1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Smominru: Riesiges Botnetz…

Wie erkennen?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Wie erkennen?

    Autor: ldlx 05.02.18 - 19:12

    Gibt es dann eine "MoneroMiner.exe" im Taskmanager? Oder muss ich jetzt auf jedem einzelnen Server die große Keule rausholen, um das Ding zu erkennen/zu beseitigen? (meint Process Explorer über Stunden laufen lassen und dann unerwünschtes Verhalten analysieren).

  2. Re: Wie erkennen?

    Autor: NaruHina 06.02.18 - 07:48

    Abweichungen von der üblichen Last sollte für gewöhnlich jedes Monitoring anzeigen, ist ja nicht so als ob solche miner wenig Last verursachen.

  3. Re: Wie erkennen?

    Autor: gaym0r 06.02.18 - 09:52

    NaruHina schrieb:
    --------------------------------------------------------------------------------
    > ist ja nicht so als ob solche miner wenig Last verursachen.

    Kommt drauf an, wie man den einstellt. Ich würde wenig Last beanspruchen um nicht aufzufallen.

  4. Re: Wie erkennen?

    Autor: Der Held vom Erdbeerfeld 06.02.18 - 11:03

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Kommt drauf an, wie man den einstellt. Ich würde
    > wenig Last beanspruchen um nicht aufzufallen.

    Und zudem die Last variieren. Wenn ein Prozess dauerhaft x Prozent CPU-Last generiert, sticht das auch ins Auge, wenn x niedrig gewählt ist.

  5. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:03

    Interessant wäre ja, wie man das feststellen kann, wenn man jetzt keine besondere Monitoring-Software einsetzt. So wie das in kleinen Unternehmen der Fall ist. Also mal eben (mit wöchentlicher oder monatlicher Routine z. B. im Rahmen eines Wartungsvertrags mit x Stunden) einloggen und nachschauen, ob alles gut ist.

  6. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:28

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Interessant wäre ja, wie man das feststellen kann, wenn man jetzt keine
    > besondere Monitoring-Software einsetzt.

    Ich nutze, urspruenglich mehr oder weniger unfreiwillig, Monitoringhardware ;).
    Einer der Luefter hat einen leichten Schaden, im Normalbetrieb faellt das nicht auf, aber wenn die Systemlast hoch geht, dann dreht er ab einer bestimmten Drehzahl richtig auf.

    Demzufolge schaue ich jedes Mal nach, woran es liegt, wenn er rattert, ohne dass er eine Mission von mir bekommen hat.

  7. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:31

    Bringt mich beim 0815-Windows-Server immer noch nicht weiter. Und ich sitze selten neben den Servern, die ich betreue, da kriege ich einen unrund laufenden Lüfter nicht mit.

  8. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:35

    Wenn du nicht daneben sitzt, dann kannst Du dich auch via RDP mal draufsetzen oder suchst Du etwas, was dich bei Triggern benachrichtigt?

    Wenn du ohnehin regelmaessig mal drauf schaust, dann mach dir doch eine Liste der Prozessorlast/Besuchsdatum, wenn diese ploetzlich stark veraendert ist, dann sollte man schon mal schauen. Ob du das nun skriptest oder von Hand machst, bleibt ganz dir ueberlassen.



    1 mal bearbeitet, zuletzt am 06.02.18 18:40 durch bombinho.

  9. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:44

    Ich logge mich jetzt nicht jeden Tag auf jedem Server ein, um zu schauen, ob da irgendwas "komisch" ist, nur so auf Verdacht oder Bauchgefühl hin, aber wenn mir das entsprechend vergütet wird, mach ich einen solch stumpfsinnigen job.
    Mein ziel ist ja eher, dass mir ein server bescheid sagt, wenn ihm was fehlt - nur muss dem natürlich noch einprogrammiert werden, wann er ne meldung bringen soll.

    Genau, mal ne Info, welchen Trigger ich einrichten muss, um entsprechend schädliche Prozesse für genau dieses Problem zu erkennen, wär ganz gut. Falls das einfacher/universeller geht, immer her mit der Info. Sollte nur vong Niveau her etwas über "Server ist dauerhaft bei 50% CPU-Last" sein, das ist mir etwas zu platt - bei manchem Server kann das durchaus normal sein.

  10. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:45

    Wenn das etwas zu ungenau erscheint, dann eine Liste der Prozesse und Dienste.

  11. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:50

    Und nu die einfache Anleitung bitte. Hier sind vielleicht ein paar einfache Admins und auch ein paar Specialists unterwegs, dennoch spart es viel Lebenszeit, wenn für dieses spezifische Problem eine Handlungsanleitung vorhanden ist. Wenn du zu diesem spezifischen Problem Erfahrungswerte hast, kann vielen Admins geholfen werden. Wenn du das versilbern willst, gibt es auch dafür bestimmt eine Plattform.

  12. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:52

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Genau, mal ne Info, welchen Trigger ich einrichten muss, um entsprechend
    > schädliche Prozesse für genau dieses Problem zu erkennen, wär ganz gut.
    > Falls das einfacher/universeller geht, immer her mit der Info. Sollte nur
    > vong Niveau her etwas über "Server ist dauerhaft bei 50% CPU-Last" sein,
    > das ist mir etwas zu platt - bei manchem Server kann das durchaus normal
    > sein.

    Korrekt, deswegen ja das Monitoring des Istzustandes. Wenn der Server normal bei 70% liegt, dann ist 100% ein Hinweis, dass das Backup oder der AV etc. orgeln.

    Es ist der Zusammenhang gefragt, wenn Du keine Spezialsoftware kaufen willst, es gibt viel im Netz zu finden zum Thema CPU-Last auslesen, dann einfach mal selbst etwas stricken. Lediglich die Mailbenachrichtigung wird etwas eklig unter Win.

    https://msdn.microsoft.com/en-us/library/windows/desktop/aa373078%28v=vs.85%29.aspx

  13. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:54

    Dir ist schon klar, dass ich nicht den geringsten Schimmer ueber deine spezifischen Aufbauten habe?

    Waere Syslog eine Option?

    In was programmierst Du?



    1 mal bearbeitet, zuletzt am 06.02.18 18:55 durch bombinho.

  14. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:55

    Es würde eher helfen, wenn eine Software sagt "hey schau mal, dieser Prozess ist neu" oder "hey schau mal, dieser Prozess ist neu und verursacht erhöhte CPU-Last".

  15. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:57

    Nur so paar Standard-Windows-Umgebungen mit Fileserver, SQL, Exchange und eine handvoll Spezialanwendungen. Fürs Monitoring gibts Spiceworks, aber das ist auch nicht die Universalwaffe für Echtzeitdaten.

  16. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 18:58

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Es würde eher helfen, wenn eine Software sagt "hey schau mal, dieser
    > Prozess ist neu" oder "hey schau mal, dieser Prozess ist neu und verursacht
    > erhöhte CPU-Last".
    An einem Update- Tag?

    Das naechste Problem ist, wie willst Du benachrichtigt werden? Welche Infrastruktur hast Du dafuer bereits laufen?

    Ah, okay, Spiceworks, schau ich mal an.



    1 mal bearbeitet, zuletzt am 06.02.18 18:59 durch bombinho.

  17. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 18:59

    Falls du Informationen zu diesem speziellen Problem hast und bereit bist, diese zu teilen, wäre das hilfreich. Aber vielleicht wartest du auch noch darauf, dass einer der von dir betreuten Server ein merkwürdiges Verhalten zeigt.

  18. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 19:01

    genau, was unterscheidet einen Update-Tag (für welches Produkt?) von einem "normalen Tag". Wie kann eine Software das unterscheiden? Wenn das so einfach wäre, hätte ich dafür auch schon selbst eine universelle Lösung gefunden. Ab und zu sind andere auch mal schlauer als ich und kennen Lösungen, die ich dann nicht nochmal neu erfinden muss.

  19. Re: Wie erkennen?

    Autor: ldlx 06.02.18 - 19:04

    Programmieren... zählt Batch und PowerShell für dich auch dazu? Sonst nur mal bissl Kleinkram in C# (und der Quellcode is so dreckig, dass nichtmal Staubsauger und Wischlappen helfen).

  20. Re: Wie erkennen?

    Autor: bombinho 06.02.18 - 19:19

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Ab und zu sind andere auch mal schlauer als ich und kennen
    > Lösungen, die ich dann nicht nochmal neu erfinden muss.

    Fuer heute Abend muss ich erst mal aussteigen, ich schau morgen noch mal rein, ich muss auch erst einmal schauen, wozu man Spiceworks ueberreden kann. Sieht aber auf den ersten Blick etwas eingeschraenkt aus.

    Fuer das Erfinden, da gibt es sicher auch fuer C# jede Menge Beispiele. Mein Problem mit C# ist die Unmenge an Versionen fuer die .Net Bibliotheken. Damit will man einen Server nicht unbedingt zupflastern.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe
  2. Heinrich-Heine-Universität, Düsseldorf
  3. über duerenhoff GmbH, Münster
  4. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 1.488€ (Vergleichspreis 1.599€)
  2. (u. a. I See You, Broken City, Attraction & Attraction 2, Amundsen: Wettlauf zum Südpol, Coma, Red...
  3. (u. a. Philips Ambilight 50PUS6704/12 für 339,99€, Philips Ambilight 65PUS6704/12 für 629,99€)
  4. (u. a. QNAP TS-231P NAS-Gehäuse für 192,90€, Intenso 16GB Speicherkarte für 2,99€, Nordisk...


Haben wir etwas übersehen?

E-Mail an news@golem.de