seltsames Verhalten

#0
30.12.2003, 08:43
...neu hier

Beiträge: 3
#1 Hi Leute,

ich hab seit einiger Zeit ein seltsames Verhalten auf meinem Server. Die Kiste hat eine Wndows XP -Prof. Installation mit allen verfügbaren Servicepacks und Patches etc. die es bei MS gibt. Ich benutze diesen Rechner als Webserver, Mailserver und FTP-Server. Anfänglich gab es auch keine Probleme doch als ich mit einen dyndns eintrag geholt habe fing die Kiste an zu spinnen. Das war vor ca vier Wochen. Es begann damit das die Kiste unendlich viele Fehlermeldungen (als Popups) produzierte und meine sie könnte die Mail "xyz" nicht versenden. Da der Server von der Performance am Abrauchen war hab ich ihn neu gestartet und anschließend mit Noten Antivirus , SpyBot und Ad Aware gecheckt aber nichts gefunden. Einige Tage später hatte ich das selbe Verhalten. Ich hab den Admin des Webservers geöffnet und im Monitor gesehen das über 200 Verbindugen offen waren. Also hab ich den Server wieder neu gestartet und erneut gecheckt aber nichts gefunden. Ich war mir schon ziemlich sicer das es ein Hackerangriff gewesen war und hab mir hilfe im Serverforum gesucht (ich benutze einen Jana2-Server). Nach einen checkup der Konfiguration durch einen der Entwickler des Jana-Servers konnten wir ausschließen das diese Mailgeschichte über meinen Mailserver lief.
Als Reaktion auf diesen "angriff" wechselte ich die Firewall von Sygate 5.x auf Kerio 4.x. Seit dieser zeit habe ich keine Angriffe (wenn es denn welche waren) mehr erlebt.
Nun zu meinen aktuellen Problem:
Auf diesem Server läuft auch ein Mysql-Server. Ich wollte gestern über die Eingabeaufforderung einen neue Datenbank einspielen und mußte feststellen das sich XP Standhaft weiget mir mit den Kommando "cmd" einen Eingabeaufforderung zu öffnen. Ich werde darauf hingewiesen das ich zuwenig Rechte besitze (ich hab Adminrechte auf den Server). Interessanterweise funktioniert das Kommando "command" welches ja unter Win98 die Eingabeaufforderung öffnete ohne Probleme. Ich bekomme eine Eingabeaufforderung doch alle Befehle die ich absetze verschwinden im Nirgendwo (werden nicht bestätigt und es passiert auch nichts).
Also hab ich wieder das System gecheckt aber nichts gefunden. Auf meinem Entwicklungssystem (ebenfalls Win-XP aber ohne die Serveraufsätze) läuft der Befehl "CMD".
Hat jemand ne Idee was das sein könnte ? Ich hab den Server erstmal wieder vom Netz genommen (*grummel* schon das vierte Mal in 6 Wochen ).
Für jede Idee oder Hilfe währe ich dankbar.
Seitenanfang Seitenende
30.12.2003, 18:48
...neu hier

Themenstarter

Beiträge: 3
#2 Hi Raman,

sorry das es so lange gedauert hat aber es gibt Leute ide auch heute noch arbeiten ;-)
Also der Onlinevirenncheck von Bitdefender war negativ (es wurde nichts gefunden).
Hier das Log von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 18:41:51, on 30.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Jana2\janad.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\program files\lotus\notes\ntmulti.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Temp\DynDNS.exe
C:\mysql\bin\winmysqladmin.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\Torsten\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [DynDNS Updater] "C:\Temp\DynDNS.exe"
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://webmail.dainese.com/iNotes.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37870.117650463
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8524889-2FDE-4E4D-A26E-BBEEC24C8575}: NameServer = 145.253.2.203 145.253.2.139

Ich hab nichts verdächtiges entdeckt aber das Tool ist mir ja auch noch neu :-)

Danke im vorab für das prüfen
Seitenanfang Seitenende
30.12.2003, 18:54
Moderator

Beiträge: 7796
#3 Das Log ist sauber, ergo Rechner neu aufsetzen!;)
Kein "rumdoktorn" an einem Server.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.12.2003, 19:30
...neu hier

Themenstarter

Beiträge: 3
#4 Danke für das checken
Ich hab befürchtet das du sowas sagen würdest.
Na ja dann muß ich noch ein zwei Tage damit leben und dann den Plattenkauf vorziehen (jetzt hab ich wenigstens einen Grund ;-) )
Nochmals danke
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: