sbs 2003 server versucht sich selber anzumelden.
virus, trojaner oder sehe ich geister????
heute ist das schon wieder passiert.
ich arbeite am rechner während plötzlich der server anfängt geräusche von sich zu geben.
mit geräusche meine ich diesen typischen sound, der von der internen lautsprecher kommt wenn man keine soundkarte hat, und man macht im windows einen fehler. "poing."
der server befand sich im abgesperrten modus, sprich der admin war angemeldet, aber durch längere zeit nicht mehr in gebrauch sperrt sich der server selber ab.
jedenfalls, konnte ich auf dem bildschirm sehen, wie sich "jemand" wie von geisterhand versucht hat sich anzumelden.
dann kam die fehlermeldung: "passwort oder benutzer falsch, überprüfen sie ihre daten" oder so ähnlich, ihr wisst schon was ich meine.
mein problem ist jetzt, ich weiß nicht was ich machen soll. ist es ein virus? ein trojaner? ein hacker? wobei ich letzteres ausschliessen kann, glaub ich. dafür hat "der jenige, oder es" einfach zu schnell versucht das passwort einzugeben. bei dem router war der einzige port der freigegeben war, bis heute natürlich, der port 3389 (bin aber jetzt nicht mehr 100% sicher, obs wirklich dieser port war) ..... und zwar für VPN Remote.
komischerweise, hat es aufgehört sich selber anzumelden, nachdem ich diesen einen port der frei war, auch noch blockiert hab.
zufall oder doch kein zufall?
hat jemand schon mal das gleiche problem gehabt?
ich besitze einen sbs2003 server und als router nehme ich die fritz.box.
vielen dank für eure hilfe.
ich arbeite am rechner während plötzlich der server anfängt geräusche von sich zu geben.
mit geräusche meine ich diesen typischen sound, der von der internen lautsprecher kommt wenn man keine soundkarte hat, und man macht im windows einen fehler. "poing."
der server befand sich im abgesperrten modus, sprich der admin war angemeldet, aber durch längere zeit nicht mehr in gebrauch sperrt sich der server selber ab.
jedenfalls, konnte ich auf dem bildschirm sehen, wie sich "jemand" wie von geisterhand versucht hat sich anzumelden.
dann kam die fehlermeldung: "passwort oder benutzer falsch, überprüfen sie ihre daten" oder so ähnlich, ihr wisst schon was ich meine.
mein problem ist jetzt, ich weiß nicht was ich machen soll. ist es ein virus? ein trojaner? ein hacker? wobei ich letzteres ausschliessen kann, glaub ich. dafür hat "der jenige, oder es" einfach zu schnell versucht das passwort einzugeben. bei dem router war der einzige port der freigegeben war, bis heute natürlich, der port 3389 (bin aber jetzt nicht mehr 100% sicher, obs wirklich dieser port war) ..... und zwar für VPN Remote.
komischerweise, hat es aufgehört sich selber anzumelden, nachdem ich diesen einen port der frei war, auch noch blockiert hab.
zufall oder doch kein zufall?
hat jemand schon mal das gleiche problem gehabt?
ich besitze einen sbs2003 server und als router nehme ich die fritz.box.
vielen dank für eure hilfe.
Please also mark the comments that contributed to the solution of the article
Content-Key: 46725
Url: https://administrator.de/contentid/46725
Printed on: April 20, 2024 at 01:04 o'clock
4 Comments
Latest comment
Hallo mituiphoto,
wenn jemand versucht, sich von außen via RDP anzumelden bekommt das der LAN-seitig angemeldete Benutzer nicht mit. Es wird eine zweite Session gestartet, die unabhängig voneinander laufen.
Was anderes ist es, wenn versucht wird, mit
However, ist es imho sträflicher Leichtsinn, einen Server so von außen zugänglich zu machen.
Besser wäre den Zugang über VPN zu realisieren oder zumindest, wenn möglich, auf bestimmte externe IP-Adressen zu beschränken.
Auf Malware würde ich jetzt mal nicht tippen, ich denke die würde das auf andere Weise versuchen. Einen Check mit entspr. Software solltest du aber auf jeden Fall machen.
HTH,
gemini
wenn jemand versucht, sich von außen via RDP anzumelden bekommt das der LAN-seitig angemeldete Benutzer nicht mit. Es wird eine zweite Session gestartet, die unabhängig voneinander laufen.
Was anderes ist es, wenn versucht wird, mit
mstsc -v:<server> -console
die Konsole zu übernehmen, dann wird nämlich die Session des lokalen Benutzer auf den anderen übertragen. Ob das auf dem Monitor in dieser Form sichtbar wird, kann ich aber nicht sagen.However, ist es imho sträflicher Leichtsinn, einen Server so von außen zugänglich zu machen.
Besser wäre den Zugang über VPN zu realisieren oder zumindest, wenn möglich, auf bestimmte externe IP-Adressen zu beschränken.
Auf Malware würde ich jetzt mal nicht tippen, ich denke die würde das auf andere Weise versuchen. Einen Check mit entspr. Software solltest du aber auf jeden Fall machen.
HTH,
gemini
Hi,
wie sicher oder unsicher die diversen VNCs sind kann ich nicht beurteilen, da ich sie nicht einsetze.
Bei deinem Server handelt es sich um einen produktiven Domänencontroller der wichtige (nehme ich mal an) Geschäftsdaten hostet, right?
Wenn du diesen direkt von außen zugänglich machst, öffnest du ein großes Sicherheitsleck.
Normalerweise müsste der Rechner dann in eine DMZ, da sollte aber widerum ein DC nicht stehen.
Mein Vorschlag, eine kleine PIX oder Netscreen, darauf den VPN-Server konfigurieren und zuhause bei dir den entspr. VPN-Client installieren.
Vorteil: Du kannst deinen FTP-Server und was auch sonst immer uneingschränkt nutzen ohne das der Server dazu im Internet stehen muss
Eine Fritzbox halte ich als Schutz für ein Unternehmensnetz für ungeeignet.
[EDIT] Bei der tollen Protokollierung der Fritzbox würdest du nicht mal mitbekommen wenn jemand eindringt[/EDIT]
Haben wir hier, eine kleine Domäne hinter einer PIX 501 mit statischer IP, so geregelt: Direkt eingehende Verbindungen bspw. von Banken, Fernwartung von WiWa etc. ist auf best. IP-Adresen beschränkt. Ansonsten ist Zugriff ausschließlich über den VPN-Clienten der PIX möglich.
HTH,
gemini
wie sicher oder unsicher die diversen VNCs sind kann ich nicht beurteilen, da ich sie nicht einsetze.
Bei deinem Server handelt es sich um einen produktiven Domänencontroller der wichtige (nehme ich mal an) Geschäftsdaten hostet, right?
Wenn du diesen direkt von außen zugänglich machst, öffnest du ein großes Sicherheitsleck.
Normalerweise müsste der Rechner dann in eine DMZ, da sollte aber widerum ein DC nicht stehen.
Mein Vorschlag, eine kleine PIX oder Netscreen, darauf den VPN-Server konfigurieren und zuhause bei dir den entspr. VPN-Client installieren.
Vorteil: Du kannst deinen FTP-Server und was auch sonst immer uneingschränkt nutzen ohne das der Server dazu im Internet stehen muss
Eine Fritzbox halte ich als Schutz für ein Unternehmensnetz für ungeeignet.
[EDIT] Bei der tollen Protokollierung der Fritzbox würdest du nicht mal mitbekommen wenn jemand eindringt[/EDIT]
Haben wir hier, eine kleine Domäne hinter einer PIX 501 mit statischer IP, so geregelt: Direkt eingehende Verbindungen bspw. von Banken, Fernwartung von WiWa etc. ist auf best. IP-Adresen beschränkt. Ansonsten ist Zugriff ausschließlich über den VPN-Clienten der PIX möglich.
HTH,
gemini