bk900042
Goto Top

Strato VPS hat zig Java Prozesse ohne Java Installation. Port läßt sich nicht öffnen

Hallo Community,
habe ein VPS bei Strato. Windows 2012 R2.
Auf diesem läuft eine wichtige Software die einen Port öffnet und auf eingehende Verbindungen wartet.

Bis vor 2,3 Tagen lief das über Jahre bestens. Jetzt kann sie den Port nicht mehr öffnen.
Fehler 10048. Bind error. Port angeblich belegt. Habe es mit vielen Ports probiert.
Immer dasselbe Problem.

Mit TCP/View sehe ich aber nicht, daß dieser Port belegt ist, aber ich sehe dutzende Java Prozesse
die zum Teil Verbindungen auf und zu machen und strato web in ihrem Namen tragen.

Java ist nicht installiert. Nur ein paar wenige Programme und keines davon dürfte
eine JRE starten.

Für mich sieht das so aus, als ob mit dem Virtualisierer etwas nicht stimmt.
Vielleicht tummeln sich zuviele Klienten auf dem Host.
Ein Neustart behebt das Problem für eine kurze Zeit.

Kennt jemand dieses Problem oder wo sollte ich suchen ?
Die Java Prozesse kommen nicht von mir ?

Der Strato Support fühlt sich nicht zuständig.

Bin für jeden Tip dankbar.

Content-Key: 386829

Url: https://administrator.de/contentid/386829

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: Kraemer
Kraemer 18.09.2018 aktualisiert um 15:13:38 Uhr
Goto Top
Moin,

Daten sichern, Host plätten und neu installieren!

Gruß

PS:
Der Strato Support fühlt sich nicht zuständig.
ist er auch nicht - ist deine Maschine!
Mitglied: UnbekannterNR1
UnbekannterNR1 18.09.2018 um 15:42:39 Uhr
Goto Top
Klingt für mich eher nach kompromittiert. Um welche Ports dreht es sich denn? Java ist ja doch recht anfällig.
Mitglied: bk900042
bk900042 18.09.2018 um 16:00:42 Uhr
Goto Top
Wäre sehr viel Aufwand
Mitglied: bk900042
bk900042 18.09.2018 um 16:02:17 Uhr
Goto Top
Port 8634. Aber auch andere. Es sind dutzende Java Prozesse am laufen (die einen Port verwenden), die ich mir nicht erklären kann.
Kompromittiert. Durch was ? Es gibt keine Webadresse, benutze dort keinen Browser. Es ist eine Handvoll Software installiert.
Mitglied: UnbekannterNR1
UnbekannterNR1 18.09.2018 um 16:08:07 Uhr
Goto Top
Webadresse ist dafür ja auch nicht nötig. eine öffentliche IP wird es ja geben, und ein crawler findet auch diese dann irgendwann.

Firewall ist aktiviert und minimal Konfiguriert?
Alle Updates AUCH für Java installiert?
Virenscan mal drüber laufen lassen? sollte man sowieso Regelmäßig tun.

Danach mal mit Procmon die Prozesse genauer angucken was die so machen vielleicht Du da was raus.

Und wenn alles nichts hilft bleibt wohl nur.
Daten sichern, Host plätten und neu installieren!
Mitglied: bk900042
bk900042 18.09.2018 aktualisiert um 16:15:08 Uhr
Goto Top
Ich habe kein Java installiert. Ich will es auch nicht haben. Die Firewall ist aktiv. Das Programm öffent Port 8634 und ist dort auch eingetragen.

Problem kam von heute auf morgen.

Es wurde weiter oben gesagt, der Support sei nicht zuständig. Ich wundere mich über Prozesse, die da nicht sein dürften.
Der Virtualisierer scheint Hyper-V zu sein.

Virenscanner ist installiert. Windows Defender. Aber stimmt, ich sollte man eine Komplett Untersuchung machen,
Mitglied: bk900042
bk900042 18.09.2018 um 16:17:44 Uhr
Goto Top
Sorry Nachschlag. Ja, der Prozmon, Sysinternals, habe ich installiert.
Der zeigt eine ellenlange Liste von Prozessen, explorer, java, sogar sich selbst dutzende Male. Kapiere das nicht.
Mitglied: 129580
129580 18.09.2018 aktualisiert um 17:03:30 Uhr
Goto Top
Hi,

Strato bietet Windows VPS auf Basis Hyper-V an. Du hast kein Managed Produkt gebucht und hast deshalb auch Admin Zugriff. Somit ist Strato nicht für die Administration deiner VM zuständig. Bei den vServer Produkten von Strato gibt es keine dedizierte Firewall vor den VM's, d.h. die hängen direkt am Netz.

Ich vermute mal, dass du kein OpenVPN installiert hast bzw. der RDP Dienst öffentlich erreichbar war und darüber vermutlich deine Windows Kiste gekapert wurde. (Unsicheres Passwort). In deinem Fall hilft nur noch die Kiste neu zu installieren bzw. Backup einspielen. Zukünftig ein VPN einrichten z.B. OpenVPN und kritische Protokolle wie RDP nur noch über VPN verfügbar machen. Und auch wichtig: Passwörter unbedingt ändern. Insbesondere sichere Passwörter wählen ;)

Java ist ja doch recht anfällig.

Nein. Hängt immer von der Programmierung der Anwendung ab. Es gibt zahlreiche JavaEE Anwendungen die sicher sind. Beispielsweise Jira.
Java selbst ist sicher. Aber selbst wenn eine fehlerhafte Java App vorhanden ist, so kann der Angreifer keine System Zugriffe machen bzw. schädlichen Code auf dem System ausführen. Das ginge nur über eine Sicherheitslücke im Applikationserver und/oder JVM. Und wenn es eine solche gäbe, dann wäre schon längst eine Top Meldung bei Heise vorhanden. Bei einer 0day Lücke wären wertvollere Ziele attackiert worden. Und vor solchen Sachen kann nicht nur Java betroffen sein. face-wink

Viele Grüße,
Exception
Mitglied: bk900042
bk900042 18.09.2018 um 18:12:56 Uhr
Goto Top
Erstmal danke für die Information.

Das Password ist nicht trivial und der RDP Dienst hört nicht am üblichen Port. Den wechsle ich generell.
ev. Blöde Frage: Kann ich den RDP über OpenVPN machen. falls ja wie ? Ich muss doch die RDP
Verbindung durch den Tunnel schicken..?
Mitglied: 129580
129580 18.09.2018 um 18:19:25 Uhr
Goto Top
Zitat von @bk900042:
Das Password ist nicht trivial und der RDP Dienst hört nicht am üblichen Port. Den wechsle ich generell.

Hilft aber nicht gegen Port Scans.

ev. Blöde Frage: Kann ich den RDP über OpenVPN machen. falls ja wie ? Ich muss doch die RDP
Verbindung durch den Tunnel schicken..?

Ich würde bei der Windows Firewall bei der RDP Regel als Filteroption nur von einem bestimmten Source Netz (VPN) zulassen.
Mitglied: bk900042
bk900042 18.09.2018 um 18:40:45 Uhr
Goto Top
Danke erstmal für die Tips