Moin zusammen,

erstmal der Grund für dieses Post:

Letzte Woche bekam ich eine Mail vom Rechenzentrum, das einer meiner Rechner auf unerwünschten Ports Dateien per FTP versendet bzw. empfängt. Da weder ich noch der User an diesem Rechner einen FTP aufgesetzt hatten hab ich mir das ganze natürlich direkt angeschaut. Nach einigem Suchen konnte ich in der Registry Pfadangaben zu einem gewissen ioftpd-server finden. Kommen wir nun zu den Kuriosen Dingen. Der Pfad den ich in der Registry gefunden habe existierte augenscheinlich nicht, genau so wenig wie ein unerwünschter Prozess oder Dienst. Es wurde aber trotzdem munter weiter auf den gemeldeten Ports gefunkt. Erst als ich über Shell per cd in das Verzeichnis wechseln wollte hatte ich Erfolg. Der Ordner wurde allerdings auch nicht per dir /ah gelistet. Aber es wurde immer wilder. Ich konnte weder das Verzeichnis noch die Registry-Einträge löschen. Die einzige erklärung, die ich für diesen Hokuspokus habe ist ein rootkit, das Verzeichnisse und Prozesse versteckt, bzw. deren Löschung verhindert.
Jetzt meine Fragen: Der befallene PC ist ein Win2k Recchner. Soweit ich weiß ist es nur bei Win9x möglich Prozesse zu verstecken. Bin ich da falsch informiert? Wie kann ich versteckte Prozesse anzeigen und beenden? Wie hat der miese kleine Hacker es geschafft die Verzeichnisse so gut zu schützen und was kann ich dagegen tun? Ist euch auch schonmal sowas passiert?

Gruß,

Fischy

PS: Ich hoffe mal das ich das richtige Forum erwischt habe. Ich denke aber mal, daß das Ganze einiges mit WinAPI zu tun hat.

Also das Verstecken von Ordnern, Registry einträgen und Tasks ist unter WInNT und darauf basierenden Systemen schon lange möglich, es gibt die verschiedensten ansätze, der meißtverbreitetste ist "hooking" oder so, wie das genau funst weiß ich auch nicht.

Aber um es los zu werden kannst du einfach mal im abgesicherten Modus starten, da wird das rootkit zu 99% nicht mitgestartet und du kannst es in aller ruhe entfernen.

Mach mal:
-Ausführen --> cmd (da hast dann ne Eingabeaufforderung)
-netstat -a -o -n (Auflistung aller Prozesse mit Ziel-IP und Port
-da könnte der ioftp-Dienst eingetragen sein
Wenn dort der Dienst steht, besorg dir mal die kill.exe. Damit kann man jeden Prozess abschiessen.
Dann schau gleich in der Prozessliste etwas ist, was wie eine Backdoor oder ein Trojaner sein könnte. Auch abschiessen. Danach potenzielle Sicherheitslücken wie MSSQL, Apache, IIS, Windows Media Player usw updaten, damit der Hacker nicht mehr reinkommt.
Ansonsten poste noch mal...

Firewall wäre wohl auch eine Idee.

BTw kommt das jetzt nach Windows.

hallo,

mit dem thema kenne ich mich aus, falls jemand das problem auch haben sollte schreibt mich einfach an.

mit cmd >> ktask.exe (bekommt ihr von mir) kann man mit dem befehl "ktask 0" sämtliche (auch versteckte) prozesse einsehen, mit der passenden PID und dem befehl "ktask PID" kann man den prozess beenden.

meistens sind diese ftp server in dem autostart damit sie direkt wieder starten wenn der rechner hochgebootet ist.

eine firewall lässt sich leicht umgehen, man kann dort trotzdem noch eindringen wenn man weiß wie.

die einzigste möglichkeit sich for "nethackern" zu schützen ist die entsprechenden ports zu schließen.

in deinem fall ist übrigens der port 1433 (mssql) die sicherheitslücke, dein fehler dabei war, das du nach der installation von Microsoft SQL Server deinen usernamen und dein passwort nicht geändert hast .

ich wette sogar das dein username "sa" war und dein passwort entweder auch "sa" oder kein passwort drin war.

hoffe ich konnte dir damit helfen (wenn du die ktask.exe noch brauchst dann schreib mir)

Greets