Angriff mit Administrator-Login auf Strato vServer alle 5 Sekunden?
Hallo,
ich habe mir einen vServer bei Strato angemietet (kleinste Ausbaustufe). Seit gestern geht aber alles nur noch seeehhhr langsam. Deshalb habe ich mal die Ereignisanzeige aufgerufen.
Im Microsoft-Windows-Security-Auditing wird tatsächlich alle 5 Sekunden ein Login-Versuch protokolliert:
Ereignis-ID: 4625 Fehler beim Anmelden eines Kontos
Anmeldetyp: 3 (Netzwerk)
Kontoname: Administrator
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Netzwerkinformationen:
Arbeitsstationsname: test2
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dass es keine Netzwerkadresse zur Quelle gibt, macht mich stutzig. Ist da wirklich jemand von außen am Üben, wie man auf fremde Server kommt. Oder habe ich vielleicht etwas falsch gemacht, evtl. irgendeine geplante Aufgabe des Windows-Standard versehentlich aktiviert?
Hat jemand schon einmal so etwas auf einem vServer bei Strato mit Server 2012 erlebt?
Ich habe erst mal die Dateigrößen der Log-Dateien aufs Minimum reduziert. Natürlich mich auch sofort bei Strato gemeldet, aber auf eine Antwort muss ich wohl noch warten.
Dann habe ich überlegt, den Administrator-Account zu deaktivieren, und/oder (über Lokale Sicherheitsrichtlinie - Lokale Sicherheitsoptionen - Konten den Administrator umzubenennen.
Machen diese Aktivitäten für Euch Profis Sinn? Und was bitte wäre sonst noch zu tun?
Schöne Grüße! LaMancha
ich habe mir einen vServer bei Strato angemietet (kleinste Ausbaustufe). Seit gestern geht aber alles nur noch seeehhhr langsam. Deshalb habe ich mal die Ereignisanzeige aufgerufen.
Im Microsoft-Windows-Security-Auditing wird tatsächlich alle 5 Sekunden ein Login-Versuch protokolliert:
Ereignis-ID: 4625 Fehler beim Anmelden eines Kontos
Anmeldetyp: 3 (Netzwerk)
Kontoname: Administrator
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Netzwerkinformationen:
Arbeitsstationsname: test2
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dass es keine Netzwerkadresse zur Quelle gibt, macht mich stutzig. Ist da wirklich jemand von außen am Üben, wie man auf fremde Server kommt. Oder habe ich vielleicht etwas falsch gemacht, evtl. irgendeine geplante Aufgabe des Windows-Standard versehentlich aktiviert?
Hat jemand schon einmal so etwas auf einem vServer bei Strato mit Server 2012 erlebt?
Ich habe erst mal die Dateigrößen der Log-Dateien aufs Minimum reduziert. Natürlich mich auch sofort bei Strato gemeldet, aber auf eine Antwort muss ich wohl noch warten.
Dann habe ich überlegt, den Administrator-Account zu deaktivieren, und/oder (über Lokale Sicherheitsrichtlinie - Lokale Sicherheitsoptionen - Konten den Administrator umzubenennen.
Machen diese Aktivitäten für Euch Profis Sinn? Und was bitte wäre sonst noch zu tun?
Schöne Grüße! LaMancha
Please also mark the comments that contributed to the solution of the article
Content-Key: 255400
Url: https://administrator.de/contentid/255400
Printed on: April 24, 2024 at 23:04 o'clock
9 Comments
Latest comment
Verstehe. Ich habe über den Anbieter tunnelbroker seit Jahren die gleiche feste IP v6. Auf meinem Desktop habe ich ein kleines Anwendungsprogramm, dass sich beim Anbieter registriert und alles für mich erledigt. Somit ist diese Variante recht sicher, was die Aussperrung angeht.
Jedoch evtl. alleine wegen den Firewalleinstellungen auf den ersten Blick zu aufwendig für Dich?
Falls ja, dann würde ich primär die Passwörter sehr sicher halten, lasse dir am besten welche online mit Sonderzeichen und Zahlen generieren (12 Zeichen oder mehr). Und aktualisiere ggf. das Betriebsystem auf dem VServer regelmäßig.
Jedoch evtl. alleine wegen den Firewalleinstellungen auf den ersten Blick zu aufwendig für Dich?
Falls ja, dann würde ich primär die Passwörter sehr sicher halten, lasse dir am besten welche online mit Sonderzeichen und Zahlen generieren (12 Zeichen oder mehr). Und aktualisiere ggf. das Betriebsystem auf dem VServer regelmäßig.
Hi,
Naja, wenn der Server von außen erreichbar ist, hast du immer irgendwelche Skriptkiddes drauf, welche brute-force Passwörter probieren.
Unter linux verwende ich fail2ban. Das liest die log-files und bei N fehlgeschlagenen Loginversuchen innerhalb M Minuten wird eine Ip-Adresse für eine gewisse Zeit in der Firewall geblockt.
Dazu kommen noch Listen von bekannten Spammern, z.B. https://www.badips.com/ (jetzt nicht als Spammer, sondern als Listenquelle. Diese Listen lade ich alle 6 Stunden runter und blockiere die Spammer mittels der Firewall. Diese beiden Maßnahmen halten gefühlte 99% der Skript-Kiddy Loginversuche ab.
Fail2ban alternativen für Windows gibts (zumindest laut google) einige.
mfg
Cthluhu
Naja, wenn der Server von außen erreichbar ist, hast du immer irgendwelche Skriptkiddes drauf, welche brute-force Passwörter probieren.
Unter linux verwende ich fail2ban. Das liest die log-files und bei N fehlgeschlagenen Loginversuchen innerhalb M Minuten wird eine Ip-Adresse für eine gewisse Zeit in der Firewall geblockt.
Dazu kommen noch Listen von bekannten Spammern, z.B. https://www.badips.com/ (jetzt nicht als Spammer, sondern als Listenquelle. Diese Listen lade ich alle 6 Stunden runter und blockiere die Spammer mittels der Firewall. Diese beiden Maßnahmen halten gefühlte 99% der Skript-Kiddy Loginversuche ab.
Fail2ban alternativen für Windows gibts (zumindest laut google) einige.
mfg
Cthluhu
Hallo,
das selbe Spiel findet auch bei mir auf einem Windows Server 2008 R2 (nicht bei Strato) seit zwei Tagen statt.
Die einzigste verwertbare Info im Log ist genau wie oben Arbeitsstationsname test2.
Leider wird keine IP angezeigt, so daß es mir unmöglich erscheint, den Login Versuch per Firewall zu unterbinden.
Ich habe IPban am Start, was bisher alle RDP Login Versuche erfolgreich geblockt hat, aber in diesem Fall ist es wegen der fehlenden IP Adresse wirkungslos.
Netstat zeigt mir auch nichts brauchbares an.
Hat jemand einen Vorschlag, wie man die IP des Anmeldeversuches herausfinden könnte?
Danke für Antworten.
das selbe Spiel findet auch bei mir auf einem Windows Server 2008 R2 (nicht bei Strato) seit zwei Tagen statt.
Die einzigste verwertbare Info im Log ist genau wie oben Arbeitsstationsname test2.
Leider wird keine IP angezeigt, so daß es mir unmöglich erscheint, den Login Versuch per Firewall zu unterbinden.
Ich habe IPban am Start, was bisher alle RDP Login Versuche erfolgreich geblockt hat, aber in diesem Fall ist es wegen der fehlenden IP Adresse wirkungslos.
Netstat zeigt mir auch nichts brauchbares an.
Hat jemand einen Vorschlag, wie man die IP des Anmeldeversuches herausfinden könnte?
Danke für Antworten.