Port Traffic protokollieren - Schädling suche

06.05.2005, 17:21

sidney

...neu hier

Beiträge: 4

#1 Bei einem ftp/dns server finde ich immer wieder trojaner. Ich möchte ein Programm installiert haben (Windows), dass sämtlichen Traffic protokolliert und speichert. So sehe ich vielleicht wer oder wann und über welchen Port oder Dienst der Schädling reinkam.
Thanks
Sid

06.05.2005, 18:16

Dafra

Member

Beiträge: 1122

#2 Ethereal

Aber bei sämtlichen Traffic wird dass seehr schnell seeehr groß !!!
MFG
DAFRA

06.05.2005, 18:25

joschi

Moderator

Beiträge: 6466

#3 Da hast ja u.U sehr viel zu analysieren.
Wenn man die Namen der Schädlinge kennt, lässt sich das Problem meist sehr leicht einkreisen, da diese stets eine bestimmte Verbreitungsroutine haben bzw. Schwachstellen ausnutzen.
Also: um welche handelt es sich ?

__________
Durchsuchen --> Aussuchen --> Untersuchen

06.05.2005, 18:50

sidney

...neu hier

Themenstarter

Beiträge: 4

#4 Es ist ein Windows XP Rechner, der Serv-U32 (FTP) hat und die Schädlinge waren Sygate.exe und rBot.exe.

Ich habe nun die Win Patches updated und AdAware updated. Dann het er noch diesen gefunden "VX2" in der Registry.

Auch habe ich durch ein Taskviewer "wircd" gesehen und gelöscht.

Nun habe ich Symantec Client Security mit einer Firewall drauf und schaue mir alle Blocks manuel an und stelle sie frei oder blockiere sie.

Zur Zeit ist:
meinserver:1337 (local) - (remote) RpcControl.exe -> bzq-234-177.red.bezeqint.net:4221

Sid

06.05.2005, 19:05

Dafra

Member

Beiträge: 1122

#5 Also der Sygate.exe verbreitet sich über Netzwerkfreigaben, das heißt jemand muss ihn aber von hand starten, damit er aktiv wird. Der rbot.exe glaub ich auch.
Du solltest Freigaben wenn vorhanden deaktivieren und nicht als Admin den Server laufen lassen !
MFG
DAFRA

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1