7
Mein Windows Server 2008 wird angegriffen
Hallo zusammen,
ich habe folgendes Problem mit meinem Server.
Der Server wird von einem IP/PC angegriffen, über Port 80 vermute ich mal.
Da ich nicht in der Suchmaschine erscheinen möchte, habe ich meinen Domain Namen nicht geschrieben als Muster habe ich (meinendomain.com) benutzt. !!!
In dem Windows Server 2008 ist Plesk 9 steht als Hosting-Tool zur Verfügung von Strato.
Meine Firewall ist eingeschaltet, aber beim Angriff wird mein CPU bis zu 100% belastet durch den Namen: w3wp.exe *32.
Im Ordner; D:\InetPub\vhosts\meinedomain.com\statistics\logs\W3SVC28157;habe ich die Logs herausgenommen, die 123 MB groß ist.
2009-10-27 19:05:59 W3SVC28157 H1436784 85.214.79.205 POST / - 80 - 88.225.215.124 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+Q312461;+.NET+CLR+1.0.3705) - - www.meinedomain.com 200 0 1236 0 391 270456
85.214.79.205 ist die IP-Adresse vom Server und die 88.225.214.124 ist derjenige, der angreift.
Was für eine Art Einstellung muss ich denn machen, um dieses Problem zu lösen, d.h. um dieser Angriffe zu verhindern?
Kann ich irgendwie ein Limit geben, das kein Client nicht mehrmals immer wieder Refresh`en kann, so wird die Webseite auch nicht blockiert werden, d.h. es dauert lang bis es öffnet.
Mit diesem Angriff könnte ja in diesem Fall, jeder an jedem Windows Server angreifen, das muss doch unbedingt verhindert werden!
Hier ist noch die Fehlermeldung von Server Manager / Web Server (IIS) - Event Properties
Log Name: System
Source: Microsoft-Windows-WAS
Date: 10/28/2009 1:02:36 AM
Event ID: 5009
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: h1436784
Description:
A process serving application pool 'partnerizm.com(domain)(pool)' terminated unexpectedly. The process id was '3096'. The process exit code was '0xc0000374'.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-WAS" Guid="{524B5D04-133C-4A62-8362-64E8EDB9CE40}" EventSourceName="WAS" />
<EventID Qualifiers="32768">5009</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2009-10-28T00:02:36.000Z" />
<EventRecordID>3297686</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>h1436784</Computer>
<Security />
</System>
<EventData>
<Data Name="AppPoolID">partnerizm.com(domain)(pool)</Data>
<Data Name="ProcessID">3096</Data>
<Data Name="ExitCode">c0000374</Data>
</EventData>
</Event>
Meine Firewall ist eingeschaltet, aber beim Angriff wird mein CPU bis zu 100% belastet durch den Namen: w3wp.exe *32.
Im Ordner; D:\InetPub\vhosts\meinedomain.com\statistics\logs\W3SVC28157;habe ich die Logs herausgenommen, die 123 MB groß ist.
2009-10-27 19:05:59 W3SVC28157 H1436784 85.214.79.205 POST / - 80 - 88.225.215.124 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+Q312461;+.NET+CLR+1.0.3705) - - www.meinedomain.com 200 0 1236 0 391 270456
85.214.79.205 ist die IP-Adresse vom Server und die 88.225.214.124 ist derjenige, der angreift.
Was für eine Art Einstellung muss ich denn machen, um dieses Problem zu lösen, d.h. um dieser Angriffe zu verhindern?
Kann ich irgendwie ein Limit geben, das kein Client nicht mehrmals immer wieder Refresh`en kann, so wird die Webseite auch nicht blockiert werden, d.h. es dauert lang bis es öffnet.
Mit diesem Angriff könnte ja in diesem Fall, jeder an jedem Windows Server angreifen, das muss doch unbedingt verhindert werden!
Hier ist noch die Fehlermeldung von Server Manager / Web Server (IIS) - Event Properties
Log Name: System
Source: Microsoft-Windows-WAS
Date: 10/28/2009 1:02:36 AM
Event ID: 5009
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: h1436784
Description:
A process serving application pool 'partnerizm.com(domain)(pool)' terminated unexpectedly. The process id was '3096'. The process exit code was '0xc0000374'.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-WAS" Guid="{524B5D04-133C-4A62-8362-64E8EDB9CE40}" EventSourceName="WAS" />
<EventID Qualifiers="32768">5009</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2009-10-28T00:02:36.000Z" />
<EventRecordID>3297686</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>h1436784</Computer>
<Security />
</System>
<EventData>
<Data Name="AppPoolID">partnerizm.com(domain)(pool)</Data>
<Data Name="ProcessID">3096</Data>
<Data Name="ExitCode">c0000374</Data>
</EventData>
</Event>
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 128064
Url: https://administrator.de/contentid/128064
Printed on: April 18, 2024 at 11:04 o'clock
7 Comments
Latest comment
Hallo Chris,
Leider weiss ich nicht wie das bei einem Windows Server unter Plesk abläuft, aber man könnte die IP-Adresse bzw. partnerizm.com des "Angreifers" blocken. Das sollte zumindest erstmal helfen.
Die IP-Adresse ist in der Turkei reg.
Die Einstellungen kannst du unter System / Module Konfigurieren.
MFG
Gansa29
Leider weiss ich nicht wie das bei einem Windows Server unter Plesk abläuft, aber man könnte die IP-Adresse bzw. partnerizm.com des "Angreifers" blocken. Das sollte zumindest erstmal helfen.
Die IP-Adresse ist in der Turkei reg.
Die Einstellungen kannst du unter System / Module Konfigurieren.
MFG
Gansa29
Moin,
fangen wir mal mit den grundlegenden Dingen an:
a) Die beste Art seinen Server zum Angriffsziel zu machen ist an möglichst vielen Stellen zu sagen was genau drauf läuft - und die IP-Adresse immer schön dazu schreiben. Wenn ich also jetzt deinen Server angreiffen möchte dann weiss ich schonmal das ich gute Chancen habe falls es bei Plesk ne Lücke gibt - und ansonsten kann ich schonmal die Standard-Windows-Lücken nehmen. Achso - und natürlich meine Angriffe auf den IIS abzielen. Perfekt - magst du jetzt nich noch eben dazu den Admin-Usernamen und das Passwort hier öffentlich posten - damit auch das letzte Script-Kiddy ne Chance hat? Ansonsten möchtest du ggf. ja auch mal deine öffentliche IP aus deinem Posting rausnehmen... Oder ist die IRGENDWIE zur Problembehandlung sinnvoll?
b) Eine einzelne IP sperren wird dich nicht glücklich machen. Ich habe pro Tag locker einige 100 Zugriffe auf meinen PRIVATEN Webserver die es mit den üblichen Tools versuchen. (Leider sind die Script-Kiddys nichtmal intelligent genug zu erkennen das nen IIS-Spezifischer Angriff bei nem Apache wenig chance auf erfolg hat... Und das Windows-Verzeichnisse bei Linux-Servern auch eher selten funktionieren... -> aber gut, du hast denen ja schon gesagt was die bei dir nutzen können...). Ich befürchte nämlich das du dann nur noch damit beschäftigt sein wirst irgendwelche IPs zu blocken...
Die Frage wäre jetzt eher was da genau versucht wird. Aufgrund des Post würde ich mal vermuten das Daten gesendet werden -> und falls dein Plesk zufällig jetzt das Ziel des Angriffes ist würde ich dieses einfach in ein Webdirectory packen welches zwar über die selbe IP aber nen anderen Port erreichbar ist. Sollten es Formulare deiner Webseite sein dann würde ich HIER ansetzen und z.B. einen Counter einbauen. Wenn das z.B. nen Kontakt-Formular ist dann sollte es reichen wenn man 2-3 Anfragen/10 Min senden darf. Damit sollten auch die sehr auskunftsfreudigen Kunden noch klarkommen... Macht man mehr gibt es nur noch nen Access Denied -> feierabend...
Weiterhin solltest du natürlich gucken ob dein Server Updatemässig auf dem neuesten Stand ist -> damit du nicht evtl. bereits Probleme auf der Kiste hast und die Post-Aufrufe nur noch irgendeinen Bot steuern u.ä....
Und jetzt noch etwas generelles:
[Quote]
Ich bitte um baldige Antwort.
[/quote]
Sowas kannst du als Chef zu deinen Angestellten sagen... -> aber in einem Forum sollte man auf solche Formulierungen lieber verzichten. Es wird deshalb keiner schneller schreiben - eher hälst du Leute davon ab das die überhaupt Antworten...
Gruß
Mike
fangen wir mal mit den grundlegenden Dingen an:
a) Die beste Art seinen Server zum Angriffsziel zu machen ist an möglichst vielen Stellen zu sagen was genau drauf läuft - und die IP-Adresse immer schön dazu schreiben. Wenn ich also jetzt deinen Server angreiffen möchte dann weiss ich schonmal das ich gute Chancen habe falls es bei Plesk ne Lücke gibt - und ansonsten kann ich schonmal die Standard-Windows-Lücken nehmen. Achso - und natürlich meine Angriffe auf den IIS abzielen. Perfekt - magst du jetzt nich noch eben dazu den Admin-Usernamen und das Passwort hier öffentlich posten - damit auch das letzte Script-Kiddy ne Chance hat? Ansonsten möchtest du ggf. ja auch mal deine öffentliche IP aus deinem Posting rausnehmen... Oder ist die IRGENDWIE zur Problembehandlung sinnvoll?
b) Eine einzelne IP sperren wird dich nicht glücklich machen. Ich habe pro Tag locker einige 100 Zugriffe auf meinen PRIVATEN Webserver die es mit den üblichen Tools versuchen. (Leider sind die Script-Kiddys nichtmal intelligent genug zu erkennen das nen IIS-Spezifischer Angriff bei nem Apache wenig chance auf erfolg hat... Und das Windows-Verzeichnisse bei Linux-Servern auch eher selten funktionieren... -> aber gut, du hast denen ja schon gesagt was die bei dir nutzen können...). Ich befürchte nämlich das du dann nur noch damit beschäftigt sein wirst irgendwelche IPs zu blocken...
Die Frage wäre jetzt eher was da genau versucht wird. Aufgrund des Post würde ich mal vermuten das Daten gesendet werden -> und falls dein Plesk zufällig jetzt das Ziel des Angriffes ist würde ich dieses einfach in ein Webdirectory packen welches zwar über die selbe IP aber nen anderen Port erreichbar ist. Sollten es Formulare deiner Webseite sein dann würde ich HIER ansetzen und z.B. einen Counter einbauen. Wenn das z.B. nen Kontakt-Formular ist dann sollte es reichen wenn man 2-3 Anfragen/10 Min senden darf. Damit sollten auch die sehr auskunftsfreudigen Kunden noch klarkommen... Macht man mehr gibt es nur noch nen Access Denied -> feierabend...
Weiterhin solltest du natürlich gucken ob dein Server Updatemässig auf dem neuesten Stand ist -> damit du nicht evtl. bereits Probleme auf der Kiste hast und die Post-Aufrufe nur noch irgendeinen Bot steuern u.ä....
Und jetzt noch etwas generelles:
[Quote]
Ich bitte um baldige Antwort.
[/quote]
Sowas kannst du als Chef zu deinen Angestellten sagen... -> aber in einem Forum sollte man auf solche Formulierungen lieber verzichten. Es wird deshalb keiner schneller schreiben - eher hälst du Leute davon ab das die überhaupt Antworten...
Gruß
Mike
Hi emanetcin,
bin mir auch garnicht sicher ob Du da gleich von einem Angriff ausgehen kannst.
Schließlich gab es zu diesem Thema schon für den 2003er ein Hotfix http://support.microsoft.com/kb/900243
denn auch dort war dieses Phänomen bei bestimmten Konstellationen schon da.
mfg
kowa
bin mir auch garnicht sicher ob Du da gleich von einem Angriff ausgehen kannst.
Schließlich gab es zu diesem Thema schon für den 2003er ein Hotfix http://support.microsoft.com/kb/900243
denn auch dort war dieses Phänomen bei bestimmten Konstellationen schon da.
mfg
kowa
Hallo,
warum hast du deinen W2k8 Server denn komplett umgeschützt? Ich hab gerade mal ein paar dinge probiert und muss sagen du solltest schnell eine vernünftige Firewall davor schalten. Sogar die RDP- Anmeldung geht?!?! Un das ist noch nicht das schlimmste.....
warum hast du deinen W2k8 Server denn komplett umgeschützt? Ich hab gerade mal ein paar dinge probiert und muss sagen du solltest schnell eine vernünftige Firewall davor schalten. Sogar die RDP- Anmeldung geht?!?! Un das ist noch nicht das schlimmste.....
Was sollte ich am besten machen?
Meine Firewall ist ja an ?
Meine Firewall ist ja an ?
Hallo,
also zuerst mal alle eingehenden Ports zu. Und nur das was mann wirklich braucht sollte offen sein. Welche FW nutzt du?
also zuerst mal alle eingehenden Ports zu. Und nur das was mann wirklich braucht sollte offen sein. Welche FW nutzt du?
Ich habe nur die Wichtigen Ports Offengelassen.
Habe Windows Firewall von Windows Server 2008!
Habe Windows Firewall von Windows Server 2008!
