Alternativer Dateibetrachter

cumulonimbus8

Fleet Admiral
Registriert
Apr. 2012
Beiträge
18.345
Moin!

Über die Schutzmaßnahmen meines Hoster will ich nicht reden. Jedenfalls wurde der WIN-Server angegriffen und wir (ich…) haben den Angriff, und nicht nur einen, neutralisiert bzw. repariert. In erster Linie wurden HTMLs mit Code an Bildern verseucht.

Zufällig (Asche auf mein Haupt; aber »Ein Unterschied der keinen Unterschied bewirkt ist kein Unterschied.«) fand ich inaktive EXE files im Fonts-Ordner. Waren tot im Autstart, also harmlos; Zeitstempel passen.

Nun würde ich diesen diesen Files am Zeug flicken. Per Kommandozeile nicht prickelnd und unhandlich. Der Explorer aber ist ja betriebsblind gemäß Desktop.Ini und lässt mich nur Schriften sehen.

Welcher Dateibetrachter ohne Luxus und Zubehör (z.B. SpeedCommander als richtiger Donnerbolzen) wäre geeignet den Explorer da mal zu vertreten? (Nein, ich habe nicht recht Lust an der Desktop.Ini da drin herumzufricklen.)

CN8
 
@Shagrath
Keiner der beiden kommt dahin wo ich hin will. Weder oller Norton noch SSH ;)
Wenn nötig wuchte ich SpeedCommander auf das Vurtuell-Serverchen. Denn…

@hybridlite
…der vorgeschlagene Ersatz hat genau den selben Mangel den der Explorer hat: Systemordner werden mir mit Systemeigenschaften und nicht als simpler Dateiordner dargestellt.

Wen noch jemand etwas »kleineres« hätte das wirklich Dateine und keine Sysrtemelemente anzeigt, wohl aber alle WIN-Funktionen in handhabbarer Weise anbietet, wäre mir das durchaus recht.

CN8
 
Ich glaube, noch nicht verstanden zu haben worin für Dich der Unterschied zwischen der Anzeige "mit Systemeigenschaften" und "als simpler Dateiordner" liegt.
Ich dachte bislang, Du meinst das Ignorieren der Windows-Benutzereinstellungen, wie etwa Ausblenden von Systemdateien und versteckten Dateien. Das nämlich können sowohl der Far Manager wie auch Total Commander bestens und zeigen etwa Links/Junctions als das an, was sie sind.
 
Du willst doch nicht etwa den kompromittierten Server weiter betreiben? Wer weiß, was da noch so alles verstellt wurde. "Zufällig etwas finden" ist kein gutes Sicherheitskonzept.
 
Wenns noch keiner mitbekommen hat: die Intelligenz des Explorers ist das Problem Dinge wie Schriftarten, Drucker, Systemsteuerung gesondert zu behandeln und nicht wie gewöhnliche Ordner.

@Darlis
»Ein Unterschied der keinen Unterschied bewirkt ist kein Unterschied.«
Wenn der Server an sich kompromittiert wäre würden wir das wissen. Warum kann ich nicht genauer angeben, aber es ist so.

CN8
 
cumulonimbus8 schrieb:
Wenns noch keiner mitbekommen hat: die Intelligenz des Explorers ist das Problem Dinge wie Schriftarten, Drucker, Systemsteuerung gesondert zu behandeln und nicht wie gewöhnliche Ordner.

Das habe ich schon mitbekommen, dies gilt aber nur für lokale Ordner, oder?
Für \\Servername\c$\Windows\Fonts dürfte es eigentlich nicht gelten, da Windows dies als Netzlaufwerk ansieht. Ich kann so zumindest im Font-Ordner Text-Dateien anlegen, löschen,... - sofern die Rechte stimmen.
 
Zuletzt bearbeitet:
Wenn der Server an sich kompromittiert wäre würden wir das wissen. Warum kann ich nicht genauer angeben, aber es ist so.
genau deswegen konnte sich unbemerkt eine Exe im Autostart verstecken.
Ich nehme mal an ihr habt kein IDS am laufen, sonst hättet ihr die "inaktive" datei schon vorher bemerkt.
Das Teil gehört komplett neu aufgesetzt, alles andere ist grob fahrlässig.
Hierzu auch nochmal 50 Cent ins Phrasenschwein von mir.
»Nur weil man etwas nicht mehr sieht, heißt es nicht dass es nichtmehr da ist.«

Nur mal so nebenbei, ein halbwegs Professioneller Angreifer legt sich immer zuerst eine Hintertür. Wer weiß wielange die Datei schon im Autostart war (und der doofe Zeitstempel ist hierbei irrelevant). Wahrscheinlich freut sich der Angreifer bereits dass der Server wegen Windows Updates neu gestartet hat. Dadurch konnte er einen schönen NTLM Hash/Kerberos Ticket abfangen, machte nebenbei ne hübsche Privilege Escalation und bewegt sich nun gemütlich im kompletten Netzwerk hin und her.
Aber ihr scheint ja glücklicherweise alles im Griff zu haben.

Die Lösung für dich steht ja bereits da (Netzwerkpfad). Für den nicht Klicki Bunti Admin - what about Powershell?!
Ein simples Remove-Item kriegst du auch noch hin.
 
genau deswegen konnte sich unbemerkt eine Exe im Autostart verstecken.
Es wäre nicht das erste Mal, dass bei Provider XY solches vorkam. Nur bei XY da wir Virtuelle bei mehr ale inem Provider betreiben. →

Ich nehme mal an ihr habt kein IDS am laufen, sonst hättet ihr die "inaktive" datei schon vorher bemerkt.
Von IDS hörte ich noch nie. Kann daran legen, dass Provider XY behauptet, das zu haben. Bemerkung: hier gehts um WIN-Server, mit UNIX-Servern hatten wir, wieder XY, andere Erlebnisse. IntruderDetection ist in dem Sinne bei fremdgehosten System etwas schwierig.

Das Teil gehört komplett neu aufgesetzt, alles andere ist grob fahrlässig.
Dann bin ich fahrlässig weil mein bisschen Verstand mir sagt: »Ein Unterschied der keinen Unterschied bewirkt ist kein Unterschied.«
Dank Hoster XY wäre ein vollrecovern (das einzige das zu Verfügung steht) so hilfreich wie ein Schnupfen: wenns bei dem zum Loche reinpfeift pfeift es durch, und ich kann genau nichts machen.

Hierzu auch nochmal 50 Cent ins Phrasenschwein von mir.
»Nur weil man etwas nicht mehr sieht, heißt es nicht dass es nichtmehr da ist.«

Wenn es aber da ist und nichts tut (tun kann) muss ich nicht wissen, dass es da ist weil nichts da ist was etwas tun kann. Welches da da jeweils gemeint ist lasse ich mal offen.
→ Genaugenommen sind bei dem WM-Server so viel Dinge ab Werk da von den ich nicht weiß, dass sie da sind, mir aber Knüppel zwischen die Beine werfen, weil man nie mit solchen Hindernissen rechnet.

Nur mal so nebenbei, ein halbwegs Professioneller Angreifer legt sich immer zuerst eine Hintertür. Wer weiß wielange die Datei schon im Autostart war (und der doofe Zeitstempel ist hierbei irrelevant).
Wenn schon der Dateisystemstempel nichts aussagt sagt dar keine Dateisystemangabe irgendwas aus - du und ich könnten daher nie wissen was im Keller herumspukt. Aus diesem Grunde bin ich nicht schlauer als die Infos die ich bekommen kann (kann!)
Ja, wenn ich nicht sofort was anrichten will lege ich die Bombe und warte bis zu zünden sich lohnt. → Im Grunde wäre ein Antwort nach alternativen Dateibetrachtern um so dringlicher weil man sich schön unter Fonts parken konnte.

Wahrscheinlich freut sich der Angreifer bereits dass der Server wegen Windows Updates neu gestartet hat.
Nach dem Zeitstempel wären es wohl schon mehrere Neustarts gewesen.

Dadurch konnte er einen schönen NTLM Hash/Kerberos Ticket abfangen, machte nebenbei ne hübsche Privilege Escalation und bewegt sich nun gemütlich im kompletten Netzwerk hin und her.
Oh, hübsch. dann würde sich der Provider freuen.

Aber ihr scheint ja glücklicherweise alles im Griff zu haben.
Nö. Der Provider. Sagt er.

Die Lösung für dich steht ja bereits da (Netzwerkpfad). Für den nicht Klicki Bunti Admin - what about Powershell?!
Ein simples Remove-Item kriegst du auch noch hin.

Mach mal Netzwerkpfad auf virtuellen Servern beim Provider. Und PowerShell wäre die zuvielte Fremdsprache die ich mir aneignen sollte.


Ich kann den Server nicht täglich, nicht mal wöchentlich manuell sichten (kennst du, um dem Provider zu umgehen, z.B. ein Virenschild?). In den Zeitfenstern kann sonstwas passieren.

CN8
 
So wie ich das verstehe hast du/Ihr einen VPS mit Windows Server XY am laufen. Dieser wird von einem Provider gehostet.
Du hast aber ganz normale Admin Rechte auf dem Windows Server!? Sprich der Provider ist nur für das Hosting zuständig. (bitte korrigiere mich falsch ich falsch liege)
Dementsprechend hat dein Server auch eine Öffentliche IP Adresse, die jeder erreichen kann und entsprechend auf Sicherheitslücken überprüft werden. Dass ein Hack über den Host geschieht halte ich für relativ unwahrscheinlich, da der Provider dann ganz andere Probleme hätte. Virtualisierung gilt in der Hinsicht als sicher und es ist mir kein Hypervisor bekannt, von dem aus ein Hack ins Gastsystem möglich ist.
Dass ein Server öfters attackiert wird als der andere kann reiner Zufall sein. Zum spaß hatte ich mal 3 Linux Büchsen relativ offen. Einer wurde in einer Stunde über 50K mal "attackiert" der andere nur einige 100 mal. Dabei handelte es sich um primitive SSH Bruteforce Attacken, unter Windows gibt es ähnliches. Ein offener Windows DNS, mit AD (Testsystem) wurde innerhalb eines Tages von Angreifern übernommen und musste vom Provider heruntergefahren werden.

Ich kann den Server nicht täglich, nicht mal wöchentlich manuell sichten
genau das ist der falsche Ansatz, wie willst du denn einen Server "sichten"?
Es steht ja nirgends geschrieben dass sich ein Virus im Windows/Fonts Ordner befindet.

(kennst du, um dem Provider zu umgehen, z.B. ein Virenschild?).
Nennt sich im einfachsten Fall Windows Firewall...

Nochmal, das Ding gehört neu aufgesetzt, anschließend (bevor er über eine öffentliche IP erreichbar ist), mit verschiedenen Hardening Mechanismen abgesichtert (Windows Firewall, unnötige Dienste abschalten etc.)

Wenn schon der Dateisystemstempel nichts aussagt sagt dar keine Dateisystemangabe irgendwas aus
Das Problem hast du in der Tat nahezu immer, zunächst einmal muss davon ausgegangen werden, dass die Systeme nicht verseucht sind. In diesem Fall weißt du aber dass es einen Befall gab, deswegen musst du vom genauen Gegenteil ausgehen. Je nachdem wie schwerwiegend der Befall war/ist, kann der Angreifer so ziemlich alles ändern/verschleiern.

»Ein Unterschied der keinen Unterschied bewirkt ist kein Unterschied.«
Sorry dass ich das Sagen muss, in diesem Fall definitiv nicht. Wie erkennt man denn die Auswirkungen eines Virenbefalls? Dafür gibt es kein Rezept und oftmals siehst die das mit bloßem Auge nicht. Nur weil du keinen Unterschied bemerkst, heißt es nicht dass es keinen gibt!
Ich klaue mir die PID eines bekannten Prozesses, schieße den ab und im Taskmanager sieht für dich alles Friede freude Eierkuchen aus.

IMHO hat der Befall weniger mit dem Provider zu tun, als vielmehr mit der ungenügend abgesicherten Windows Server Welt. Ein Befallener Server ist keine Schande, das kommt in den besten Familien vor :evillol: . Allerdings sollte man aus einem solchen Fall entsprechend korrekt reagieren.
BTW, sofern es sich wie oben vermutet um einen VPS Server mit Root Zugriff etc handeln sollte, dann bist du für das Backup zuständig, nicht der Provider! Du mietest dir damit nur die Hardware auf der das läuft. Falls du noch konkrete Tipps haben willst, kann ich dir gerne helfen, aber mit einem Dateiexplorer kommst du hier wahrscheinlich nicht weit.
 
Zurück
Oben