Dame Ware plötzlich auf Rechner

14.08.2003, 21:47:47

Hallo,
ich habe für den Internetzugang und die Dokumentenordner der Familie (3 PCs) einen alten PII als Server mit WinNT4 Workstation laufen. Bei der Kontrolle nach dem letzten Wurm bin ich plötzlich drauf gestoßen, daß DameWare auf dem Rechner lief. Im Ereignisprotokoll konnte ich lesen, daß irgendjemand am 12.8.03 sich als Administrator eingewählt hatte. Der Server läuft normalerweise ohne Benutzeranmeldung. Wie zum Geier kommt denn dieses DameWare auf den Rechner, und wie kann ich mich in Zukunft davor schützen? Ich habe natürlich sofort die vier Dateien dwr... unter System32 gelöscht und alle Registryeinträge entfernt.

Devilfrank · 14.08.2003, 21:59:25

Dameware ist ein Netzwerktool. Bist Du sicher, dass "irgendjemand" sich dort eingeloggt hat. Kein Client aus der DMZ?

14.08.2003, 22:41:46

was ist denn DMZ?
DameWare wurde am 12.08.03 ca 04:30 ("Erstellt:" in den Dateieigenschaften) installiert und dann war lt. Ereignisprotokoll ein Computer fremder Computer von 04:33 bis 04:41 auf dem Rechner eingeloggt. (um die zeit schläft bei uns alles)
Ich habe auch die IP des eingeloggten Rechners (gehört zum IP-Bereich der Telekom). Kann man irgendwie weiter nachforschen wer das war?

Heiko · 14.08.2003, 22:42:36

DMZ: DeMilitarisierte Zone

Devilfrank · 14.08.2003, 23:03:47

Dann solltest Du Dir heftig Gedanken machen, Deine NT-Maschine und das gesamte Netzwerk zu sichern.
Wenn da Hinz und Kunz installieren kann, wie beliebt, ist das fast so, als wenn Du die Wohnungstür offen stehen lässt.

14.08.2003, 23:12:24

Drum frag ich ja. Zugegeben, bisher hab ich mir nicht allzuviel Gedanken gemacht. Ich hab jetzt auf die Schnelle erstmal ZoneAlarm installiert, seitdem kommen auch laufend Meldungen, daß irgenwelche Zugriffe geblockt werden (meistens Port 135, ist wohl der LOVESAN-Wurm). Die Frage ist nur, ob das reicht und was ich sonst noch machen sollte.

Devilfrank · 15.08.2003, 09:25:13

Da Du dort ein Netzwerk am Laufen hast, solltest Du Dich schon mit der Topologie der Netzwerke auseinandersetzen, mit Grundlagen der Verbindungsprotokolle und des Firewallings. Das Ganze gewürzt mit den Vor- und Nachteilen des jeweiligen Betriebssystems. Und dann kann es losgehen.
Am besten fängst Du mal hier an:
http://www.bsi.de/gshb/index.htm

SprMa · 18.08.2003, 13:49:33

und noch ein kleiner Tipp hinterher: gib dem Administrator-Account ein Paßwort. Dann ist schonmal ausgeschlossen, daß man mit DameWare "einfach so" auf deinen Rechner kommt.

Insgesamt ist DameWare ziemlich genial. Ich nutze es selbst mit 15 Clients und es hat mir schon so manche durchgelaufene Sohle erspart...

Matthias

18.08.2003, 21:03:32

Hallo,
natürlich hat der Administrator ein Passwort, aber es gibt wohl genügend Möglichkeiten, das zu umgehen, wenn man weiß wie. Ich hab mich inzwischen ein bisschen kundig gemacht und, so denke ich, das Schlimmste ausgebügelt. Ist ja auch idiotisch, daß nach einer normalen Installation von WinNT4 z.B. der Serverdienst an den Treiber der DSL-Karte gebunden ist, so steht ja wirklich Tür und Tor offen.
Nochmal Danke an alle, die geantwortet haben!
Gruß Frank

14.08.2003, 21:47:47	#1 (Permalink)
Anonymous Gast Beiträge: n/a	Dame Ware plötzlich auf Rechner Hallo, ich habe für den Internetzugang und die Dokumentenordner der Familie (3 PCs) einen alten PII als Server mit WinNT4 Workstation laufen. Bei der Kontrolle nach dem letzten Wurm bin ich plötzlich drauf gestoßen, daß DameWare auf dem Rechner lief. Im Ereignisprotokoll konnte ich lesen, daß irgendjemand am 12.8.03 sich als Administrator eingewählt hatte. Der Server läuft normalerweise ohne Benutzeranmeldung. Wie zum Geier kommt denn dieses DameWare auf den Rechner, und wie kann ich mich in Zukunft davor schützen? Ich habe natürlich sofort die vier Dateien dwr... unter System32 gelöscht und alle Registryeinträge entfernt.

14.08.2003, 21:59:25	#2 (Permalink)
Devilfrank Moderator Registriert seit: 20.01.2002 Beiträge: 4.762	Dameware ist ein Netzwerktool. Bist Du sicher, dass "irgendjemand" sich dort eingeloggt hat. Kein Client aus der DMZ? __________________ Auf dem Acker der Halbbildung gedeiht das Unkraut der Einbildung ganz besonders gut. Erich Limpach (1899 - 1965)

14.08.2003, 22:42:36	#4 (Permalink)
Heiko Häuptling von Absurdistan Registriert seit: 09.08.2001 Ort: Am Rande des Wahnsinns Beiträge: 19.613 Blog-Einträge: 24	DMZ: DeMilitarisierte Zone __________________ "It's like there's a light at the end of the tunnel." "That's hellfire, Dean." (Supernatural)

14.08.2003, 23:03:47	#5 (Permalink)
Devilfrank Moderator Registriert seit: 20.01.2002 Beiträge: 4.762	Dann solltest Du Dir heftig Gedanken machen, Deine NT-Maschine und das gesamte Netzwerk zu sichern. Wenn da Hinz und Kunz installieren kann, wie beliebt, ist das fast so, als wenn Du die Wohnungstür offen stehen lässt. __________________ Auf dem Acker der Halbbildung gedeiht das Unkraut der Einbildung ganz besonders gut. Erich Limpach (1899 - 1965)

15.08.2003, 09:25:13	#7 (Permalink)
Devilfrank Moderator Registriert seit: 20.01.2002 Beiträge: 4.762	Da Du dort ein Netzwerk am Laufen hast, solltest Du Dich schon mit der Topologie der Netzwerke auseinandersetzen, mit Grundlagen der Verbindungsprotokolle und des Firewallings. Das Ganze gewürzt mit den Vor- und Nachteilen des jeweiligen Betriebssystems. Und dann kann es losgehen. Am besten fängst Du mal hier an: http://www.bsi.de/gshb/index.htm __________________ Auf dem Acker der Halbbildung gedeiht das Unkraut der Einbildung ganz besonders gut. Erich Limpach (1899 - 1965)

14.08.2003, 22:41:46	#3 (Permalink)
Anonymous Gast Beiträge: n/a	was ist denn DMZ? DameWare wurde am 12.08.03 ca 04:30 ("Erstellt:" in den Dateieigenschaften) installiert und dann war lt. Ereignisprotokoll ein Computer fremder Computer von 04:33 bis 04:41 auf dem Rechner eingeloggt. (um die zeit schläft bei uns alles) Ich habe auch die IP des eingeloggten Rechners (gehört zum IP-Bereich der Telekom). Kann man irgendwie weiter nachforschen wer das war?

14.08.2003, 23:12:24	#6 (Permalink)
Anonymous Gast Beiträge: n/a	Drum frag ich ja. Zugegeben, bisher hab ich mir nicht allzuviel Gedanken gemacht. Ich hab jetzt auf die Schnelle erstmal ZoneAlarm installiert, seitdem kommen auch laufend Meldungen, daß irgenwelche Zugriffe geblockt werden (meistens Port 135, ist wohl der LOVESAN-Wurm). Die Frage ist nur, ob das reicht und was ich sonst noch machen sollte.

18.08.2003, 13:49:33	#8 (Permalink)
SprMa Administrator Registriert seit: 04.01.2002 Alter: 34 Beiträge: 666	und noch ein kleiner Tipp hinterher: gib dem Administrator-Account ein Paßwort. Dann ist schonmal ausgeschlossen, daß man mit DameWare "einfach so" auf deinen Rechner kommt. Insgesamt ist DameWare ziemlich genial. Ich nutze es selbst mit 15 Clients und es hat mir schon so manche durchgelaufene Sohle erspart... Matthias __________________ Das Leben ist nicht so, es ist ganz anders.

18.08.2003, 21:03:32	#9 (Permalink)
Anonymous Gast Beiträge: n/a	Hallo, natürlich hat der Administrator ein Passwort, aber es gibt wohl genügend Möglichkeiten, das zu umgehen, wenn man weiß wie. Ich hab mich inzwischen ein bisschen kundig gemacht und, so denke ich, das Schlimmste ausgebügelt. Ist ja auch idiotisch, daß nach einer normalen Installation von WinNT4 z.B. der Serverdienst an den Treiber der DSL-Karte gebunden ist, so steht ja wirklich Tür und Tor offen. Nochmal Danke an alle, die geantwortet haben! Gruß Frank

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln