Server startet SNMP Angriffe

[Varrius]

hi,

wir haben bei uns in der Abteilung vor kurzem einen neuen Server eingerichtet, haben nun aber vom "Hauptserver" Admin die Nachricht bekommen, das unser Server wohl jeden Abend um 0Uhr SNMP (oder SNTP?) Angriffe startet.

Bei uns in der Firma hat jede Abteilung einen eigenen Domain/File Server und es gibt noch einen "Hauptserver" über den die Anmeldung der Leute erfolgt. Es gibt in unserem Domainbereich auch einen Printserver (kleiner Kasten mit Drucker hinten dran )

Auf dem Server läuft Win 2000 Server.

Ich hoffe die Angaben reichen, bei Fragen versuche ich diese gerne sie zu beantworten. Da ich aber derzeit in der Berufsschule bin, hab ich grad keinen direkten Zugriff. (Deswegen bin ich mir auch nicht mehr sicher wie die Angriffe heißen.)

Vielen Dank für eure Hilfe/ Anregung

Varrius

[nic_power]

Hallo,

Falls es tatsächlich SNMP (Simple Network Management Protocol) Requests sind (was nicht unwahrscheinlich ist), würde ich nicht direkt von einem Angriff sprechen. SNMP ist ein Protokoll, um Daten auf entfernten Systemen abzufragen, die zum Management dieser Systeme verwendet werden können. Habt ihr auf dem System eine Netzwerkmanagemen-Software oder etwas ähnliches am laufen?

Nic

[Varrius]

was meinst du mit netzwerkmanagement software?

es ist er domaincontroller wenn du das meinst und fileserver

das mit den angriffen war auch nicht so ernst gemeint, nur meldet die firewall unseres hauptserver, dass jemand ihn anpingt bzw. portscans macht und das von unserem server aus

[Nobody]

TopTools z.B.

Bei der defaultinstallation fragt er einmal am Tag das ganze Netzwerk ab.

WebJetdirekt macht das glaub ich auch.

[Varrius]

sollte man diese "tools" selber installieren müssen, sind sie nicht drauf, zumindest nicht authorisiert, da ausser mir keiner was installiert haben sollte

gibt es vielleicht ein programm von windows, was etwas ähnliches macht?

[Nobody]

1. Ja

2. Wenn du schon fragst, was auf deinem Server SNMP benutzt, und du nichts installiert hast, wieso läuft dann der Dienst überhaupt.

Ber der StandardInst von W2KServer ist der deaktiviert (99% sicher). Also muss er ja aktiviert worden sein.

Welche Hardware ist den der Server, Was neueres?

Proliants vielleicht. Eventuell irgendwelche Agents (z.B. Remote Insight Agents heissen die bei Compaq) installiert?

[Varrius]

is nen neuer dell server

p4 2,8 1GB Ram 2Raid 1

kenne den agent nicht, weiss also nicht womit der zu vergleichen is

wir haben aber nen SUS-Server drauf zu laufen und VNC als remote

nicht wundern das ich keine ahnung hat, aber wer beauftragt schon jemand aus'm ersten lehrjahr zum einrichten eines domaincontrollers in einer firmenstruktur mit win nt servern

[MaxMx318i]

is nen neuer dell server

p4 2,8 1GB Ram 2Raid 1

Hi,

die Dell Server haben den IT-Assistant und Dell Management Console die SNMP benutzen.

Wenn du SNMP eh nicht brauchst, dann beende doch einfach den Dienst...

gruss

max

[Varrius]

eigentlich dürfte nix von dell drauf laufen, da wir ihn formatiert und neu installiert haben, allerdings ohne die dell CD

hab nochmal mit jemanden gesprochen der sich bisher ein wenig mit dem server beschäftigt hat, er meint es sind SMTP-Request

er meint der server prüft, ob andere rechner da sind und startet diese abfrage jeden abend um 0 uhr

[Nobody]

Einfach mal nach TCPView googlen.

Dort kann man nachschauen, welche Verbindungen gerade offen sind, und von welcher Applikation die Verbindung gerade hergestellt wurde.

[alexf10]

oder einfach netstat -an >> netstat.log mit dem Taskmanager laufen lassen.

[hades]

er meint es sind SMTP-Request

er meint der server prüft, ob andere rechner da sind und startet diese abfrage jeden abend um 0 uhr

Erkundige Dich bitte nach der genauen (Fehler-)Meldung, poste sie hier und poste auch wo sie erscheint (z.B. in der Ereignisanzeige).

Dann koennen wir Dir auch sagen was es ist.