9
Angriff mit Administrator-Login auf Strato vServer alle 5 Sekunden?
Hallo,
ich habe mir einen vServer bei Strato angemietet (kleinste Ausbaustufe). Seit gestern geht aber alles nur noch seeehhhr langsam. Deshalb habe ich mal die Ereignisanzeige aufgerufen.
Im Microsoft-Windows-Security-Auditing wird tatsächlich alle 5 Sekunden ein Login-Versuch protokolliert:
Ereignis-ID: 4625 Fehler beim Anmelden eines Kontos
Anmeldetyp: 3 (Netzwerk)
Kontoname: Administrator
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Netzwerkinformationen:
Arbeitsstationsname: test2
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dass es keine Netzwerkadresse zur Quelle gibt, macht mich stutzig. Ist da wirklich jemand von außen am Üben, wie man auf fremde Server kommt. Oder habe ich vielleicht etwas falsch gemacht, evtl. irgendeine geplante Aufgabe des Windows-Standard versehentlich aktiviert?
Hat jemand schon einmal so etwas auf einem vServer bei Strato mit Server 2012 erlebt?
Ich habe erst mal die Dateigrößen der Log-Dateien aufs Minimum reduziert. Natürlich mich auch sofort bei Strato gemeldet, aber auf eine Antwort muss ich wohl noch warten.
Dann habe ich überlegt, den Administrator-Account zu deaktivieren, und/oder (über Lokale Sicherheitsrichtlinie - Lokale Sicherheitsoptionen - Konten
den Administrator umzubenennen.
Machen diese Aktivitäten für Euch Profis Sinn? Und was bitte wäre sonst noch zu tun?
Schöne Grüße! LaMancha
ich habe mir einen vServer bei Strato angemietet (kleinste Ausbaustufe). Seit gestern geht aber alles nur noch seeehhhr langsam. Deshalb habe ich mal die Ereignisanzeige aufgerufen.
Im Microsoft-Windows-Security-Auditing wird tatsächlich alle 5 Sekunden ein Login-Versuch protokolliert:
Ereignis-ID: 4625 Fehler beim Anmelden eines Kontos
Anmeldetyp: 3 (Netzwerk)
Kontoname: Administrator
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Netzwerkinformationen:
Arbeitsstationsname: test2
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dass es keine Netzwerkadresse zur Quelle gibt, macht mich stutzig. Ist da wirklich jemand von außen am Üben, wie man auf fremde Server kommt. Oder habe ich vielleicht etwas falsch gemacht, evtl. irgendeine geplante Aufgabe des Windows-Standard versehentlich aktiviert?
Hat jemand schon einmal so etwas auf einem vServer bei Strato mit Server 2012 erlebt?
Ich habe erst mal die Dateigrößen der Log-Dateien aufs Minimum reduziert. Natürlich mich auch sofort bei Strato gemeldet, aber auf eine Antwort muss ich wohl noch warten.
Dann habe ich überlegt, den Administrator-Account zu deaktivieren, und/oder (über Lokale Sicherheitsrichtlinie - Lokale Sicherheitsoptionen - Konten
den Administrator umzubenennen.Machen diese Aktivitäten für Euch Profis Sinn? Und was bitte wäre sonst noch zu tun?
Schöne Grüße! LaMancha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 255400
Url: https://administrator.de/contentid/255400
Printed on: April 24, 2024 at 23:04 o'clock
9 Comments
Latest comment
Ich sperre solche Zugänge immer über die Firewall. Es gibt genügend Skripte im Netz die gerade z.B. die Strato Netzwerke nach diesen Ports durchsuchen und bruteforcen. Am besten IPv6 Tunnel holen (feste IPv6 Adresse). Die Adresse in der Firewall eintragen und gut ist. Optimale Lösung wäre VPN.
VG
VG
hi,
sieht nach einer Brute Force Attacke aus.
ich würde das Strato melden.
VG Criemo
sieht nach einer Brute Force Attacke aus.
ich würde das Strato melden.
VG Criemo
Ganz ehrlich würde ich so etwas nicht melden. Ist alltäglich und bringt nichts und belastet nur den Support. Selbst wenn so etwas nützt, wären Minuten später andere Angriffe von anderen Skripten zu sehen.
Danke für die Anregungen.
Da ich ja nur über Remote Desktop auf den vServer zugreifen kann, auf meinem Notebook aber täglich andere IP-Adressen habe und auch nicht immer nur von zu Hause, sondern auch mal z. B. von Hotel-PCs aus selbst auf den vServer zugreifen muss, und weil der Angreifer ja ohne Quell-IP registriert wird: besteht da nicht die Gefahr, dass ich mich vor allem selbst aussperre?
Eine Regel für die Firewall kann ich mir leider noch nicht so richtig formulieren. Und über welchen Port der Angriff kommt, ist mir ja auch nicht wirklich klar.
VG LaMancha
Da ich ja nur über Remote Desktop auf den vServer zugreifen kann, auf meinem Notebook aber täglich andere IP-Adressen habe und auch nicht immer nur von zu Hause, sondern auch mal z. B. von Hotel-PCs aus selbst auf den vServer zugreifen muss, und weil der Angreifer ja ohne Quell-IP registriert wird: besteht da nicht die Gefahr, dass ich mich vor allem selbst aussperre?
Eine Regel für die Firewall kann ich mir leider noch nicht so richtig formulieren. Und über welchen Port der Angriff kommt, ist mir ja auch nicht wirklich klar.
VG LaMancha
Verstehe. Ich habe über den Anbieter tunnelbroker seit Jahren die gleiche feste IP v6. Auf meinem Desktop habe ich ein kleines Anwendungsprogramm, dass sich beim Anbieter registriert und alles für mich erledigt. Somit ist diese Variante recht sicher, was die Aussperrung angeht.
Jedoch evtl. alleine wegen den Firewalleinstellungen auf den ersten Blick zu aufwendig für Dich?
Falls ja, dann würde ich primär die Passwörter sehr sicher halten, lasse dir am besten welche online mit Sonderzeichen und Zahlen generieren (12 Zeichen oder mehr). Und aktualisiere ggf. das Betriebsystem auf dem VServer regelmäßig.
Jedoch evtl. alleine wegen den Firewalleinstellungen auf den ersten Blick zu aufwendig für Dich?
Falls ja, dann würde ich primär die Passwörter sehr sicher halten, lasse dir am besten welche online mit Sonderzeichen und Zahlen generieren (12 Zeichen oder mehr). Und aktualisiere ggf. das Betriebsystem auf dem VServer regelmäßig.
Hi,
Naja, wenn der Server von außen erreichbar ist, hast du immer irgendwelche Skriptkiddes drauf, welche brute-force Passwörter probieren.
Unter linux verwende ich fail2ban. Das liest die log-files und bei N fehlgeschlagenen Loginversuchen innerhalb M Minuten wird eine Ip-Adresse für eine gewisse Zeit in der Firewall geblockt.
Dazu kommen noch Listen von bekannten Spammern, z.B. https://www.badips.com/ (jetzt nicht als Spammer, sondern als Listenquelle. Diese Listen lade ich alle 6 Stunden runter und blockiere die Spammer mittels der Firewall. Diese beiden Maßnahmen halten gefühlte 99% der Skript-Kiddy Loginversuche ab.
Fail2ban alternativen für Windows gibts (zumindest laut google) einige.
mfg
Cthluhu
Naja, wenn der Server von außen erreichbar ist, hast du immer irgendwelche Skriptkiddes drauf, welche brute-force Passwörter probieren.
Unter linux verwende ich fail2ban. Das liest die log-files und bei N fehlgeschlagenen Loginversuchen innerhalb M Minuten wird eine Ip-Adresse für eine gewisse Zeit in der Firewall geblockt.
Dazu kommen noch Listen von bekannten Spammern, z.B. https://www.badips.com/ (jetzt nicht als Spammer, sondern als Listenquelle. Diese Listen lade ich alle 6 Stunden runter und blockiere die Spammer mittels der Firewall. Diese beiden Maßnahmen halten gefühlte 99% der Skript-Kiddy Loginversuche ab.
Fail2ban alternativen für Windows gibts (zumindest laut google) einige.
mfg
Cthluhu
Hallo,
das selbe Spiel findet auch bei mir auf einem Windows Server 2008 R2 (nicht bei Strato) seit zwei Tagen statt.
Die einzigste verwertbare Info im Log ist genau wie oben Arbeitsstationsname test2.
Leider wird keine IP angezeigt, so daß es mir unmöglich erscheint, den Login Versuch per Firewall zu unterbinden.
Ich habe IPban am Start, was bisher alle RDP Login Versuche erfolgreich geblockt hat, aber in diesem Fall ist es wegen der fehlenden IP Adresse wirkungslos.
Netstat zeigt mir auch nichts brauchbares an.
Hat jemand einen Vorschlag, wie man die IP des Anmeldeversuches herausfinden könnte?
Danke für Antworten.
das selbe Spiel findet auch bei mir auf einem Windows Server 2008 R2 (nicht bei Strato) seit zwei Tagen statt.
Die einzigste verwertbare Info im Log ist genau wie oben Arbeitsstationsname test2.
Leider wird keine IP angezeigt, so daß es mir unmöglich erscheint, den Login Versuch per Firewall zu unterbinden.
Ich habe IPban am Start, was bisher alle RDP Login Versuche erfolgreich geblockt hat, aber in diesem Fall ist es wegen der fehlenden IP Adresse wirkungslos.
Netstat zeigt mir auch nichts brauchbares an.
Hat jemand einen Vorschlag, wie man die IP des Anmeldeversuches herausfinden könnte?
Danke für Antworten.
Hrmpf.
Mal wieder die Russen.
62.109.28.0 - 62.109.31.255 in die Firewall und Ruhe ist.
Mal wieder die Russen.
62.109.28.0 - 62.109.31.255 in die Firewall und Ruhe ist.
Hallo,
die IP-Adressen wollte ich soeben blockieren, aber der letzte Angriff wurde um 11:14:05 registriert, also vor 1,5 Stunden. Damit hat dann wohl das Theater 2 Tage gedauert. Mal schauen, ob Nachwirkungen festzustellen sein werden ...
Danke für alle Tipps.
MfG - LaMancha
die IP-Adressen wollte ich soeben blockieren, aber der letzte Angriff wurde um 11:14:05 registriert, also vor 1,5 Stunden. Damit hat dann wohl das Theater 2 Tage gedauert. Mal schauen, ob Nachwirkungen festzustellen sein werden ...
Danke für alle Tipps.
MfG - LaMancha
