Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriff auf FTP- Server W2K SP4 incl. Patches

Mitglied: leknilk0815

leknilk0815 (Level 3) - Jetzt verbinden

09.05.2006, aktualisiert 10.05.2006, 7695 Aufrufe, 11 Kommentare

dauernde Attacken auf meinen FTP Server mit Administrator Account

Hallo zusammen,

ich habe vor ein paar Tagen auf meinem Webserver (W2K IIS) den FTP- Server aktiviert, um von unterwegs ab und zu mal auf meine Trickkiste zugreifen zu können.
Nun attackiert irgendein Witzbold im Sekundentakt meine Kiste, bis das Eventlog überläuft.
Er benutzt als Login den Administrator, der natürlich auf die FTP- Site keine Rechte hat.
Hier der Text aus dem Systenlog:

The server was unable to logon the Windows NT account 'Administrator' due to the following error: Logon failure: unknown user name or bad password. The data is the error code.

Hat jemand ne Idee, wie ich das abstellen könnte, bzw. dem Trottel auf die Schliche komme, ohne großen Aufwand?

Für eine Anregung wäre ich dankbar

Gruß - Toni
Mitglied: 16568
09.05.2006 um 20:16 Uhr
Hm, eigentlich solltest Du ja seine IP haben...

Ist es immer die selbe IP, oder wechselt der Spaßvogel?
Wenn es keine IP aus Deinem Netz ist, ist es als Angriff zu werten, und ich würde eine Mail an den zuständigen Provider absetzen.
Alternativ könntest auch Du ihn ein wenig "beschäftigen"...


Lonesome Walker
PS: Alternativ den Port umbelegen, z.B. 10021 ?
Bitte warten ..
Mitglied: leknilk0815
09.05.2006 um 20:22 Uhr
Hallo Lonesame Walker,
halt mich nicht für blöd, aber wo kann ich dessen IP sehen?
Das Log gibt nicht mehr her, und ich habe keinen Sniffer laufen
Die Zugriffe kommen definitiv von aussen, ich hab ein Fehllogin selbst getestet mit nem Phantasienamen, der steht dann auch so im Log. Von innen greift niemand drauf zu (ausser mir).

Gruß - Toni
Bitte warten ..
Mitglied: 16568
09.05.2006 um 20:26 Uhr
Es hält Dich hier niemand für dumm, eher bedauern wir Dich alle.
Schließlich gibt es nix schlimmeres, wenn ein Script-Kiddie versucht, Zugriff zu erlangen...

Start->Ausführen: cmd

netstat -a

dann sollten alle Verbindungen gelistet werden, die aktiv sind.



Lonesome Walker
Bitte warten ..
Mitglied: leknilk0815
09.05.2006 um 20:42 Uhr
ein bißchen dumm schon, hab mittlerweile das Log gefunden, es ist immer die gleiche IP, hier ein Auszug:
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2006-05-09 16:46:19
#Fields: time c-ip cs-method cs-uri-stem sc-status
16:46:19 216.55.142.66 [26]USER Administrator 331
16:46:20 216.55.142.66 [26]PASS - 530
16:46:20 216.55.142.66 [26]USER Administrator 331
16:46:20 216.55.142.66 [26]PASS - 530
16:46:21 216.55.142.66 [26]USER Administrator 331
16:46:21 216.55.142.66 [26]PASS - 530

der netstat listet zwar schön auf, allerdings haperts etwas mit der Interpretation,
worauf muß ich achten?
Bitte warten ..
Mitglied: 16568
09.05.2006 um 20:48 Uhr
Laut IP-Index ist die IP der Range:

216.55.128.0 - 216.55.191.255 Abacus America Inc. (NETBLK-ABAC1999A )

angehörend.

Meist haben die in der USA eine statische IP, also sollte eine Sperrung der Ip reichen.
Alternativ sperrst Du vorsichtshalber die Range 216.55.*.* per Firewall.


Lonesome Walker
Bitte warten ..
Mitglied: leknilk0815
09.05.2006 um 21:02 Uhr
Danke Dir für die schnellen Infos,
ich werd die Range mal dicht machen, im Moment hat er wohl aufgegeben.
Hat der eigentlich eine Chance, Unsinn anzurichten?
Anonymous ist deaktiviert, es ist nur ein User mit read- Berechtigung angelegt.

Gruß - Toni
Bitte warten ..
Mitglied: ITwissen
10.05.2006 um 11:57 Uhr
Aendere den Port deines FTP-Servers, waere eine einfache Moeglichkeit.
Bitte warten ..
Mitglied: leknilk0815
10.05.2006 um 12:14 Uhr
Das hat Lonsame Walker gestern schon vorgeschlagen, wenns nicht aufhört oder keine andere Möglichkeit gibt, werde ich das auch tun.
Allerdings wäre das eine Bankrotterklärung dem Hacker gegenüber....
Bitte warten ..
Mitglied: 16568
10.05.2006 um 12:15 Uhr
Laß mir bitte die aktuelle IP per PN zukommen; ich werde mal sehen, was man da so tun kann...


Lonesome Walker
Bitte warten ..
Mitglied: leknilk0815
10.05.2006 um 12:27 Uhr
@Lonesam Walker:

Danke, werd ich heut abend machen, wenn ich wieder zuhause bin!

Gruß - Toni
Bitte warten ..
Mitglied: leknilk0815
10.05.2006 um 22:28 Uhr
Hallo Lonesam Walker,

heute gabs keine Angriffe mehr, vielleicht hat er ja nach ca. 25000 Versuchen aufgegeben.
Ich hab mal ein Mail mit einem Logfile an den Provider geschickt, wie Du meintest, mal sehn, was und ob die was dazu sagen.

Vielen Dank nochmal für die Unterstützung

Gruß - Toni
Bitte warten ..
Ähnliche Inhalte
Windows Server
Patchen von Windows Server mit Exchange
gelöst Frage von hajoweWindows Server4 Kommentare

Hallo Zusammen. Ich möchte Euch gerne mal Fragen, wie hier es so mit dem Update vom Windows Server Betriebssystem ...

Verschlüsselung & Zertifikate
SSl Wildcard incl Exchange
gelöst Frage von theoberlinVerschlüsselung & Zertifikate2 Kommentare

Hallo zusammen, wir haben vor 2 Jahren nen Wildcard SSL Zertifikat bei StartSSL gekauft. Nun sind die ja nicht ...

Windows Server

WSUS Server und Clientproblem mit Download von Patches

Frage von winlinWindows Server7 Kommentare

Was mache ich falsch??? - Habe einen WSUS Server der meine clients mit updates versorgen soll. - update server: ...

Windows 10

Patch KB3163018

gelöst Frage von HanutaWindows 1019 Kommentare

Hallo Zusammen, seit dem o. g. Update vom 15.06.2016 funktioniert unsere Laufwerksverteilung über GPOs nicht mehrjemand eine Idee woran ...

Neue Wissensbeiträge
Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 18 StundenHumor (lol)1 Kommentar

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 19 StundenExchange Server6 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 1 TagErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 2 TagenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Heiß diskutierte Inhalte
Windows Server
Domäne einsilbig mit nur einem Namen benannt - sowie AD und MX auf einer VM Kardinalsfehler?
Frage von TomTestWindows Server48 Kommentare

Hallo liebe Freunde gepflegter Probleme, seit kurzem soll ich eine Domäne verwalten die zuvor von einem IT-Dienstleister erstellt und ...

Microsoft
VPN Verbindung kann nicht aufgebaut werden
Frage von AlexderITlerMicrosoft35 Kommentare

Hallo, Ich möchte an einem unserer PCs in unserer Tochterfirma eine VPN zu unserem Netzwerk einrichten. Das schlägt allerdings ...

DNS
Gibt es eine Art DNS Proxy?
Frage von icepietDNS16 Kommentare

Hallo Nerds, Ich würde gerne folgendes machen: ts.domain.de:3389 soll auf 1.2.3.4:3389 auflösen ts2.domain.de:3389 soll auf 1.2.3.4:3390 auflösen Gibt es ...

Windows Server
Windows Server per Web auf Daten zugreifen und verwalten
Frage von matze2090Windows Server16 Kommentare

Hallo, ich würde gerne von außen auf meinem Windows Server zugreifen um auf meine Daten zu verwalten. Meine frage ...