2
Wie erkenne ich ob mein (Web)Server angegriffen wurde? Oder schon angegriffen ist
Win 2003 IIS 6 Isa Server 2000
Hi zusammen, (wenn das Forum hier falsch ist bitte ins richtige verschieben) ich betreibe ene private Webseite welche in asp geschrieben wurde.
Sie läuft auf einem eigen betriebenen Webserver (Win 2003 Server IIS 6) und einem vorgeschalteter ISA Server Firewall.
Als Datenbank benutze ich einen SQL Server 2000
In der Logfiles kann ich sehen, das irgendwelche Leute immer diverse Urls (u.a. admin.php oder andere ) aurufen.
Alles läuft normal und habe auch so keine Veränderungen bemerkt. DIe Festplatten zeigen alle die Kapazität an die sie auch haben sollten.
Trotzdem habe ich den Eindruck das ich gehackt wurde. Wie kann ich es denn rausfinden ob und wie "Fremde" auf meinem Webserver sind?
Die Webseiten die ausgeliefert werden, sind jedenfalls nicht durch irgendwelchen Schadcode infiziert.
Sie läuft auf einem eigen betriebenen Webserver (Win 2003 Server IIS 6) und einem vorgeschalteter ISA Server Firewall.
Als Datenbank benutze ich einen SQL Server 2000
In der Logfiles kann ich sehen, das irgendwelche Leute immer diverse Urls (u.a. admin.php oder andere ) aurufen.
Alles läuft normal und habe auch so keine Veränderungen bemerkt. DIe Festplatten zeigen alle die Kapazität an die sie auch haben sollten.
Trotzdem habe ich den Eindruck das ich gehackt wurde. Wie kann ich es denn rausfinden ob und wie "Fremde" auf meinem Webserver sind?
Die Webseiten die ausgeliefert werden, sind jedenfalls nicht durch irgendwelchen Schadcode infiziert.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 151582
Url: https://administrator.de/contentid/151582
Printed on: April 23, 2024 at 11:04 o'clock
2 Comments
Latest comment
Hallo,
schwierig bis gar nicht. Es ist das selbe wie mit Viren auf PCs.
Solange man keinen Nachweis/Hinweis auf Aktivitäten kann man nur beobachten und suchen.
Z.B. Taskmanager, AV Programm suchen lassen, etc
Server im Internet sind begehrtes Ziel aufgrund der schnellen Anbindung. Dies sollte aber sehr schnell auffallen.
Es gibt aber auch genug Programme die erstmal nur beobachten und warten..
Gegenfrage: Wie kann man sicher sein, dass ein Virus wirklich weg ist?
Bei unklarer Lage in beiden Fällen: Image zurückspielen oder neu installieren
Stefan
schwierig bis gar nicht. Es ist das selbe wie mit Viren auf PCs.
Solange man keinen Nachweis/Hinweis auf Aktivitäten kann man nur beobachten und suchen.
Z.B. Taskmanager, AV Programm suchen lassen, etc
Server im Internet sind begehrtes Ziel aufgrund der schnellen Anbindung. Dies sollte aber sehr schnell auffallen.
Es gibt aber auch genug Programme die erstmal nur beobachten und warten..
Gegenfrage: Wie kann man sicher sein, dass ein Virus wirklich weg ist?
Bei unklarer Lage in beiden Fällen: Image zurückspielen oder neu installieren
Stefan
das irgendwelche Leute immer diverse Urls (u.a. admin.php oder andere ) aurufen.
Völlig normal, sowas habe ich ständig in den Logs.
Das sind einfach Bots die alte Versionen von Standardprogrammen suchen und dann Sicherheitslücken oder Standardpasswörter ausprobieren...
Unter Linux kann man dem einfach einen Riegel vorschieben, wenn man unter einer dieser URLs ein Script versteckt, was die Quell-IP in einen iptables Filter aufnimmt.
