AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme versteckte Prozesse und Verzeichnisse (PC wurde gehackt)
Thema durchsuchen
Ansicht
Themen-Optionen

versteckte Prozesse und Verzeichnisse (PC wurde gehackt)

Ein Thema von Fischy · begonnen am 10. Mär 2004 · letzter Beitrag vom 30. Okt 2004
Antwort Antwort
Fischy

Registriert seit: 20. Aug 2003
15 Beiträge
 
#1

versteckte Prozesse und Verzeichnisse (PC wurde gehackt)

  Alt 10. Mär 2004, 09:38
Moin zusammen,

erstmal der Grund für dieses Post:

Letzte Woche bekam ich eine Mail vom Rechenzentrum, das einer meiner Rechner auf unerwünschten Ports Dateien per FTP versendet bzw. empfängt. Da weder ich noch der User an diesem Rechner einen FTP aufgesetzt hatten hab ich mir das ganze natürlich direkt angeschaut. Nach einigem Suchen konnte ich in der Registry Pfadangaben zu einem gewissen ioftpd-server finden. Kommen wir nun zu den Kuriosen Dingen. Der Pfad den ich in der Registry gefunden habe existierte augenscheinlich nicht, genau so wenig wie ein unerwünschter Prozess oder Dienst. Es wurde aber trotzdem munter weiter auf den gemeldeten Ports gefunkt. Erst als ich über Shell per cd in das Verzeichnis wechseln wollte hatte ich Erfolg. Der Ordner wurde allerdings auch nicht per dir /ah gelistet. Aber es wurde immer wilder. Ich konnte weder das Verzeichnis noch die Registry-Einträge löschen. Die einzige erklärung, die ich für diesen Hokuspokus habe ist ein rootkit, das Verzeichnisse und Prozesse versteckt, bzw. deren Löschung verhindert.
Jetzt meine Fragen: Der befallene PC ist ein Win2k Recchner. Soweit ich weiß ist es nur bei Win9x möglich Prozesse zu verstecken. Bin ich da falsch informiert? Wie kann ich versteckte Prozesse anzeigen und beenden? Wie hat der miese kleine Hacker es geschafft die Verzeichnisse so gut zu schützen und was kann ich dagegen tun? Ist euch auch schonmal sowas passiert?

Gruß,

Fischy

PS: Ich hoffe mal das ich das richtige Forum erwischt habe. Ich denke aber mal, daß das Ganze einiges mit WinAPI zu tun hat.
  Mit Zitat antworten Zitat
magicshadow

Registriert seit: 28. Apr 2003
85 Beiträge
 
#2

Re: versteckte Prozesse und Verzeichnisse (PC wurde gehackt)

  Alt 10. Mär 2004, 13:25
Also das Verstecken von Ordnern, Registry einträgen und Tasks ist unter WInNT und darauf basierenden Systemen schon lange möglich, es gibt die verschiedensten ansätze, der meißtverbreitetste ist "hooking" oder so, wie das genau funst weiß ich auch nicht.

Aber um es los zu werden kannst du einfach mal im abgesicherten Modus starten, da wird das rootkit zu 99% nicht mitgestartet und du kannst es in aller ruhe entfernen.
  Mit Zitat antworten Zitat
Jörn

Registriert seit: 5. Sep 2003
Ort: Helmstedt
312 Beiträge
 
#3

Re: versteckte Prozesse und Verzeichnisse (PC wurde gehackt)

  Alt 10. Mär 2004, 14:23
Mach mal:
-Ausführen --> cmd (da hast dann ne Eingabeaufforderung)
-netstat -a -o -n (Auflistung aller Prozesse mit Ziel-IP und Port
-da könnte der ioftp-Dienst eingetragen sein
Wenn dort der Dienst steht, besorg dir mal die kill.exe. Damit kann man jeden Prozess abschiessen.
Dann schau gleich in der Prozessliste etwas ist, was wie eine Backdoor oder ein Trojaner sein könnte. Auch abschiessen. Danach potenzielle Sicherheitslücken wie MSSQL, Apache, IIS, Windows Media Player usw updaten, damit der Hacker nicht mehr reinkommt.
Ansonsten poste noch mal...
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#4

Re: versteckte Prozesse und Verzeichnisse (PC wurde gehackt)

  Alt 10. Mär 2004, 14:25
Firewall wäre wohl auch eine Idee.

BTw kommt das jetzt nach Windows.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
10. Mär 2004, 14:25
Dieses Thema wurde von "Luckie" von "Windows API" nach "Windows 9x / ME / 2000 / XP" verschoben.
snoopy1

Registriert seit: 30. Okt 2004
3 Beiträge
 
#6

Re: versteckte Prozesse und Verzeichnisse (PC wurde gehackt)

  Alt 30. Okt 2004, 20:49
hallo,

mit dem thema kenne ich mich aus, falls jemand das problem auch haben sollte schreibt mich einfach an.

mit cmd >> ktask.exe (bekommt ihr von mir) kann man mit dem befehl "ktask 0" sämtliche (auch versteckte) prozesse einsehen, mit der passenden PID und dem befehl "ktask PID" kann man den prozess beenden.

meistens sind diese ftp server in dem autostart damit sie direkt wieder starten wenn der rechner hochgebootet ist.

eine firewall lässt sich leicht umgehen, man kann dort trotzdem noch eindringen wenn man weiß wie.

die einzigste möglichkeit sich for "nethackern" zu schützen ist die entsprechenden ports zu schließen.

in deinem fall ist übrigens der port 1433 (mssql) die sicherheitslücke, dein fehler dabei war, das du nach der installation von Microsoft SQL Server deinen usernamen und dein passwort nicht geändert hast .

ich wette sogar das dein username "sa" war und dein passwort entweder auch "sa" oder kein passwort drin war.

hoffe ich konnte dir damit helfen (wenn du die ktask.exe noch brauchst dann schreib mir)

Greets
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:28 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz