Gelöst - Trojaner oder Backup

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
Miksch
Beiträge: 1100
Registriert: 11.04.2005 13:45:48

Gelöst - Trojaner oder Backup

Beitrag von Miksch » 05.05.2019 17:29:28

Guten Abend,

ich habe unser Netzwerk mit Nmap 7.70 und openVAS Kali-Linux rolling 9.0.3 getestet und folgende Ergebnisse bekommen

Code: Alles auswählen

10001/tcp open  msexchange-logcopier Microsoft Exchange 2010 log copier
10002/tcp open  msexchange-logcopier Microsoft Exchange 2010 log copier
10003/tcp open  remoting             MS .NET Remoting services
und

Code: Alles auswählen

High (CVSS: 10.0)
NVT: Trojan horses
Summary
An unknown service runs on this port. It is sometimes opened by Trojan horses. Unless you
know for sure what is behind it, you'd better check your system.
Vulnerability Detection Result
An unknown service runs on this port. It is sometimes opened by this/these Troja
,→ n horse(s):
OpwinTRojan
Solution
Solution type:
Workaround
If a trojan horse is running, run a good antivirus scanner.
Vulnerability Detection Method
Details:
Trojan horses
OID:1.3.6.1.4.1.25623.1.0.11157
Version used:
$Revision: 12057 $
Das interpretiere ich so, dass ich davon ausgehe, dass wir auf dem Server einen OpwinTRojan Trojaner haben, der im Moment des Nmap-Scans gerade dabei ist MSExchange-Daten zu klauen.
Davon gehe ich aus, weil der Server ein Backup-Server ist. Arcserve (unsere Sicherungssoftware) normalerweise den Port 65001 nutzt und weil ein remote-Zugriff immer von außen, nicht aus dem eigenen Netz kommt. Außerdem würde kein Backupprogramm unterschiedliche Ports nutzen - hier: 10003 und 10005.

Unser Admin behauptet felsenfest, dass es ein Backupvorgang sei.

Liege ich da so völlig falsch?

TIA und viele Grüße
Miksch
Zuletzt geändert von Miksch am 05.05.2019 22:31:08, insgesamt 1-mal geändert.

uname
Beiträge: 9861
Registriert: 03.06.2008 09:33:02

Re: Trojaner oder Backup

Beitrag von uname » 05.05.2019 19:22:57

Bei einem potentiell verseuchten System etwas problematisch, aber was sagt unter Windows:

Code: Alles auswählen

netstat -bno
Nicht selbst probiert. Habe kein Windows.

Benutzeravatar
Miksch
Beiträge: 1100
Registriert: 11.04.2005 13:45:48

Re: Trojaner oder Backup

Beitrag von Miksch » 05.05.2019 19:45:45

Danke für die Antwort, aber das weiss ich nicht, müsste der Admin testen, von daher schwierig ;).
Zuletzt geändert von Miksch am 05.05.2019 19:52:47, insgesamt 1-mal geändert.

Benutzeravatar
niemand
Beiträge: 12708
Registriert: 18.07.2004 16:43:29

Re: Trojaner oder Backup

Beitrag von niemand » 05.05.2019 19:52:20

Auch dort gibt’s netstat.
(Bezugsbeitrag wurde geändert)
Zuletzt geändert von niemand am 05.05.2019 19:58:11, insgesamt 2-mal geändert.
ENOKEKS

Benutzeravatar
Miksch
Beiträge: 1100
Registriert: 11.04.2005 13:45:48

Re: Trojaner oder Backup

Beitrag von Miksch » 05.05.2019 19:54:31

Meine erste Antwort war falsch, das betrifft einen weiteren Server. Das hatte ich verwechselt.

eggy
Beiträge: 1847
Registriert: 10.05.2008 11:23:50

Re: Trojaner oder Backup

Beitrag von eggy » 05.05.2019 20:19:23

$suchmaschine: 10005 port arcserve bringt
https://documentation.arcserve.com/Arcs ... ?3347.html
Setzen Sie ENABLE_CONFIGURABLE_PORTS=1
Fügen Sie filertoserver 10000;10001-10005 hinzu.
Scheint so, als hätte Euer Admin das laut Doku gemacht.

Kleiner Tipp am Rande: die meisten Admins mögens garnicht, wenn man mit "komischer Software" in ihrem Netz rumballert, und falls Du dazu keinen Auftrag hattest, kann das "war ja nur gut gemeint" sehr schnell nach hinten losgehen (aka arbeitsrechtliche Konsequenzen haben).

Benutzeravatar
Miksch
Beiträge: 1100
Registriert: 11.04.2005 13:45:48

Re: Trojaner oder Backup

Beitrag von Miksch » 05.05.2019 22:30:11

Vielen Dank, egge!
Doch, habe einen Auftrag dafür, deshalb mag er mich auch nicht ;).

Antworten