Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Angriff mit Administrator-Login auf Strato vServer alle 5 Sekunden?

Mitglied: LaMancha

LaMancha (Level 1) - Jetzt verbinden

20.11.2014, aktualisiert 21.11.2014, 3317 Aufrufe, 9 Kommentare

Hallo,

ich habe mir einen vServer bei Strato angemietet (kleinste Ausbaustufe). Seit gestern geht aber alles nur noch seeehhhr langsam. Deshalb habe ich mal die Ereignisanzeige aufgerufen.

Im Microsoft-Windows-Security-Auditing wird tatsächlich alle 5 Sekunden ein Login-Versuch protokolliert:

Ereignis-ID: 4625 Fehler beim Anmelden eines Kontos
Anmeldetyp: 3 (Netzwerk)
Kontoname: Administrator
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Netzwerkinformationen:
Arbeitsstationsname: test2
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dass es keine Netzwerkadresse zur Quelle gibt, macht mich stutzig. Ist da wirklich jemand von außen am Üben, wie man auf fremde Server kommt. Oder habe ich vielleicht etwas falsch gemacht, evtl. irgendeine geplante Aufgabe des Windows-Standard versehentlich aktiviert?

Hat jemand schon einmal so etwas auf einem vServer bei Strato mit Server 2012 erlebt?

Ich habe erst mal die Dateigrößen der Log-Dateien aufs Minimum reduziert. Natürlich mich auch sofort bei Strato gemeldet, aber auf eine Antwort muss ich wohl noch warten.

Dann habe ich überlegt, den Administrator-Account zu deaktivieren, und/oder (über Lokale Sicherheitsrichtlinie - Lokale Sicherheitsoptionen - Konten den Administrator umzubenennen.

Machen diese Aktivitäten für Euch Profis Sinn? Und was bitte wäre sonst noch zu tun?

Schöne Grüße! LaMancha






Mitglied: antemortem
20.11.2014, aktualisiert um 13:56 Uhr
Ich sperre solche Zugänge immer über die Firewall. Es gibt genügend Skripte im Netz die gerade z.B. die Strato Netzwerke nach diesen Ports durchsuchen und bruteforcen. Am besten IPv6 Tunnel holen (feste IPv6 Adresse). Die Adresse in der Firewall eintragen und gut ist. Optimale Lösung wäre VPN.

VG
Bitte warten ..
Mitglied: Criemo
20.11.2014 um 13:57 Uhr
hi,

sieht nach einer Brute Force Attacke aus.
ich würde das Strato melden.

VG Criemo
Bitte warten ..
Mitglied: antemortem
20.11.2014 um 14:00 Uhr
Ganz ehrlich würde ich so etwas nicht melden. Ist alltäglich und bringt nichts und belastet nur den Support. Selbst wenn so etwas nützt, wären Minuten später andere Angriffe von anderen Skripten zu sehen.
Bitte warten ..
Mitglied: LaMancha
20.11.2014 um 14:13 Uhr
Danke für die Anregungen.

Da ich ja nur über Remote Desktop auf den vServer zugreifen kann, auf meinem Notebook aber täglich andere IP-Adressen habe und auch nicht immer nur von zu Hause, sondern auch mal z. B. von Hotel-PCs aus selbst auf den vServer zugreifen muss, und weil der Angreifer ja ohne Quell-IP registriert wird: besteht da nicht die Gefahr, dass ich mich vor allem selbst aussperre?

Eine Regel für die Firewall kann ich mir leider noch nicht so richtig formulieren. Und über welchen Port der Angriff kommt, ist mir ja auch nicht wirklich klar.

VG LaMancha
Bitte warten ..
Mitglied: antemortem
LÖSUNG 20.11.2014, aktualisiert 21.11.2014
Verstehe. Ich habe über den Anbieter tunnelbroker seit Jahren die gleiche feste IP v6. Auf meinem Desktop habe ich ein kleines Anwendungsprogramm, dass sich beim Anbieter registriert und alles für mich erledigt. Somit ist diese Variante recht sicher, was die Aussperrung angeht.

Jedoch evtl. alleine wegen den Firewalleinstellungen auf den ersten Blick zu aufwendig für Dich?
Falls ja, dann würde ich primär die Passwörter sehr sicher halten, lasse dir am besten welche online mit Sonderzeichen und Zahlen generieren (12 Zeichen oder mehr). Und aktualisiere ggf. das Betriebsystem auf dem VServer regelmäßig.
Bitte warten ..
Mitglied: Cthluhu
20.11.2014 um 17:08 Uhr
Hi,

Naja, wenn der Server von außen erreichbar ist, hast du immer irgendwelche Skriptkiddes drauf, welche brute-force Passwörter probieren.

Unter linux verwende ich fail2ban. Das liest die log-files und bei N fehlgeschlagenen Loginversuchen innerhalb M Minuten wird eine Ip-Adresse für eine gewisse Zeit in der Firewall geblockt.
Dazu kommen noch Listen von bekannten Spammern, z.B. https://www.badips.com/ (jetzt nicht als Spammer, sondern als Listenquelle. Diese Listen lade ich alle 6 Stunden runter und blockiere die Spammer mittels der Firewall. Diese beiden Maßnahmen halten gefühlte 99% der Skript-Kiddy Loginversuche ab.

Fail2ban alternativen für Windows gibts (zumindest laut google) einige.

mfg

Cthluhu
Bitte warten ..
Mitglied: Failure
20.11.2014 um 17:53 Uhr
Hallo,
das selbe Spiel findet auch bei mir auf einem Windows Server 2008 R2 (nicht bei Strato) seit zwei Tagen statt.
Die einzigste verwertbare Info im Log ist genau wie oben Arbeitsstationsname test2.
Leider wird keine IP angezeigt, so daß es mir unmöglich erscheint, den Login Versuch per Firewall zu unterbinden.
Ich habe IPban am Start, was bisher alle RDP Login Versuche erfolgreich geblockt hat, aber in diesem Fall ist es wegen der fehlenden IP Adresse wirkungslos.
Netstat zeigt mir auch nichts brauchbares an.
Hat jemand einen Vorschlag, wie man die IP des Anmeldeversuches herausfinden könnte?
Danke für Antworten.
Bitte warten ..
Mitglied: Failure
LÖSUNG 20.11.2014, aktualisiert 21.11.2014
Hrmpf.
Mal wieder die Russen.
62.109.28.0 - 62.109.31.255 in die Firewall und Ruhe ist.
Bitte warten ..
Mitglied: LaMancha
21.11.2014 um 12:44 Uhr
Hallo,

die IP-Adressen wollte ich soeben blockieren, aber der letzte Angriff wurde um 11:14:05 registriert, also vor 1,5 Stunden. Damit hat dann wohl das Theater 2 Tage gedauert. Mal schauen, ob Nachwirkungen festzustellen sein werden ...

Danke für alle Tipps.

MfG - LaMancha
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Draytek Vigor 2760Vn Entertain hängt nach 5 sekunden

Frage von SMoller02Router & Routing9 Kommentare

Einen wunderschönen guten Tag wünsche ich. Ich bin am Dienstag von der Fritzbox 7360 auf einen Draytek Vigor 2760Vn ...

Windows Server

Strato VServer (Win Server 2012) - Registry zerschossen - Wie wiederherstellen?

Frage von mKay1610Windows Server3 Kommentare

Guten Abend, ich habe eine Windows VServer von Strato gemietet. Da ich diesen rein privat verwende, wollte ich das ...

Windows 7

Einträge im System Log 136 und 137 alle 5 Sekunden

Frage von flugfaustWindows 7

Hallo, ich erhalte auf einem PC mit Windows 7 alle 5 Sekunden folgende Log Einträge: ID: 136 Quelle: NTFS ...

Server

Unterschied HDD vServer - SSD vServer

gelöst Frage von NyradosServer4 Kommentare

Hallo liebe Community, Ich verstehe nicht ganz wo der unterschied zwischen einem HDD vServer und einem SSD vServer liegt ...

Neue Wissensbeiträge
Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 10 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 20 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 1 TagWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server36 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser15 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...