IIS FTP Server wordt zomaar gebruikt?

Zit ik net via een remote sessie ingelogd op mijn server vanaf mijn vriendin, zie ik ineens verschillende cmd.exe's gerunned worden maar ze verdwenen ook weer, op 1 na. Daar heb ik even een screenshot van gemaakt en het bestand service.exe werd gezocht.

Verder wordt er ingelogd met het ipadres 209.142.199.3

Daarna sprong mijn Windows Firewall op met de vraag of ik het programma File Transfer Program van Microsoft Corporation wilde unblocken, ik heb alles nog zo staan als het nu staat en ik denk dat ik er zoiezo verstandig aan doe om het te blokkeren.

Iemand enig idee waar dit vandaan komt? Ik kan me niet herinneren dat ik vreemde poorten opengezet heb, wellicht mijn broertje? Maar dat kan ie dan alleen via rotzooi die die wellicht gedownload heeft ofzo..



Somebody...

pasta schreef op dinsdag 11 januari 2005 @ 21:32:
[...]

Spyware lijkt me in dit geval juist niet aan de orde. Ik denk meer aan een virus in dit geval.

---

Welke virusscanner gebruik je? Is deze ook helemaal up-to-date?

Nou probleem, althans ik zie het niet als probleem, is dat ik dat niet gebruik, om de reden dat ik altijd een schone pc heb etc. en ik nooit virussen of dat soort rotzooi heb...

Maar ik zal eens laten scannen door tooltjes, ennuh wat mp3tjes en films enzo die stonden er denk ik al

Nog een leuk feitje is dat ik op mijn server helemaal geen IIS heb draaien, wel in de vorm van een Apache server.. maar meer dan dat ook niet.

Ook staan er op mijn C ( niet de bootdisk op de server ) 2 dlltjes genaamd test2.dll en atxio.dll

Het ipadres is afkomstig uit america bij World Wide Net, Inc. of bij AmeriCenters, Inc. dus wellicht geen hacker die werkt via een proxy.

[ Voor 26% gewijzigd door orange.x op 11-01-2005 21:40 ]

Scanned file: atxio.dll

atxio.dll - packed with PE_Patch.Morphine
atxio.dll - packed with Morphine
atxio.dll - packed with UPX
atxio.dll - OK


Scanned file: test2.dll

test2.dll - OK

Kga nu even een trial dingetje downloaden en dan scannen op virussen

lordgandalf schreef op dinsdag 11 januari 2005 @ 22:05:
die atxio.dll zouw ik dus niet vertrouwen.
eerlijk gezegd zouw ik gaan voor een reinstall die bak is waarschijnlijk niet meer te vertrouwen.
Ik zouw opzoek gaan naar een betere ftp server want de IIS ftp server is niet echt de veiligste dat ik weet.
Gebruik liever iets als Serv-U ofzo.

Lees even de reactie van Bergen, ik heb namelijk geen IIS draaien, verder heb ik apache die me wel veilig lijkt of niet geloof ik meest gebruikte wereldwijd. Ik ben al aan het scannen.

Opnieuw installeren zou kunnen maar heb ik even geen zin in, zit nu niet thuis Hij loopt verder als een zonnetje, Het is alleen raar, want ik heb dus geen idee hoe ik dit heb binnen gekregen..

Even verder zoeken nu dus nog heb al nieuwe updates van windows update gehaald, moet zo nog even rebooten.