zeit: 9 Min., 16 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 1
Hijack.FolderOptions, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoFolderOptions, 1, , [c151664b0f8a2c0a8eee9a05cb38c13f]

Registrierungsdaten: 14
PUM.Optional.NoChangingWallpaper, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ACTIVEDESKTOP|NoChangingWallPaper, 1, Gut: (0), Schlecht: (1),,[38daf2bff2a7f6400d6e7ac6e71e5ea2]
PUM.Optional.DisableMCProperties, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoPropertiesMyComputer, 1, Gut: (0), Schlecht: (1),,[ef23e0d1b5e41e18eb7658e810f538c8]
PUM.Optional.NoFolderSetHijack, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoSetFolders, 1, Gut: (0), Schlecht: (1),,[a66c159c8a0f72c41680bd838580d62a]
PUM.Optional.ExpNoClose, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoClose, 1, Gut: (0), Schlecht: (1),,[91818031cdcc3df9116461dfe81d1fe1]
Hijack.Tray, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoTrayItemsDisplay, 1, Gut: (0), Schlecht: (1),,[ef234968158452e4f2e742f8986d4eb2]
PUM.Optional.NoDispAppearancePage, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispAppearancePage, 1, Gut: (0), Schlecht: (1),,[65addfd2900946f089f5330de81da957]
PUM.Optional.NoDispScrSavPage, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Gut: (0), Schlecht: (1),,[64ae48691d7c0a2c641f70d034d15da3]
PUM.Optional.DisableRegistryTools, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|DisableRegistryTools, 1, Gut: (0), Schlecht: (1),,[af638f229dfc49ed9dc851ef46bf03fd]
PUM.Optional.ConnectionControlRestriction, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\POLICIES\MICROSOFT\INTERNET EXPLORER\CONTROL PANEL|ConnectionsTab, 1, Gut: (0), Schlecht: (1),,[060c06ab2871e94db0ad231d8a7b3fc1]
PUM.Optional.HomepageControl, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\POLICIES\MICROSOFT\INTERNET EXPLORER\CONTROL PANEL|HomePage, 1, Gut: (0), Schlecht: (1),,[5cb6f2bffa9f5dd91e5b4ff19f6622de]
PUM.Optional.DisableCMDPrompt, HKU\S-1-5-21-1213961075-1700801304-3814984917-3113\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SYSTEM|DisableCMD, 2, Gut: (0), Schlecht: (2),,[7f937839bedbfb3be57ba49c2adb7090]
PUM.Optional.HomepageControl, HKU\S-1-5-21-1213961075-1700801304-3814984917-3159\SOFTWARE\POLICIES\MICROSOFT\INTERNET EXPLORER\CONTROL PANEL|HomePage, 1, Gut: (0), Schlecht: (1),,[9280dfd2d4c584b2da9f73cdfe07c43c]
PUM.Optional.HomepageControl, HKU\S-1-5-21-1213961075-1700801304-3814984917-3160\SOFTWARE\POLICIES\MICROSOFT\INTERNET EXPLORER\CONTROL PANEL|HomePage, 1, Gut: (0), Schlecht: (1),,[29e98e23e8b186b07801b789ac59ab55]
PUM.Optional.HomepageControl, HKU\S-1-5-21-1213961075-1700801304-3814984917-500\SOFTWARE\POLICIES\MICROSOFT\INTERNET EXPLORER\CONTROL PANEL|HomePage, 1, Gut: (0), Schlecht: (1),,[b65c08a9fc9d5ed8e89147f99b6abe42]

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
         

Meine Hoffnung ist ein wenig das es sich um irgendso ein Viehzeug handelt das dies ständig auslöst. ich hoffe Ihr könnt mir helfen. Vielen Dank schon mal

moin

Zitat:

Zitat von MVieweger

Dieses ist Programmtechnisch gesehen auch vom Netz getrennt.

Wie genau soll das gehen? Was verstehst du darunter, ein Script vom Netz zu trennen? Und was ist mit Netz gemeint, Netzwerk? Dein lokales Netz, Internetzugang oder die DMZ?

Zitat:

Zitat von MVieweger

Umleitung auf externe Homepage wenn die IP Adresse nicht stimmt.

????

Zitat:

Zitat von MVieweger

Dazu muss ich sagen das der Server xxx.xxx.xxx.248 mit einem bei uns internen anderen Server kommunizieren will. xxx.xxx.xxx.199 (also die TCP Verbindungen). Das finde ich äußerst komisch. Ich habe den IIS auch schon komplett abgeschalten und beobachtet das es vielleicht an einer Schleife liegt, aber nichts es werden immer mehr "Wartende Verbindungen" erstellt. ich bin mir nicht sicher ob ich mit dem Thema hier richtig bin...

Was soll daran genau denn komisch sein? Es ist je nach Konfig üblich, dass Server untereinander kommunizieren.
Da du hier aber nicht mitteilst was genau der Server eigentlich machen soll, außer IIS ist das hier ziemlich

Zitat:

Zitat von MVieweger

Ich habe mal Malware Bytes laufen lassen und das ist das Ergebnis

Die Funde sehen aus, als wenn MBAM da über Einstellungen die per Gruppenrichtlinien reinkamen, stolpert.

HUHU Cosinus,

ich kann mich wahrscheinlich nicht so pralle ausdrücken. Es ist so. Wir haben bei uns hier ein eigenes Firmennetzwerk das feste IP Adressen hat. Jede Filiale hat einen Adressraum. Nur zugelassene Adressräume dürfen das Tool benutzen. Wir haben dazu ein Modul Programmiert das über Header Informationen und so weiter erkennt ob es ein PC aus intern oder extern der Firma ist. Das ganze hatte ich gemeint mit vom Netz getrennt. Das ganze hat dann zufolge das IP Adressen die keine Berechtigung haben auf unsere offizielle Homepage geleitet werden und das Tool nicht benutzen dürfen. Jetzt??

Zitat:

Was soll daran genau denn komisch sein? Es ist je nach Konfig üblich, dass Server untereinander kommunizieren.
Da du hier aber nicht mitteilst was genau der Server eigentlich machen soll, außer IIS ist das hier ziemlich

Und zwar soll PHP schon mit mssql kommunizieren, jedoch sollen nicht im Sekunden Takt Wartende Ports geöffnet werden. Das ist so nicht gewollt und auch eher ungewöhnlich. Für jeden benutzer wird eine Verbindung per mssql geöffnet die dann auch bestehen bleibt. Nutzer sind es rund 10. Verbindungen die Wartend vorhanden sind mehr als 1300 Stück per TCP.

Zitat:

Die Funde sehen aus, als wenn MBAM da über Einstellungen die per Gruppenrichtlinien reinkamen, stolpert.

Jetzt wo du es sagst kann dies möglich sein...

Ich glaube nicht, dass irgendwer dir über ein Forum einfach so weiterhelfen kann. Dafür ist vieles einfach zu schwammig-unklar.

Was soll dieser komische Ansatz mit dem Script? Seit wenn löst man Firewall/Paketfilter Jobs durch ein selbstgebasteltes Script? Auch webserver selber haben eine Funktion mit der man den Zugriff verwalten kann.

Wer hat sich die Kram ausgedacht? Bist du der Admin da oder hast du jetzt die dankbare Aufgabe dich um sowas zu kümmern weil kein Geld für einen IT'ler da ist?

Fragen über Fragen...
Ok wenn es zu schwammig ist dann muss ich anderweitig sehen das ich das ganze in den Griff bekomme. Es gibt doch einige Ansätze an Lösungswegen... und ja ich habe das Übernommen. Nichts desto trotz Danke ich für deine Hilfe...

Naja was heißt zu schwammig. Du hast hier kein "Standard-Problem" wie Malware/Junkware/Adware sondern Probleme durch euer komisches Konzept, selbstgebastelte Scripte und vllt gar eklatante Sicherheitsprobleme durch fehlende Firewalls oder schlechten Konfigs davon. Sowas lässt sich nicht mit den gängigen Anti-Malware Tools aufdecken. Die sind dafür da, Einzelplatzsysteme auf Malware zu checken und zu bereinigen, aber grundsätzliche Probleme in euren Konzepten sind Aufgabe des Admins dieser Systeme.

Dass man mit einem selbstgebastelten Script eine Firewall nachäffen will hab ich so noch nie gehört und ich denke das hat auch nicht wirklich was mit professionellen/gewerblichen genutzten IT-Systemen zu tun.

Ihr habt doch sicherlich Kunden, ihr müsst die Datenintegrität sicherstellen, ihr müsst einen gewissen Grad Security haben und garantieren damit Kunden- oder ähnlich sensible Daten nicht einfach so in die Hände von Kriminellen gelangen!

Also das Tool beinhaltet keine Daten die mit dem Kunden was zu tun haben. Da drin werden nur Auto Daten gepflegt, wie hat es Klima und solche Informationen. Das Tool ist außerdem ein Bruchteil dessen was es in der Firma noch so gibt an Programmen. Das Tool war damals auf einem externen Server ausgelagert und deshalb die Programmierung. Man könnte jetzt das ganze etwas entschärfen indem man es umbaut. Die Domain ist ja von außerhalb nicht mehr zu finden, sodass dieses ja schon gegeben ist. Nur noch im Firmennetzwerk. Hatte ich vergessen zu erwähnen. Von daher ist alles gut. Ich hab es wohl falsch erklärt am Anfang.