Wie kann ich meinen "Server" sichern ?

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Wie kann ich meinen "Server" sichern ?

Postby DJTOMCAT » 21. August 2005 23:12

Hi @all

nachdem ich gerade nachhause gekommen bin und mehrere "Hallo dein System ist unsicher" Dateien auf meinem freigegebenen Laufwerk gefunden hatte, denke ich mal ist es berechtigt sich sorgen machen zu müssen....

Jetzt ist nur die Frage - wie ? Ich hoffe ich bin jetzt mit meinem Problem nicht in der Falschen Area gelandet. Aber da ich in letzter Zeit auch vermehrt von dem Virus Stanit/Tenga.a angegriffen wurde komme ich hier langsam ins grübeln

Ich versuche das Problem mal etwas zu beschreiben

Auf meinem System läuft Xampp 1.4.14 und als BS WinXPProf. Sp2 mit den aktuellsten Updates, sowie Kaspersky AV als Virenschutz, Argosoft Mailserver, Cesar FTP, Real VNC (passwortgeschützt), URL Gateway

Soweit läuft ja auch alles ganz gut. Weiterhin nutze ich den Remotedesktop , sowie CesarFTP. alles über eine DynDNS Adresse, damit sowohl mein Internetprojekt funktioniert und auch ich , wenn ich mal an meinen PC muss an meine Daten herankomme (was seit gestern auch eine fremde IP ohne AdminLogin geschafft hat.....)

Ich sage auch ganz ehrlich das ich z.Zt. keine Firewall aktiviert habe, da ich zu AOL Zeiten mir deswegen keine sorgen machen musste *g* und ich angst hatte das mein Server dann nicht mehr über DynDNS erreichbar ist (wegen der ganzen Filterregeln) weiterhin

Laut Port-Scan sind bei mir diese Ports offen

21 FTP, 25 SMTP, 79 Finger, 80 HTTP, 110 Pop3, 443 HTTPS, 445 Microsoft DS, 3389 Remote Desktop

Würde ich jetzt eine Firewall aktivieren , müsste ich nicht dennoch wieder die Ports "öffnen" ?

Hat jemand von euch eine Idee wie ich mein System sichern kann ? Hab mich grad schon etwas erschrocken als ich auf einmal diese "Hallo" Datei auf meiner Festplatte hatte.

Grüße
Björn
DJTOMCAT
 
Posts: 18
Joined: 27. April 2005 16:26

Postby deepsurfer » 23. August 2005 12:14

445 Microsoft DS

- Benutzt du eine Druckerfreigabe im LAN ?
- Hast du in den Netzwerkeinstellungen das NetBIOS eingeschaltet ?
http://www.petri.co.il/what_is_port_445_in_w2kxp.htm


Das du keine Firewall benutzt im glauben das AOL dich """schützen""" würde ist sehr sträflich.
Desktopfirewalls sind als solches sehr umstritten, sollten aber für Standart User ein "muss" sein.


(Bitte jetzt keine Diskussionen über dieses Thema !, dafür gibt es genug Pages im weiten Netz)


....und mehrere "Hallo dein System ist unsicher" Dateien auf meinem freigegebenen Laufwerk gefunden hatte, ....

Was Interesannt wäre was du unter "Freigegeben Laufwerk" verstehst ?
- Ein Netzlaufwerk
- FTP Laufwerk im Zusammenspiel mit XAMPP
- Ein Netzlaufwer, worauf der FTP-Server in Verbindung mit XAMPP arbeitet.
- Ein Verzeichnis innerhalb dex XAMPP (möglicherweise durch laufendem FileZilla zugang)

Sollten diese "Dateien" aber gänzlich unabhängig von XAMPP vorhanden sein, dann ist es denkbar das jemand per Remote bei dir drinne war.
- zu einfaches oder gar kein Admin Kennwort
- zu einfaches oder gar kein User Kennwort

Somit als erstes mal die Kennwörter in deinem System komplett ändern---Alle!

Benutzt du eine Webapllikation für dein Projekt das möglicherweise zugriff auf diesen "Freigebenen Ordner" hat?
Denkbar ist es das aufgrund des "Safe Mode = Off" man mittels eines PHPscripts diese Dateien bei dir generiert hat.

Hierzu noch ein LINK für verschiedene möglichkeiten dein System zu scannen.
http://board.protecus.de/t8128.htm
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby DJTOMCAT » 23. August 2005 13:28

deepsurfer wrote:- Benutzt du eine Druckerfreigabe im LAN ?
- Hast du in den Netzwerkeinstellungen das NetBIOS eingeschaltet ?

Druckerfreigabe ja, NetBios ist Deaktiviert

deepsurfer wrote:Das du keine Firewall benutzt im glauben das AOL dich """schützen""" würde ist sehr sträflich.
Desktopfirewalls sind als solches sehr umstritten, sollten aber für Standart User ein "muss" sein.


(Bitte jetzt keine Diskussionen über dieses Thema !, dafür gibt es genug Pages im weiten Netz)


Ich bin ja nicht mehr bei AOL ;) sondern bei Versatel Problem ist das viele Firewalls immer den Admin benötigen und sobald eine Frage auf dem Desktop steht bleibt dummerweise die Internetverbindung auf "Hold"

deepsurfer wrote:Was Interesannt wäre was du unter "Freigegeben Laufwerk" verstehst ?
- Ein Netzlaufwerk
- FTP Laufwerk im Zusammenspiel mit XAMPP
- Ein Netzlaufwer, worauf der FTP-Server in Verbindung mit XAMPP arbeitet.
- Ein Verzeichnis innerhalb dex XAMPP (möglicherweise durch laufendem FileZilla zugang)

War sowohl ein Netzlaufwerk , als auch ein per FTP freigegebenes LW, wobei im Log leider nur eine IP stand und nur login:

Code: Select all
Fri 19 Aug 2005 [08:13:38] 000046 User connecting, IP:202.82.200.xxx
Fri 19 Aug 2005 [08:13:38] 000046 220 CesarFTP 0.99e Server Welcome !
Sat 20 Aug 2005 [17:22:55] 000047 User connecting, IP:69.64.105.xx
Sat 20 Aug 2005 [17:22:55] 000047 220 CesarFTP 0.99e Server Welcome !
Sun 21 Aug 2005 [02:12:36] 000048 User connecting, IP:83.129.198.xxx
Sun 21 Aug 2005 [02:12:36] 000048 220 CesarFTP 0.99e Server Welcome !

Die Datei war mit Sa. 21.08. 17:49 Datiert könnte somit theoretisch noch mit dem FTP login stimmen


Logge ich mich aber als Admin ein steht es so:
Code: Select all
Mon 22 Aug 2005 [01:34:10] 000078 User connecting, IP:212.204.5.xxx
Mon 22 Aug 2005 [01:34:10] 000078 220 CesarFTP 0.99e Server Welcome !
Mon 22 Aug 2005 [01:34:10] 000078 USER <zensiert>
Mon 22 Aug 2005 [01:34:10] 000078 User <zensiert> connected, login : <zensiert>
Mon 22 Aug 2005 [01:34:10] 000078 331 User login OK, waiting for password
Mon 22 Aug 2005 [01:34:10] 000078 PASS  **********
Mon 22 Aug 2005 [01:34:10] 000078 User <zensiert> logged in successfully
Mon 22 Aug 2005 [01:34:10] 000078 230 User password OK, CesarFTP server ready


und Anonymous habe ich gesperrt, der einzige existierende User ist also meine weingkeit
Code: Select all
Mon 22 Aug 2005 [01:34:06] 000077 User connecting, IP:212.204.5.xxx
Mon 22 Aug 2005 [01:34:06] 000077 220 CesarFTP 0.99e Server Welcome !
Mon 22 Aug 2005 [01:34:06] 000077 USER anonymous
Mon 22 Aug 2005 [01:34:06] 000077 User connecting, login unknown: anonymous ; IP:212.204.5.xxx
Mon 22 Aug 2005 [01:34:06] 000077 331 User login OK, waiting for password
Mon 22 Aug 2005 [01:34:06] 000077 PASS  **********
Mon 22 Aug 2005 [01:34:06] 000077 530 Identification failed, please try again


deepsurfer wrote:Sollten diese "Dateien" aber gänzlich unabhängig von XAMPP vorhanden sein, dann ist es denkbar das jemand per Remote bei dir drinne war.
- zu einfaches oder gar kein Admin Kennwort
- zu einfaches oder gar kein User Kennwort

Remote ja, aber passwort war gesetzt, oder gibts eine Möglichkeit ein Log vom Remotedesktop einzusehen ?

deepsurfer wrote:Benutzt du eine Webapllikation für dein Projekt das möglicherweise zugriff auf diesen "Freigebenen Ordner" hat?
Denkbar ist es das aufgrund des "Safe Mode = Off" man mittels eines PHPscripts diese Dateien bei dir generiert hat.

Das müsstest du mir näher erläutern, meinen Namen denke ich hat derjenige wohl einem Brief entnommen, die ich im Root von D:\ stehen hatte, Aber ist schon eigenartig und auch beunruhigend. Im moment nutze ich die Firewall von Kaspersky Antihacker - da die eigentlich nen guten eindruck macht (bis jetzt). Laut Shields up bin ich damit nun Stealth , laut www.port-scan.de dagegen nicht und die selben Ports sind noch offen
Das gesamte XAMPP Projekt ist auf C:\xampp installiert.

Grüße
Björn
DJTOMCAT
 
Posts: 18
Joined: 27. April 2005 16:26


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 11 guests