9
HACKER Angriff- Angreifer nutzt Port für Remote Desktop
Ein Hacker versucht seit heute morgen Punkt 6 Uhr unsere Datenserver von außen zu hacken
Hallo!
Ein Hacker versucht seit heute morgen punkt 6 uhr, einen unserer Datenserver(Windows 2008) zu hacken, jedoch ist der betroffene Server nur passiv mit dem Internet verbunden. Er ist direkt mit dem lokalen Firewall-Server verbunden, an dem auch noch 4 weitere Xserver hängen, diese sind nicht betroffen. Auf jedem Windows server ist nur der Port für die Remote Desktop Verbindung geöffnet und nur per Verschlüsselungsdatei erreichbar. Wie kann dieser Hacker verdammt nochmal auch auf die RAID-Systeme zugreifen???
Vielen Dank im Vorraus!
Ein Hacker versucht seit heute morgen punkt 6 uhr, einen unserer Datenserver(Windows 2008) zu hacken, jedoch ist der betroffene Server nur passiv mit dem Internet verbunden. Er ist direkt mit dem lokalen Firewall-Server verbunden, an dem auch noch 4 weitere Xserver hängen, diese sind nicht betroffen. Auf jedem Windows server ist nur der Port für die Remote Desktop Verbindung geöffnet und nur per Verschlüsselungsdatei erreichbar. Wie kann dieser Hacker verdammt nochmal auch auf die RAID-Systeme zugreifen???
Vielen Dank im Vorraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 123066
Url: https://administrator.de/contentid/123066
Printed on: April 16, 2024 at 08:04 o'clock
9 Comments
Latest comment
Hallo Webbsta
Manche Raid systeme sind über eine IP erreichbar.
Ich kenne solche die man nur über das Webinterface konfigurieren kann.
Gruss
Stefan
Manche Raid systeme sind über eine IP erreichbar.
Ich kenne solche die man nur über das Webinterface konfigurieren kann.
Gruss
Stefan
Hallo,
wenn der Hacker über eure Firewall kommt, so sollte das dort in den Logs verzeichnet sein. Ansonsten kommt der Hacker evtl. von intern?
Damit meine ich nicht unbedingt einen internen Nutzer, sondern einen Hintereingang zu eurem Netz (z. B. WLAN, ein Modem, etc.).
Welche Firewall nutzt ihr?
mfg
Harald
wenn der Hacker über eure Firewall kommt, so sollte das dort in den Logs verzeichnet sein. Ansonsten kommt der Hacker evtl. von intern?
Damit meine ich nicht unbedingt einen internen Nutzer, sondern einen Hintereingang zu eurem Netz (z. B. WLAN, ein Modem, etc.).
Welche Firewall nutzt ihr?
mfg
Harald
Hallo Harald
Wir nutzen das Cisco ASA 5000 Firewall System, die Ip kam auf jeden Fall durch den offenen Remote-Desktop Port von außerhalb.
Es muss also defenitiv eine Person außerhalb des LAN´s sein
Vielen Dank nochmal für die antworten!
Wir nutzen das Cisco ASA 5000 Firewall System, die Ip kam auf jeden Fall durch den offenen Remote-Desktop Port von außerhalb.
Es muss also defenitiv eine Person außerhalb des LAN´s sein
Vielen Dank nochmal für die antworten!
Hallo,
was steht den in den Firewall-Logs?
Wenn du die Verbindung des Hackers dort findest, so kannst du auch sagen, wie er in euer Netzwerk hereinkam.
mfg
Harald
was steht den in den Firewall-Logs?
Wenn du die Verbindung des Hackers dort findest, so kannst du auch sagen, wie er in euer Netzwerk hereinkam.
mfg
Harald
Verantwortungsvolle Netzwerker benutzen auf der ASA mindestens eine Portverschleierung also öffnen eingehende Ports z.B. TCP 53389 auf intern TCP 3389 um nun nicht auch noch dem dümmsten Script Kiddie das Leben zu erleichtern.
Alternativ kann man über HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termianl Server\WinStations\RDP-Tcp ganz einfach den Standardport 3389 auf einen anderen wie z.B. den oberen ändern um wenigstens ein Mindestmass an Sicherheit reinzubekommen.
Noch verantwortungsvollere Netzwerker setzen 5 Zeilen IOS Code in die ASA um ganz einfach mit einem PPTP Client eine VPN Connection für die Fernwartung zzu machen, dann stellt sich dieses Problem erst gar nicht.
Wie man das macht kannst du hier nachlesen:
VPNs einrichten mit PPTP (unter VPN Server)
Generell dauert das nur Sekunden bis Minuten wenn man ein löchriges System ins Internet hängt so wie du mit offenen Standard Ports bis sowas passiert, da weiss ja mittlerweile jeder Grundschüler !
Alternativ kann man über HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termianl Server\WinStations\RDP-Tcp ganz einfach den Standardport 3389 auf einen anderen wie z.B. den oberen ändern um wenigstens ein Mindestmass an Sicherheit reinzubekommen.
Noch verantwortungsvollere Netzwerker setzen 5 Zeilen IOS Code in die ASA um ganz einfach mit einem PPTP Client eine VPN Connection für die Fernwartung zzu machen, dann stellt sich dieses Problem erst gar nicht.
Wie man das macht kannst du hier nachlesen:
VPNs einrichten mit PPTP (unter VPN Server)
Generell dauert das nur Sekunden bis Minuten wenn man ein löchriges System ins Internet hängt so wie du mit offenen Standard Ports bis sowas passiert, da weiss ja mittlerweile jeder Grundschüler !
Hi,
wenn du seine öffentliche IP hast und die nicht gerade über einen Proxy in hinter-Bagdad
oder bei anderen Sulokiffern steht, kannste die IP an deinen Anwalt weiter reichen und
Strafanzeige stellen. Selbst wenn er über einen Proxy oder Tor-Netzwerk etc. kommt,
leite es weiter, eventl. holen sich die Brüden in Grün dann die Teilnehmer IP von dem
Kiddy und es gibt ne Strafanzeige.
Mfg.
wenn du seine öffentliche IP hast und die nicht gerade über einen Proxy in hinter-Bagdad
oder bei anderen Sulokiffern steht, kannste die IP an deinen Anwalt weiter reichen und
Strafanzeige stellen. Selbst wenn er über einen Proxy oder Tor-Netzwerk etc. kommt,
leite es weiter, eventl. holen sich die Brüden in Grün dann die Teilnehmer IP von dem
Kiddy und es gibt ne Strafanzeige.
Mfg.
Ein Hacker versucht seit heute morgen punkt 6 uhr, einen unserer
Datenserver(Windows 2008) zu hacken,
Was macht er denn, was du als "versuchen zu hacken" interpretierst? Und wie weit ist er denn gekommen?Datenserver(Windows 2008) zu hacken,
jedoch ist der betroffene Server
nur passiv mit dem Internet verbunden.
Was heißt das denn?nur passiv mit dem Internet verbunden.
Auf jedem Windows server ist
nur der Port für die Remote Desktop Verbindung geöffnet
Dann sind das aber sehr langweilige Server. Ich bin mir ja fast sicher, dass ein "Datenserver" noch Ports für SMB/CIFS/NFS/... offenhält...nur der Port für die Remote Desktop Verbindung geöffnet
nur per Verschlüsselungsdatei erreichbar.
Die Ports meiner Server sind immer per Netzwerk erreichbar.Wie kann dieser Hacker
verdammt nochmal auch auf die RAID-Systeme zugreifen???
Was soll das nun wieder bedeuten? Außerdem dachte ich, noch wäre es beim "Versuch" geblieben.verdammt nochmal auch auf die RAID-Systeme zugreifen???
Aber zum "wie kann das sein": entweder, du bildest dir das nur ein (mit ständigen Portknocks im Internet muss man legen), oder die Ursache ist einfach eine schlechte Konfiguration - oder natürlich beides.
Gruß
Filipp
Moin,
da würde ich gegen halten... Wenn du nicht grad das dümmste Skript-Kiddy hast dann wirst du mit so einfachen Mitteln heute nix mehr ausrichten. Und wenn der durchs TOR-Netz kommt dann wird das mit den Brüdern in Grün nicht ganz sooo einfach gehen... Wenn die überhaupt was machen. Denn nur ein Login-VERSUCH wird keinen von den Grünen hintern Ofen vorlocken... Denn was möchtest du machen wenn ich mich z.B. an deinen (öffentlich zugänglichen) RDP-Server versuche anzumelden? Du siehst sogar meine IP - und die zurückzuverfolgen wäre nichtmal sooo schwer. Dann stehen die Grünen (hier sind die glaub ich scho Blau...) bei mir an der Tür - und ich erkläre denen freundlich das ich an MEINEN Firmen-RDP-Server wollte und mich nur bei der IP vertippt hab... Und die ganzen verschiedenen User-Kennungen? Na - ich hab halt mal nen Script aus dem Web genutzt um die Sicherheit MEINES Servers zu testen... Leider hab ich mich wohl bei der IP geirrt...
Von daher: Solange der keinerlei Sicherheitssysteme umgehen muss oder eben nen Passwort knacken musste usw. -> solange werden die Grünen auch nix machen... Wenn du ein offenes WLAN betreibst wird auch kein Polizist bei mir das Laptop aus der Wohnung holen weil sich mein Laptop an deinem Netz anmeldet... Hier muss vorher schon ein wenig Eigensicherung des Netzwerkes erfolgen...
da würde ich gegen halten... Wenn du nicht grad das dümmste Skript-Kiddy hast dann wirst du mit so einfachen Mitteln heute nix mehr ausrichten. Und wenn der durchs TOR-Netz kommt dann wird das mit den Brüdern in Grün nicht ganz sooo einfach gehen... Wenn die überhaupt was machen. Denn nur ein Login-VERSUCH wird keinen von den Grünen hintern Ofen vorlocken... Denn was möchtest du machen wenn ich mich z.B. an deinen (öffentlich zugänglichen) RDP-Server versuche anzumelden? Du siehst sogar meine IP - und die zurückzuverfolgen wäre nichtmal sooo schwer. Dann stehen die Grünen (hier sind die glaub ich scho Blau...) bei mir an der Tür - und ich erkläre denen freundlich das ich an MEINEN Firmen-RDP-Server wollte und mich nur bei der IP vertippt hab... Und die ganzen verschiedenen User-Kennungen? Na - ich hab halt mal nen Script aus dem Web genutzt um die Sicherheit MEINES Servers zu testen... Leider hab ich mich wohl bei der IP geirrt...
Von daher: Solange der keinerlei Sicherheitssysteme umgehen muss oder eben nen Passwort knacken musste usw. -> solange werden die Grünen auch nix machen... Wenn du ein offenes WLAN betreibst wird auch kein Polizist bei mir das Laptop aus der Wohnung holen weil sich mein Laptop an deinem Netz anmeldet... Hier muss vorher schon ein wenig Eigensicherung des Netzwerkes erfolgen...
*g*
Na mach den ollen 3389er halt dicht! Die ASA bietet haufenweise geilere Möglichkeiten als einen Port zu öffnen…super VPN Client, nen fester Tunnel, der AnyConnect oder das SSL Portal + RDP Plugin + selbstgeschraubtes Zertifikat.
Öffne keinen Port wenn es nicht sein muss…
So, Klugschiss-Modus wieder aus ;)
Gruß
Na mach den ollen 3389er halt dicht! Die ASA bietet haufenweise geilere Möglichkeiten als einen Port zu öffnen…super VPN Client, nen fester Tunnel, der AnyConnect oder das SSL Portal + RDP Plugin + selbstgeschraubtes Zertifikat.
Öffne keinen Port wenn es nicht sein muss…
So, Klugschiss-Modus wieder aus ;)
Gruß