Offener VNC Port 5900 auf Windows Server 2003 – Trojaner aktiv?


Bei einem Scan per nmap (http://insecure.org/nmap) eines Windows Server 2003 fiel mir ein offener Port 5900 auf, welchen nmap als VNC Port meldete. Alarmiert dadurch baute ich eine Verbindung mittels

telnet server 5900

auf.

Als Meldung wurde

RFB 003.006

angezeigt, was das Remote Framebuffer Protokoll darstellt (siehe: http://de.wikipedia.org/wiki/Remote_Framebuffer_Protocol).
Panik! Sollte das System unter fremder Herrschaft stehen?

Also versuchte ich per VNC Viewer auf den Rechner zuzugreifen. Aber es wurde die Meldung

The VMRC connection could not be established because protocol version 3.6 or later is required. Do you wish to attempt to reconnect to server?

Zuerst installierte ich einen VNC Viewer neuester Generation, trotzdem kam noch die Meldung. Schlussfolgerung: Jetzt auch noch gleich verschlüsselt oder verändert so dass nicht gleich jeder nachvollziehen kann was läuft. Ganz viel Panik.

Als dann noch ein netstat auf dem Server kein Programm oder Dienst zutage förderte welches den Port 5900 verwendete, lag die Schlussfolgerung Root Kit nahe.

Die Erlösung
Beim Finden des Prozess mittels Processexplorers von (http://www.sysinternals.com) war die Sache dann aber schnell aufgeklärt. Es stellte sich heraus, das auf dem Server der Microsoft Virtual Server 2005 R2 lief und der Port 5900 ist der Port der natürlich für die VMRC.EXE für den Zugriff auf die virtuellen Maschinen verwendet wird. Bereits Connectix scheint den VirtualPC mit diesem Remote Zugriff ausgestattet zu haben. Wer obige Meldung genau gelesen hat hätte aber auch durch das VMRC aufmerksam werden können, welches für Virtual Machine Remote Control stehen dürfte. Also nix mit Panik, alles im grünen Bereich.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: