locked
Windows XP Client wird regelmässig gehackt. RRS feed

  • Allgemeine Diskussion

  • Hi!

    Ich brauche für eine Maschinensteuerung einen Windows XP-Rechner, der vom Maschinenhersteller entsprechend modifiziert wird, und diese Modifikationen sind mir mehr oder weniger unbekannt. Vertraulich anscheinend.

    Das Ding steckt direkt hinter einer Hardwarefirewall, auf der ich nur die Ports nach Herstellerangabe freigeschaltet habe.

    Jetzt ist es aber so, dass ich das Ding schon 4x neu aufgesetzt habe, und auch verbotener Weise mit einem Antivirusprogramm ausgestattet habe, weil ich immer wieer Hackerattacken habe. Das AV-Programm und dessen Softwarefirewall hat mir jetzt mehr oder weniger den A. gerettet, aber ich wurde schon wieder gehackt.

    Der Hacker macht das so, dass in der Root ein paar Batch-Dateien liegen, die Programme im Programme-Ordner aufrufen, die irgendwie dorthin kopiert werden. Das sind die Viren. Ganz gewöhnliche EXE-Dateien. Die Batch-Dateien werden per Taskplaner alle 15 Minuten aufgerufen. Die Programme haben so komische nachen wie A21 und so. Wenn sich die Viren verbreiten (ohne AV-Programm), dann istalliert sich ein Torjaner-Downloader, der dann automatisch von einer Webseite alle bekannten Trojaner und Viren runterlädt. Das Ding kann man auch kaum normal entfernen (nur neue aufsetzten hilft wirklich). Weiters gibt es viele Benutzer, obwohl wir selbst nur einen eingerichtet haben.

    Der Hersteller bestreitet, dass die Angriffe übers Internet kommen, aber woher sollen die denn sonst sein!?

    Ich habe jetzt per Firewall alle eingehenden Zugriffe gesperrt, und siehe da, der Rechner läuft seit Tagen ohne Fehler!

    Hat jemand einen Tipp, wie ich feststellen kann wie der Hacker reinkommt, und wie ich das zukünftig verhindern kann?

    Danke,
    Christian.

    Sonntag, 5. Juni 2011 14:10

Alle Antworten

  • Hi,

    Am 05.06.2011 16:10, schrieb Christian-Josef Schrattenthaler:

    Das Ding steckt direkt hinter einer Hardwarefirewall, auf der ich nur die Ports nach Herstellerangabe freigeschaltet habe.

    ... die hat der Hersteller für die Maschinensteuerung mitgeliefert?
    ... das ist deine eigene FW für das LAN oder für die MaschSteuerung?
    ... welche Ports?
    ... wessen Herstellerangabe? Die des Maschinensteuerungsherstellers?
        die der HwardwareFirewall?
    ... wieso ist das Gerät direkt mit einer öffentlichen IP erreichbar?
        warum steht es nicht mal zum Test hinter einem NAT?
    ... wieso ist es nicht komplett durchgepatcht?
    ... wieso sind keine ordentlichen Kennworte verwendet?
    ... wieso ist der angemeldete Benutzer Administrator?
    ... die XP Firewall ist sicher, wenn sie auf "alle Türen zu" steht.
    ... warum darf der Rechner überhaupt ins Internet?

    Der Hersteller bestreitet, dass die Angriffe übers Internet kommen, aber woher sollen die denn sonst sein!?

    ... intern aus deinem eigenen Netzwerk, aber deine Rechner sind
        evtl. aktuell gepatcht oder durch andere Mechanismen geschützt

    Fragen über Fragen ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Sonntag, 5. Juni 2011 16:58
  • Hallo!

    Also die HW-Firewall ist von uns, da hängen mehrere getrennte Netze dran. 1 Netz haben wir nur für diese Maschine eingerichtet. D.h. eine fixe IP-Adresse vom ISP wird auf genau den Netzwerkport für diese interne Netzwerk (da hängt nur der 1 PC) weitergereicht.

    Der Rechnur wurde von mir persönlich komplett neu aufgesetzt mit allen Microsoft Updates. Dann noch eine AV-Software mit zusätzlicher Software-Firewall. Alles Standard, und das lief einwandfrei.

    Dann kam der Hersteller, und der verlangt, dass gewisse Ports (FTP, HTTP, MS-SQL, VNC usw.) in der HW- und der Software-Firewall freigeschaltet werden, weil er da Dienste dafür installiert hat. Ich müsste erst mal rausfinden, welche Ports er genau geöffnet hat. Derzeit habe ich einfach alles von Außen gesperrt.

    Lt. Herstellervorgabe, also dem Maschinenhersteller, müssen wir das so machen. Was er da genau installiert, das will er uns nicht sagen. Intern glaube ich nicht, dass jemand von uns da was rumpfuscht, da würden wir uns ja selber ins Knie schießen.

    Gruß,
    Christian.

    Sonntag, 5. Juni 2011 18:30
  • Am 05.06.2011 20:30, schrieb Christian-Josef Schrattenthaler:

    D.h. eine fixe IP-Adresse vom ISP wird auf genau den Netzwerkport für
    diese interne Netzwerk (da hängt nur der 1 PC) weitergereicht [...] Dann kam der Hersteller, und der verlangt, dass gewisse Ports (FTP, HTTP, MS-SQL, VNC usw.) in der HW- und der Software-Firewall freigeschaltet werden, [...]

    Wenn diese Ports direkt von aussen erreichbar sind, ohne VPN etc.
    dann ist die Frage: Welche PRogramme stehen dahinter und wie aktuell
    sind diese?

    Die MS eigenen Dienste sind durch deine Windows Updates gesichert, aber
    für die Drittanbieter bist du immer abhängig von deren Updates und deren
    Pflege. Kombiniert mit sicheren Benutzername/Kennworten.
    "VNC" mit "VNC" als Kennwort ist sicherlich nicht der Renner ...

    Tools wie Nessus können dir bekannte Probleme mit den installierten
    PRogrammen nennen und auch zeigen ob sie akut angreifbar sind.

    Vielleicht hilft dir auch der Name des Virus weiter, denn es könnte
    dokumentiert sein, "wie" er ins Netz kommt.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Sonntag, 5. Juni 2011 19:21
  • Hallo Mark!

    Danke für die ganzen Tipps. Ich habe jetzt die HW-Firewall komplett zugedreht, und siehe da seit Tagen alles problemlos. Ich bin mir sicher, dass eines der Programme des Herstellers ein Leck hat, denn das XP hat alle Updates drauf, und nur die Ports für die Spezialprogramme des Herstellers sind in der HW- und in der SW-Firewall ungeschützt, und da weis ich einfach nicht, welche Tolls die da einsetzen.

    Der Hersteller hat jetzt gesagt, dass er das ganze nochmals prüfen wird, aber nähere Informationen habe ich noch nicht.

    Bin schon mal gespannt...

    Danke,
    Christian.

    Freitag, 10. Juni 2011 11:02
  • Hi,

    Am 10.06.2011 13:02, schrieb Christian-Josef Schrattenthaler:

    Danke für die ganzen Tipps.

    Hast du es mal intern mit Nessus probiert?
    http://www.tenable.com/products/nessus/nessus-homefeed

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 10. Juni 2011 21:22
  • Meiner Meinung nach kommt die Sicherheitslücke vom Hersteller. Irgend ein Dienst an einem offenen Port. Der streitet das aber ab. Jetzt bekommen wir eine komplett neue Maschine, wo nur noch der HTTP-Port offen sein muss. Interessant, nicht wahr? Aber hauptsache, es gibt eine Lösung.

    Montag, 4. Juli 2011 08:32