Ich wurde gehackt!

[Dengo]

Hallo,

ich habe einen Windows-XP Computer als Server stehen.

Arbeite über Eric / RemoteControl.

Vor 1-2 Tagen hab ich plötzlich einen _Support161155155 Account entdeckt.

> Gelöscht

Jetzt Aktuell ist plötzlich der Administrator Account sichtbar, welcher vorher unter "user" nicht zu sehen war...

> PW Geändert

Nach längerer SUche habe ich dann einen Unsichtbaren Account gefunden der Nen torrent Programm am laufen hatte und 2 Sachen runtergeladen hat.

> Gelöscht

Da der Administrator Account plötzlich sichtbar war könnte ich mir vorstellen das da nach der installation kein Passwort gesetzt ist un der Server so gehackt wurde?

Hat wer ne Idee was ich machen kann um weitere Angriffe zu vermeiden bzw. KA ob ich den User aktuell überhaupt "usgeschlossen" habe.

ich gehe mal davon aus das der Hacker RemoteControl benutzt wie ich... Gibt es nen Tool was auch RemoteControl ermöglicht aber so das ich das WindowsInterne ding löschen kann?

> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

Alle User gelöscht

> "Ausführen" und Eingabe von "control userpasswords2". Alle gelöscht (bis auf mich) und dem Administrator-Account die Rechte entzoge

Mehr fällt mir gerade nicht ein -.-

 

[Fritz]

Hi Dengo,
die goldene Regel heißt immer:
(Logs sichern) - Server platt machen - neu aufsetzen!


Du kannst noch so viel suchen und löschen - der Erfolg lässt sich nicht kontrollieren.

Gruß Fritz

 

[Dengo]

Schön und gut aber meine IP bleibt die gleich und dann findet er das selbe System vor wie vorher ... Also platt machen sehe ich jetzt gerade nicht als Lösung solange ich nicht weiss wie ich mich schützen kann.

Der Server is ja erst frisch vor 2 wochen on =)

Und Windows-CD einlegen lassen kostet auch immer 50,- Euro.

 

[Ben.]

Und Windows-CD einlegen lassen kostet auch immer 50,- Euro.

Das ist das blödste Argument das dir eingefallen ist, oder? Warte mal was ne Klage wegen Urheberrechtverletzung oder illegalem SPAM-Versand kostet...

Da jemand auf deinem PC war - XP ist kein Server-OS - hast du keine andere Möglichkeit, zumal es ein Windows PC ist. Du musst ihn plattmachen, da du nicht wissen kannst, ob irgendwelche Trojaner oder RootKits installiert wurden.

Und wenn du schon sagst, dass du nicht weisst was du noch machen kannst, sind deine Kenntnisse anscheinend ohnehin begrenzt. Also hilft nur eins: Plattmachen und ordentlich absichern (Admin ausblenden ist nicht sicher).

Du solltest dir auch überlegen, ob du nicht ein richtiges Server-OS verwendest. Windows 2003 Server wäre ne Alternative falls du auf Klicki-Bunti stehst.

Sorry, für deine Einstellung - so wie du sie hier zumindest kund gibst - habe ich kein Verständnis. Wenn bei deinem Auto dir Bremsen futsch sind wirst du auch nicht sagen "Das kostet aber 300 Euro das zu reparieren, dann fahr ich halt ohne...".

Tu was man dir rät, sonst hast du bald noch mehr Ärger als ne 50-Euro-Installation.

 

[djrick]

Da das Installieren 50 Euro kostet nehm ich an, dass dein Server bei einem Hoster steht.
Welcher Hoster verkauft XP als Serverbetriebssystem?

 

[blupp1]

"CD Einlegen", "Eric" -> Hetzner?

 

[Ben.]

Bei Hetzner kostet das keine 50 Euro

 

[Dengo]

Das Problem an der Sache ist nur wenn ich auf euch höre zahl ich keine 50 Euro sondern direkt mal 100 Euro wenn ich formatiere!

Was bringt mir es den Server noch einmal genau so online zu birngen wie er beim Hackangriff war? Dann is er doch ne Stunde später wieder drauf.

Aktuell arbeitet er sogar über meinen eigenen Account und spaart es sich geheime anzulegen grml.

Immerhin arbeiten er scheinbar über nen NonPublich torrent server da hab ich aktuell noch nicht so viel zu befürchten.

Evtl. bekomm ich ihn ja überredet das er sich per ICQ bei mir meldet und mir sagt wie er es macht =)

 

[Ben.]

Anfang dieses Jahres nun wurden die Regeln für den Download von Filmen, Musik und Spielen aus dem Internet noch einmal verschärft. Seitdem ist nicht mehr nur das Bereitstellen von so genannten Raubkopien strafbar, sondern auch deren Download. Bis zu 10.000 Euro Schadensersatz drohen pro illegal geladener Datei, hinzu kommen strafrechtliche Folgen wie Geld- oder gar Freiheitsstrafen. Unangenehme "Begleiterscheinungen" wie Hausdurchsuchung und Sicherstellung des Computers inklusive.

Quelle: computerbetrug.de

Du machst grundlegende Fehler:
1) Du hast keine Ahnung von dem was du tust (sonst wäre dein Server nicht gehackt)
2) Du lernst nicht aus dem was man dir rät
3) Du hast ne Apotheke als Hoster
4) Du kannst evtl. nicht rechnen
5) Du bist lernresistent

Warum nimmst du den PC nicht vom Netz? Warum installierst du nicht ein System mit dem du dich auskennst, wenn du mit XP nicht klar kommst? Warum engagierst du nicht jemanden, der für dich den Server ordentlich aufsetzt?

Ich frage mich nur, warum du einen gehackten Server am Netz lässt. Selber benutzen kannst du ihn eh nicht mehr, da
1) Deine Daten nicht mehr geschützt sind
2) Dein Datenvolumen bald aufgebraucht sein dürfte
3) Er bald wegen Überlast bald in die Knie gehen wird

Und glaub mir, der Übeltäter wird sich nicht mit dir per ICQ in Verbindung setzen, da er eine Straftat begonnen hat. Und per ICQ wäre er dann leicht zu überführen. Also wach auf und reagiere wie ein Admin reagieren muss, wenn du schon versuchst einer zu sein...

 

[Dengo]

Du wiederholst dich.... Aber ne wirkliche Hilfe bist du nicht.

 

[Ben.]

Mehr Hilfe kann ich nicht geben. Du willst ja nicht auf das hören was man dir sagt. Daher: Selber schuld.

Für mich ist das hier jetzt erledigt.

Du solltest wenigstens so fair sein und die IP des Servers veröffentlichen, dann kann ich diesen Rechner zumindest von meinen Servern fern halten.

 

[Dengo]

Klar: Nimm den Server vom Netz, setz ihn nie wieder online ist dein Rat! Super!

"Knowhow" muss ja irgendwo her kommen, ich glaube kaum das ich in der Anleitung von Windows XP nen Thema finden werde "Diese SIcherheitslücken haben wir eingebaut, so flicken SIe diese."

Wie wäre es mal mit nem Link zu Anleitungen / Texten wie man einen Windows-Rechner richtig absichert?

Aber nein, wir können dir nur helfen in dem wir die sagen was für nen schlechter Admin du doch bist und das du deinen Server vom Netz nehmen solltest und nie wieder online setzen solltest - JAAAAA, das ist die LÖSUNG!!! DANKE DANKE DANKE

 

[blupp1]

Verrat uns dochmal, warum du XP auf einem Server verwendest?
Meiner Meinung nach, kann man einen Winodws Server OS besser absichern als Vista oder XP.

 

[Dengo]

Weil ich mir aktuell nichts besseres leisten kann und meine Software, welche ich benötige, läuft nicht über Linux.

Somit soltle auch der Punkt "hol dir einen Admin" geklärt sein. Die arbeiten auch nicht für lau.

 

[Ben.]

@Dengo: Was du nicht einsehen willst: Wir reden hier nicht darüber, wie man einen Server absichert - pardon - einen XP-PC absichert. Wir reden darüber, wie man die akute Gefahr die von deinem PC ausgeht ausschalten kann.

Wenn du dann einen Server neu aufsetzen willst, dann hilft dir sicher jemand gerne weiter diesen auch abzusichern. Aber die einzige Massnahme einen bereits übernommenen Rechner wieder funktionstüchtig zu machen wurde dir bereits genannt. Aber das scheinst du nicht zu verstehen.

Aber ist mir jetzt auch egal. Ich bringe lieber ner Gurke Tango tanzen bei.

 

[Dengo]

Ich zitiere mich selbst mal:

Schön und gut aber meine IP bleibt die gleich und dann findet er das selbe System vor wie vorher ... Also platt machen sehe ich jetzt gerade nicht als Lösung solange ich nicht weiss wie ich mich schützen kann.

Von mir aus kannst du deiner Gurke gerne Tango tanzen beibringen aber dann erzähl ihr bitte auch was vom Tanzen und nicht von Bremsen und Auspuffrohren.

 

[Dengo]

Gibt es eine Möglichkeit den Zugriff von außen nur einem bestimmten IP-Netz zu erlauben?

Das ich kucke: "welche IPs" hat versatel und mein Server alle anderen IPs blockt?

 

[LinuxAdmin]

Die einzige Lösung besteht darin, den Server sofort abzuschalten!

Das Know-How eignet man sich mit einem Übungssystem an, d.h. einem System, dass in einer virtuellen Umgebung (VMWare, VirtualPC, etc...) läuft und keine direkte Verbindung zum Internet hat. Dort kannst Du auch das Absichern üben.

 

[Dengo]

In einer Virtuellen umgebung hackt mich ja auch keiner =)

Ich hab ja:

- Windows-Firewall an
- SP3
- Alle Updates drauf

von daher meine Frage könnt ihr mir ne Firewall empfehlen wo ich wirklich ALLE zugriffe blocken kann außer von IP XX-XX

 

[blupp1]

von daher meine Frage könnt ihr mir ne Firewall empfehlen wo ich wirklich ALLE zugriffe blocken kann außer von IP XX-XX

IP-Sicherheitsrichtlinien.

Bereits bei Windows an Board, keine Ahnung ob XP das hat.