Hi,

ich habe den verdacht, dass ein bei uns im LAN stehender Server einen Trojaner beherbergt, meinen Rechner angreift, der dann dank personal firewall eine SYN Flood Attacke erkennt und meldet.

Falls es sich tatsächlich um einen SYN-Flood handelt (diese komischen PFs neigen da stets zu Übertreibung, die wollen sich schließlich verkaufen), dann ist es gar keine Frage mehr, was das verursacht hat: Scheibe einschlagen, Axt entnehmen, mit kräftigem Schlag Netzkabel durchtrennen.

Wie kriegt man aber heraus, welche Trojanersoftware auf dem Geraet installiert um die dann ggf. zu entfernen?

Wie gesagt: das ist vollkommen egal. Es ist die übliche Vorgehensweise einzuhalten:

• Server _sofort_ vom Netz trennen
• sämtliche Daten sichern (Plattenimage ziehen, für die spätere Forensik)
• sämtliche Software rückstandslos entfernen ("Platte putzen"), dran denken, das es auch Schädlinge gibt, die auf das BIOS zugreifen!
• Software wieder einspielen (vom Backup nur, wenn diese Backup _vor_ dem Netzanschluß erfolgte!)
• Daten von Backup einspielen (Bei MS-Office Dateien oder allen anderen Dateien, die Schädlinge enthalten könnten ist natürlich Vorsicht geboten!)
• Administrator entlassen
• neuen Administrator einstellen, der sich mit der Absicherung von Netzen auskennt
• Schweiß abwischen

so short

Christoph Zurnieden