Dame Ware plötzlich auf Rechner

A

Anonymous

Hallo,
ich habe für den Internetzugang und die Dokumentenordner der Familie (3 PCs) einen alten PII als Server mit WinNT4 Workstation laufen. Bei der Kontrolle nach dem letzten Wurm bin ich plötzlich drauf gestoßen, daß DameWare auf dem Rechner lief. Im Ereignisprotokoll konnte ich lesen, daß irgendjemand am 12.8.03 sich als Administrator eingewählt hatte. Der Server läuft normalerweise ohne Benutzeranmeldung. Wie zum Geier kommt denn dieses DameWare auf den Rechner, und wie kann ich mich in Zukunft davor schützen? Ich habe natürlich sofort die vier Dateien dwr... unter System32 gelöscht und alle Registryeinträge entfernt.
 
was ist denn DMZ?
DameWare wurde am 12.08.03 ca 04:30 ("Erstellt:" in den Dateieigenschaften) installiert und dann war lt. Ereignisprotokoll ein Computer fremder Computer von 04:33 bis 04:41 auf dem Rechner eingeloggt. (um die zeit schläft bei uns alles)
Ich habe auch die IP des eingeloggten Rechners (gehört zum IP-Bereich der Telekom). Kann man irgendwie weiter nachforschen wer das war?
 
Dann solltest Du Dir heftig Gedanken machen, Deine NT-Maschine und das gesamte Netzwerk zu sichern.
Wenn da Hinz und Kunz installieren kann, wie beliebt, ist das fast so, als wenn Du die Wohnungstür offen stehen lässt.
 
Drum frag ich ja. Zugegeben, bisher hab ich mir nicht allzuviel Gedanken gemacht. Ich hab jetzt auf die Schnelle erstmal ZoneAlarm installiert, seitdem kommen auch laufend Meldungen, daß irgenwelche Zugriffe geblockt werden (meistens Port 135, ist wohl der LOVESAN-Wurm). Die Frage ist nur, ob das reicht und was ich sonst noch machen sollte.
 
Da Du dort ein Netzwerk am Laufen hast, solltest Du Dich schon mit der Topologie der Netzwerke auseinandersetzen, mit Grundlagen der Verbindungsprotokolle und des Firewallings. Das Ganze gewürzt mit den Vor- und Nachteilen des jeweiligen Betriebssystems. Und dann kann es losgehen.
Am besten fängst Du mal hier an:
http://www.bsi.de/gshb/index.htm
 
und noch ein kleiner Tipp hinterher: gib dem Administrator-Account ein Paßwort. Dann ist schonmal ausgeschlossen, daß man mit DameWare "einfach so" auf deinen Rechner kommt.

Insgesamt ist DameWare ziemlich genial. Ich nutze es selbst mit 15 Clients und es hat mir schon so manche durchgelaufene Sohle erspart...


Matthias
 
Hallo,
natürlich hat der Administrator ein Passwort, aber es gibt wohl genügend Möglichkeiten, das zu umgehen, wenn man weiß wie. Ich hab mich inzwischen ein bisschen kundig gemacht und, so denke ich, das Schlimmste ausgebügelt. Ist ja auch idiotisch, daß nach einer normalen Installation von WinNT4 z.B. der Serverdienst an den Treiber der DSL-Karte gebunden ist, so steht ja wirklich Tür und Tor offen.
Nochmal Danke an alle, die geantwortet haben!
Gruß Frank
 
Zurück
Oben