Was hat der Hacker alles instaliert

Ein Windows Domain Controller(W2K) mit viel Plattenplatz wurde in meinem Urlaub gehackt und als Tauschbörse misbraucht. Gut ert ist jetzt von extern nicht mehr zu erreichen und so kann ich ihn in Ruhe studieren.

Gibt es Literatur, Programme mit denen ich finden kann was
alles installiert wurde?

Ich habe zwar einiges gefunden, bin aber nicht sicher dass das alles ist. z.B.
- firedaemon (damit kann man jeden Task zu einem Service machen)
- raidenftp (auch als Service aufgesetzt) mit interessanten
Files darunter, aus denen man finden kann wwoher einige
"Benutzer" kamen. Oft xxx.dip.t-dialin.net
- einige Services (Telnet, RAS Verbindungsverwaltubg etc. die
ich zum Teil nicht aufgesetzt haben oder die auf neue Files
unter system32 zeigen)
- Files die im Explorer normal aussehen, aber beim genaueren
Hinsehen: erstellt am 22.7.02 geändert am 2.8.2000(!), z.B.
system32\inetsrv
usw.

Habe schon einige Hacker Seiten durchforstet und auch
"nützliche" Tools gefunden. Aber manche Hacks gehen ja auf Tool Kits zurück. Kennt da jemand einen der so etwas macht.

Was ich noch vergass, unsere Schuld das der Rechner gehackt werden konnte. Das Systen wurde installiert, dann kam etwas dazwischen und er stand so herum (ohne die Security Patch. Darauf wird jetzt besser geachtet. Möglicherweise kam er über pub ftp scan oder Unicode Hole herein.

Danke für jede Information.

Otto
[Diese Nachricht wurde von otz am 30.08.2002 | 09:36 geändert.]

 

Danke für den Hinweis. Habe das Programm mal drüberlaufen lassen.
Es findet im wesentlichen bei allen möglichen Usern ein paar Cookies, aber die massiven Sachen, die ich erwähnt hatte bemerkt es nicht.

 

Lade Dir Ad-ware 5.83 von Lavasoft (auf PC-Welt) herunter und
versuche welche Spyware dieses Programm findet.