1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Smominru: Riesiges Botnetz…

Wie erkennen?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Wie erkennen?

    Autor: ldlx 05.02.18 - 19:12

    Gibt es dann eine "MoneroMiner.exe" im Taskmanager? Oder muss ich jetzt auf jedem einzelnen Server die große Keule rausholen, um das Ding zu erkennen/zu beseitigen? (meint Process Explorer über Stunden laufen lassen und dann unerwünschtes Verhalten analysieren).

  2. Re: Wie erkennen?

    Autor: NaruHina 06.02.18 - 07:48

    Abweichungen von der üblichen Last sollte für gewöhnlich jedes Monitoring anzeigen, ist ja nicht so als ob solche miner wenig Last verursachen.

  3. Re: Wie erkennen?

    Autor: gaym0r 06.02.18 - 09:52

    NaruHina schrieb:
    --------------------------------------------------------------------------------
    > ist ja nicht so als ob solche miner wenig Last verursachen.

    Kommt drauf an, wie man den einstellt. Ich würde wenig Last beanspruchen um nicht aufzufallen.

  4. Re: Wie erkennen?

    Autor: Der Held vom Erdbeerfeld 06.02.18 - 11:03

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Kommt drauf an, wie man den einstellt. Ich würde
    > wenig Last beanspruchen um nicht aufzufallen.

    Und zudem die Last variieren. Wenn ein Prozess dauerhaft x Prozent CPU-Last generiert, sticht das auch ins Auge, wenn x niedrig gewählt ist.

  5. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:03

    Interessant wäre ja, wie man das feststellen kann, wenn man jetzt keine besondere Monitoring-Software einsetzt. So wie das in kleinen Unternehmen der Fall ist. Also mal eben (mit wöchentlicher oder monatlicher Routine z. B. im Rahmen eines Wartungsvertrags mit x Stunden) einloggen und nachschauen, ob alles gut ist.

  6. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:28

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Interessant wäre ja, wie man das feststellen kann, wenn man jetzt keine
    > besondere Monitoring-Software einsetzt.

    Ich nutze, urspruenglich mehr oder weniger unfreiwillig, Monitoringhardware ;).
    Einer der Luefter hat einen leichten Schaden, im Normalbetrieb faellt das nicht auf, aber wenn die Systemlast hoch geht, dann dreht er ab einer bestimmten Drehzahl richtig auf.

    Demzufolge schaue ich jedes Mal nach, woran es liegt, wenn er rattert, ohne dass er eine Mission von mir bekommen hat.

  7. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:31

    Bringt mich beim 0815-Windows-Server immer noch nicht weiter. Und ich sitze selten neben den Servern, die ich betreue, da kriege ich einen unrund laufenden Lüfter nicht mit.

  8. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:35

    Wenn du nicht daneben sitzt, dann kannst Du dich auch via RDP mal draufsetzen oder suchst Du etwas, was dich bei Triggern benachrichtigt?

    Wenn du ohnehin regelmaessig mal drauf schaust, dann mach dir doch eine Liste der Prozessorlast/Besuchsdatum, wenn diese ploetzlich stark veraendert ist, dann sollte man schon mal schauen. Ob du das nun skriptest oder von Hand machst, bleibt ganz dir ueberlassen.



    1 mal bearbeitet, zuletzt am 06.02.18 18:40 durch bombinho.

  9. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:44

    Ich logge mich jetzt nicht jeden Tag auf jedem Server ein, um zu schauen, ob da irgendwas "komisch" ist, nur so auf Verdacht oder Bauchgefühl hin, aber wenn mir das entsprechend vergütet wird, mach ich einen solch stumpfsinnigen job.
    Mein ziel ist ja eher, dass mir ein server bescheid sagt, wenn ihm was fehlt - nur muss dem natürlich noch einprogrammiert werden, wann er ne meldung bringen soll.

    Genau, mal ne Info, welchen Trigger ich einrichten muss, um entsprechend schädliche Prozesse für genau dieses Problem zu erkennen, wär ganz gut. Falls das einfacher/universeller geht, immer her mit der Info. Sollte nur vong Niveau her etwas über "Server ist dauerhaft bei 50% CPU-Last" sein, das ist mir etwas zu platt - bei manchem Server kann das durchaus normal sein.

  10. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:45

    Wenn das etwas zu ungenau erscheint, dann eine Liste der Prozesse und Dienste.

  11. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:50

    Und nu die einfache Anleitung bitte. Hier sind vielleicht ein paar einfache Admins und auch ein paar Specialists unterwegs, dennoch spart es viel Lebenszeit, wenn für dieses spezifische Problem eine Handlungsanleitung vorhanden ist. Wenn du zu diesem spezifischen Problem Erfahrungswerte hast, kann vielen Admins geholfen werden. Wenn du das versilbern willst, gibt es auch dafür bestimmt eine Plattform.

  12. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:52

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Genau, mal ne Info, welchen Trigger ich einrichten muss, um entsprechend
    > schädliche Prozesse für genau dieses Problem zu erkennen, wär ganz gut.
    > Falls das einfacher/universeller geht, immer her mit der Info. Sollte nur
    > vong Niveau her etwas über "Server ist dauerhaft bei 50% CPU-Last" sein,
    > das ist mir etwas zu platt - bei manchem Server kann das durchaus normal
    > sein.

    Korrekt, deswegen ja das Monitoring des Istzustandes. Wenn der Server normal bei 70% liegt, dann ist 100% ein Hinweis, dass das Backup oder der AV etc. orgeln.

    Es ist der Zusammenhang gefragt, wenn Du keine Spezialsoftware kaufen willst, es gibt viel im Netz zu finden zum Thema CPU-Last auslesen, dann einfach mal selbst etwas stricken. Lediglich die Mailbenachrichtigung wird etwas eklig unter Win.

    https://msdn.microsoft.com/en-us/library/windows/desktop/aa373078%28v=vs.85%29.aspx

  13. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:54

    Dir ist schon klar, dass ich nicht den geringsten Schimmer ueber deine spezifischen Aufbauten habe?

    Waere Syslog eine Option?

    In was programmierst Du?



    1 mal bearbeitet, zuletzt am 06.02.18 18:55 durch bombinho.

  14. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:55

    Es würde eher helfen, wenn eine Software sagt "hey schau mal, dieser Prozess ist neu" oder "hey schau mal, dieser Prozess ist neu und verursacht erhöhte CPU-Last".

  15. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:57

    Nur so paar Standard-Windows-Umgebungen mit Fileserver, SQL, Exchange und eine handvoll Spezialanwendungen. Fürs Monitoring gibts Spiceworks, aber das ist auch nicht die Universalwaffe für Echtzeitdaten.

  16. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:58

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Es würde eher helfen, wenn eine Software sagt "hey schau mal, dieser
    > Prozess ist neu" oder "hey schau mal, dieser Prozess ist neu und verursacht
    > erhöhte CPU-Last".
    An einem Update- Tag?

    Das naechste Problem ist, wie willst Du benachrichtigt werden? Welche Infrastruktur hast Du dafuer bereits laufen?

    Ah, okay, Spiceworks, schau ich mal an.



    1 mal bearbeitet, zuletzt am 06.02.18 18:59 durch bombinho.

  17. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:59

    Falls du Informationen zu diesem speziellen Problem hast und bereit bist, diese zu teilen, wäre das hilfreich. Aber vielleicht wartest du auch noch darauf, dass einer der von dir betreuten Server ein merkwürdiges Verhalten zeigt.

  18. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 19:01

    genau, was unterscheidet einen Update-Tag (für welches Produkt?) von einem "normalen Tag". Wie kann eine Software das unterscheiden? Wenn das so einfach wäre, hätte ich dafür auch schon selbst eine universelle Lösung gefunden. Ab und zu sind andere auch mal schlauer als ich und kennen Lösungen, die ich dann nicht nochmal neu erfinden muss.

  19. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 19:04

    Programmieren... zählt Batch und PowerShell für dich auch dazu? Sonst nur mal bissl Kleinkram in C# (und der Quellcode is so dreckig, dass nichtmal Staubsauger und Wischlappen helfen).

  20. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 19:19

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Ab und zu sind andere auch mal schlauer als ich und kennen
    > Lösungen, die ich dann nicht nochmal neu erfinden muss.

    Fuer heute Abend muss ich erst mal aussteigen, ich schau morgen noch mal rein, ich muss auch erst einmal schauen, wozu man Spiceworks ueberreden kann. Sieht aber auf den ersten Blick etwas eingeschraenkt aus.

    Fuer das Erfinden, da gibt es sicher auch fuer C# jede Menge Beispiele. Mein Problem mit C# ist die Unmenge an Versionen fuer die .Net Bibliotheken. Damit will man einen Server nicht unbedingt zupflastern.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Allianz Private Krankenversicherungs-AG, München-Unterföhring
  2. Heinrich-Heine-Universität, Düsseldorf
  3. SCHOTT AG, Mainz
  4. CURRENTA GmbH & Co. OHG, Leverkusen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 7,99€
  2. 19€
  3. 31,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


DSGVO: Nicht weniger als Staatsversagen
DSGVO
Nicht weniger als Staatsversagen

Unterfinanziert und wirkungslos - so zeigen sich die europäischen Datenschutzbehörden nach zwei Jahren DSGVO gegenüber Konzernen wie Google und Facebook.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Datenschutzverstöße EuGH soll über Verbandsklagerecht entscheiden
  2. DSGVO Proton vergisst Git-Zugang auf Datenschutzwebseite
  3. DSGVO Iren sollen Facebook an EU-Datenschützer abgeben

Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display

Energieversorgung: Wasserstoff-Fabrik auf hoher See
Energieversorgung
Wasserstoff-Fabrik auf hoher See

Um überschüssigen Strom sinnvoll zu nutzen, sollen in der Nähe von Offshore-Windparks sogenannte Elektrolyseure installiert werden. Der dort produzierte Wasserstoff wird in bestehende Erdgaspipelines eingespeist.
Ein Bericht von Wolfgang Kempkens

  1. Industriestrategie EU plant Allianz für sauberen Wasserstoff
  2. Energie Dieses Blatt soll es wenden
  3. Energiewende Grüner Wasserstoff aus der Zinnschmelze