Forum
Tipps
News
Menu-Icon

Rootkit/Trojaner im Netzwerk

Hi,
ich kümmere mich zur Zeit um das Windows-Netzwerk an unserm Institut. Es ist nur eine kleine Workgroup mit zwei Fileservern, einer Windows NT und einer Windows Server 2003. Auf den Servern läuft Sophos Antivirus...bzw lief...

Gestern trat auf einem der XP-Rechner das Problem auf, dass Sophos deaktiviert wurde...es lies sich nicht mehr starten und nicht neu installieren. Die Tastenkombination STRG-ALT-ENTF wurde deaktiviert, der Taskmanager lässt sich jedoch noch über rechtsklick auf die Taskleiste starten.

Eine hijackthis-Durchsuchung gab erstmal nichts auffälliges, außer einer Datei, die ich jetzt nichtmehr im Kopf habe (habe das System ziemlich schnell geplättet...).
Nach mehrmaligen Versuchen mit neuinstalliertem Kaspersky und AntiVir, welche entweder nichts fanden, oder die betroffenen Dateien nicht fixen konnten, hatte ich den McAfee Rootkit Revealer installiert, der mir zeigte, dass lsass.exe und svchost.exe als hidden process liefen. Beim Versuch eines dieser zu terminieren, schlägt das Autoritätssystem an und will den Rechner in 60 Sekunden runterfahren, was ich mit shutdown -a abbrach.

Naja neu aufsetzen war für mich die einzige sinnvolle Lösung, doch dann heute der Clou: auf dem Windows 2003 Server ist Sophos deaktiviert und STRG-ALT-ENTF ebenefals ;)
Auf dem NT-Server "nur" STRG-ALT-ENTF deaktiviert.
Der Virus, Trojaner oder was auch immer breitet sich im gesamten Netzwerk aus und ich habe keine Ahnung wie.

Auf allen Rechner waren Firewall aktiv und neuste Sicherheitspatches und Servicespacks (beim NT-Server bin ich nicht sicher, aber grade der leistet noch den größten Widerstand, wenn Sophos noch läuft ;)

Auf dem 2003 Server habe ich im abgesicherten Modus eine Sophos-Commandline Version von der Sophos-HP drüberlaufen lassen. Sie fand nichts. Wahrscheinlich durch das Rootkit sicher versteckt...

Hat jemand ne Ahnung, mit was ich es zu tun habe? Ist es sinnvoll beide Server neu aufzusetzen? Wie hoch ist die Gefahr für alle anderen Rechner im Netzwerk, wie kann sich das Zeug überhaupt überall einnisten, ohne das eine Benutzereingabe nötig ist (die Server laufen ja einfach und niemand arbeitet dran)?

Achso: Auf dem NT-Rechner läuft der Rootkit-Detective nicht.
Genauere hijackthis-logs oder ähnliches kann ich erst morgen geben, wenn ich wieder vor Ort bin. Lediglich auf den NT-Server hab ich im Moment Remotezugriff, der 2003 Server ist erstmal aus.

Vielen Dank schonmal!
Jan



Antworten zu Rootkit/Trojaner im Netzwerk:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,
also das aufsetzen würde glaubich sehr wohl was bringen ,Den 2. pc am besten auch neu aufsetzen!!Firewall wird benutzt???

Kaspersky firewall ist ziemlich gut aber auch wie eigentlich jede auch zu knacken,Wenn er es wieder umbedingt tuhn will,dann schafft er dass auch,spybot S&D würde ich zusammen mit kaspersky internet security 7.0 laufen lass,bei kaspersky alles auf maximum stellen!!

Sonst weiß ich eigentlich auch keinen rat,

Ich hoffe sir reklov antwortet hier noch (ist der viren fachmann) :)


gruß deniz

Danke für die fixe Antwort.
Also da wir ne Unilizenz für Sophos Antivirus haben und das auch minütlich oder so aktualisiert wird, wird das schon weiter verwendet werden denke ich. Zu ner Neuanschaffung werd ich kaum wen überreden können. Hab auf dem einen Rechner, den ich neu aufgesetzt hab nun Sygate Personal Firewall installiert.
Ich hab nur Angst, dass die Firewall dann ständig den Zugriff auf die Server verbietet, wenn ich dort eine installiere. Das wär ja nicht Sinn der Sache. ;)

Direkt nach Installation des Systems das AV-Prog (und ggf Firewall) einspielen & aktivieren.
Dann erst Update usw machen .Vorsicht vor verseuchten CDs ....
Empfehle , vom sauberen Grundsystem ein IMAGE anzulegen .
 Noch gefunden :
http://www.heise.de/newsticker/meldung/77163

Sophos Anti-Rootkit :
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html

Entfernen Sie versteckte Anwendungen und Prozesse

Die Entfernung von Rootkits, ohne die Integrität des Systems zu gefährden, ist besonders

schwierig und muss mit äußerster Vorsicht erfolgen. Unsere kostenlose Software, Sophos

Anti-Rootkit, erkennt und entfernt alle Rootkits, die sich auf Ihrem Computer verstecken.
Was ist ein Rootkit?

Mit dem Begriff "Rootkit" wird eine Technologie bezeichnet, die verwendet wird, um die

Präsenz eines schädlichen Objekts (eines Prozesses, einer Datei, eines

Registrierungseintrags, eines Netzwerk-Ports) vor dem Computer-Nutzer oder Administrator zu

verstecken.
Einfache Erkennung und Entfernung von Rootkits

Im Zuge des vollständigen Schutzes von Endpoint-Computern durch Sophos Anti-Virus

werden nicht nur neue Rootkits erkannt, sondern auch deren Installation auf Ihren Desktops,

Laptops und Servern verhindert.

Mit Sophos Anti-Rootkit werden zusätzlich Rootkits erkannt und entfernt, die sich bereits auf

einem System befinden, bevor eine davor schützende Antiviren-Lösung installiert wurde.
Vereinfachtes Management

Die Verwendung von Sophos Anti-Rootkit ist unkompliziert. Egal ob Sie die einfache grafische

Benutzeroberfläche verwenden oder das Programm über die Befehlszeile starten. Sie können

Rootkits auf Ihren Computern problemlos erkennen und entfernen.

« Letzte Änderung: 09.08.07, 11:52:27 von HCK »

Danke,
das Sophos-Anti Rootkit hat lsass.exe und svchost.exe entfernen können und dabei noch ganz viele lustige Sachen gefunden, die ich hier nicht nennen will...auf jeden Fall Medien, die an unserm Institut nichts zu suchen haben sollten...

da Sophos nun wieder läuft, aber es wohl zerschossen wurde, werde ich es mal neu installieren. Vielleicht findet es nun was...

LG
Jan

Jagen die User denn die Dinger mit Sticks , CDs usw drauf , oder wo kommt der Müll her ???
Darüber solltet ihr mal nachdenken ....

Hallo,
ich hoffe ganz ernsthaft, das du dir mit der Administration dort nicht deinen Lebensunterhalt verdienen mußt... ::)
Du müßtest auf der Stelle wegen Dumm.heit entlassen werden.. ;)
Solltest du dort Admin ehrenhalber sein,so ist dein Einsatz lobenswert  8) aber leider von grober Unkenntnis der Materie geprägt... :-\
Ihr /du solltet einen Admin der professionellen Art einstellen/damit betrauen...

Einen PC nicht ordentlich einrichten ist das Eine...
Einen Server leichtsinnig konfigurieren ist das Andere...
Wird so ein Server zu Straftaten benutzt(und ihr fördert das ),wird das richtig teuer,richtig teuer.... ;D
Ihr seid immer regreßpflichtig... :'(
Für Serverbetreiber gelten andere Vorschriften als für "Otto-Normal-PC-Benutzer"
Sir Reklov

Sag das den entsprechenden Autoritäten ;)
Ich hab das alles so vorgefunden und bin quasi nur für die Wartung davon zuständig, für das Aufsetzen eines kompletten Netzwerks sind meine 30 Stunden im Monat zu wenig. Die muss ich großteils schon für die Betreuung der Leute einsetzen ;)

Dann sollte in deiner Entlohnung ein guter Anteil Schmerzensgeld sein.Wenn der Server erst mal gekapert ist und du als Sündenböck und Opferlamm geschaßt wurdest,kannst du auf die nächsten 10 Jahre in dem Job keinen solchen mehr finden...
Mach den Server neu und richte ihn ordentlich ein...

War früher mal Teil meines alten Jobs... 8)
Apache Server einrichten.
Erfolgskontrolle war und das würde ich auch dir empfehlen :
Fertig eingerichtet,in den entsprechenden Untergrund-Foren einen Post absetzen mit ungefähr dem Inhalt :
Da und da steht ein Apache Server ,scheint wenig bis gar nicht gesichert zu sein ! "Auf ihn mit Gebrüll"
WEnn nach einer ,zwei Wochen deine Festplatte sauber ist,ist deine Sicherung gut gemacht.. ;D
Wenn nicht hast du Gigabytes von schlechten Filmen,geklauter Musik und nackten Promibilder... ;D::)
...und fängst natürlich nochmal an... :'(
Sir Reklov

Ich bin Student (studiere was ganz anderes) und habe nicht vor jemals Systemadministrator zu werden ;)

Neu Aufzusetzen hab ich vor, nur warum einen Apache-Server? Ich frage mich sowieso, wieso die Dinger Internetanbindung haben...die sollen ja nur als Backup/File-Server für die Arbeitsgruppe dienen.

Besonders toll ist halt auch, dass das ganze halt Arbeitsgruppe eingerichtet ist und sich viele PCs in dieser nichtmal finden, weil völlig unterschiedliche Systeme und Protokolle verwendet werden...Windows 95/98/ME/2000/XP/Vista/NT 4.0/Server 2003 mit zum Teil NetBEUI-Protokollen und und und...
Wenn ich nicht ne Hilfskraft wär, würd ich das ganze Teil umscheißen und neu aufsetzen, mit ner Domäne und ner einheitlichen Protokollflora...aber ich bin halt eine ;) und niemand scheint wirklich dafür zuständig zu sein...außer mir.
Ich meine mir kanns egal sein, ich muss darin nicht arbeiten, aber mich darum zu kümmern macht halt ständig ärger...

Hallo,
 

Zitat
nur warum einen Apache-Server?
Läßt sich etwas leichter konfigurieren...
Ist aber Erfahrungssache ,wenn du mit deinem Windows Servern besser kannst,bleib halt dabei...

 
Zitat
Sag das den entsprechenden Autoritäten 
Zumindest würde ich denen meine Sicht der Dinge mitteilen... ::) und mir das auch schriftlich holen
Dir wird im Falle eines GAU`s die Schuld daran angehängt...... :'(
Sir Reklov
 

« ich kann meinen ordner weder anklicken noch löschenHilfe,trojanisches Pferd »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Zugriffszeit
In Milisekunden angegebene Zeit, die das Speichermedium zum Erreichen der gesuchten Daten braucht. Die Zeit ist abhängig vom technischen Verfahren des Mediums sowie ...

Reaktionszeit
In der Elektronik versteht man unter der Reaktionszeit die Zeit, die ein Flachbildschirm benötigt, um die Farbe und die Helligkeit eines Bildpunktes zu ändern. ...

Application Server
Ein Application Server, zu deutsch Anwedungsserver, ist ein Netzwerkrechner (Server) auf dem verschiedenste Anwendungsprogramme ausgeführt werden können. Der Be...