4
sbs 2003 server versucht sich selber anzumelden.
virus, trojaner oder sehe ich geister????
heute ist das schon wieder passiert.
ich arbeite am rechner während plötzlich der server anfängt geräusche von sich zu geben.
mit geräusche meine ich diesen typischen sound, der von der internen lautsprecher kommt wenn man keine soundkarte hat, und man macht im windows einen fehler. "poing."
der server befand sich im abgesperrten modus, sprich der admin war angemeldet, aber durch längere zeit nicht mehr in gebrauch sperrt sich der server selber ab.
jedenfalls, konnte ich auf dem bildschirm sehen, wie sich "jemand" wie von geisterhand versucht hat sich anzumelden.
dann kam die fehlermeldung: "passwort oder benutzer falsch, überprüfen sie ihre daten" oder so ähnlich, ihr wisst schon was ich meine.
mein problem ist jetzt, ich weiß nicht was ich machen soll. ist es ein virus? ein trojaner? ein hacker? wobei ich letzteres ausschliessen kann, glaub ich. dafür hat "der jenige, oder es" einfach zu schnell versucht das passwort einzugeben. bei dem router war der einzige port der freigegeben war, bis heute natürlich, der port 3389 (bin aber jetzt nicht mehr 100% sicher, obs wirklich dieser port war) ..... und zwar für VPN Remote.
komischerweise, hat es aufgehört sich selber anzumelden, nachdem ich diesen einen port der frei war, auch noch blockiert hab.
zufall oder doch kein zufall?
hat jemand schon mal das gleiche problem gehabt?
ich besitze einen sbs2003 server und als router nehme ich die fritz.box.
vielen dank für eure hilfe.
ich arbeite am rechner während plötzlich der server anfängt geräusche von sich zu geben.
mit geräusche meine ich diesen typischen sound, der von der internen lautsprecher kommt wenn man keine soundkarte hat, und man macht im windows einen fehler. "poing."
der server befand sich im abgesperrten modus, sprich der admin war angemeldet, aber durch längere zeit nicht mehr in gebrauch sperrt sich der server selber ab.
jedenfalls, konnte ich auf dem bildschirm sehen, wie sich "jemand" wie von geisterhand versucht hat sich anzumelden.
dann kam die fehlermeldung: "passwort oder benutzer falsch, überprüfen sie ihre daten" oder so ähnlich, ihr wisst schon was ich meine.
mein problem ist jetzt, ich weiß nicht was ich machen soll. ist es ein virus? ein trojaner? ein hacker? wobei ich letzteres ausschliessen kann, glaub ich. dafür hat "der jenige, oder es" einfach zu schnell versucht das passwort einzugeben. bei dem router war der einzige port der freigegeben war, bis heute natürlich, der port 3389 (bin aber jetzt nicht mehr 100% sicher, obs wirklich dieser port war) ..... und zwar für VPN Remote.
komischerweise, hat es aufgehört sich selber anzumelden, nachdem ich diesen einen port der frei war, auch noch blockiert hab.
zufall oder doch kein zufall?
hat jemand schon mal das gleiche problem gehabt?
ich besitze einen sbs2003 server und als router nehme ich die fritz.box.
vielen dank für eure hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 46725
Url: https://administrator.de/contentid/46725
Printed on: April 20, 2024 at 01:04 o'clock
4 Comments
Latest comment
Hallo mituiphoto,
wenn jemand versucht, sich von außen via RDP anzumelden bekommt das der LAN-seitig angemeldete Benutzer nicht mit. Es wird eine zweite Session gestartet, die unabhängig voneinander laufen.
Was anderes ist es, wenn versucht wird, mit
However, ist es imho sträflicher Leichtsinn, einen Server so von außen zugänglich zu machen.
Besser wäre den Zugang über VPN zu realisieren oder zumindest, wenn möglich, auf bestimmte externe IP-Adressen zu beschränken.
Auf Malware würde ich jetzt mal nicht tippen, ich denke die würde das auf andere Weise versuchen. Einen Check mit entspr. Software solltest du aber auf jeden Fall machen.
HTH,
gemini
wenn jemand versucht, sich von außen via RDP anzumelden bekommt das der LAN-seitig angemeldete Benutzer nicht mit. Es wird eine zweite Session gestartet, die unabhängig voneinander laufen.
Was anderes ist es, wenn versucht wird, mit
mstsc -v:<server> -console die Konsole zu übernehmen, dann wird nämlich die Session des lokalen Benutzer auf den anderen übertragen. Ob das auf dem Monitor in dieser Form sichtbar wird, kann ich aber nicht sagen.However, ist es imho sträflicher Leichtsinn, einen Server so von außen zugänglich zu machen.
Besser wäre den Zugang über VPN zu realisieren oder zumindest, wenn möglich, auf bestimmte externe IP-Adressen zu beschränken.
Auf Malware würde ich jetzt mal nicht tippen, ich denke die würde das auf andere Weise versuchen. Einen Check mit entspr. Software solltest du aber auf jeden Fall machen.
HTH,
gemini
hi gemini,
vielen dank erstmal für dein beitrag.
oben hab ich mich 2x verschrieben, ich meinte nicht den port 3389, das ist der Microsoft windows Remotedesktop-Port, sondern 5900 für Real VNC Viewer.
und ich benutzte bis jetzt nicht vpn, sondern VNC Viewer von Real VNC. ob das gut oder schlecht ist, weiß ich nicht, bis jetzt ging das ganz gut. bin leider nicht der super profi admin, hatte aber bis vor kurzem nie probleme mit dem server.
leider ist das jetzt ein komplett neuer server, mit neue hardware. wurde von mir neu aufgesetzt, und seitdem hab ich diese probleme.
würde gerne mehrere ports freigeben, aber ich trau mich jetzt irgendwie nicht.
die ports wären:
21 - für einen ftp server, von zuhause aus daten ziehen
4125 + 444 - remotedesktop sbs für intranet ins internet
443 - für weboutlook, emails von zuhause checken
5900 - für VNC Viewer
das wars. die waren früher alle frei in der fritz.box.
für andere vorschläge wäre ich sehr dankbar.
und VNC auf bestimmte ips zu beschränken kann ich nicht, weil ich weder zu hause, noch in der arbeit feste ip habe. leider nur flat DSL mit dynamische ip adressen.
vielen dank.
vielen dank erstmal für dein beitrag.
oben hab ich mich 2x verschrieben, ich meinte nicht den port 3389, das ist der Microsoft windows Remotedesktop-Port, sondern 5900 für Real VNC Viewer.
und ich benutzte bis jetzt nicht vpn, sondern VNC Viewer von Real VNC. ob das gut oder schlecht ist, weiß ich nicht, bis jetzt ging das ganz gut. bin leider nicht der super profi admin, hatte aber bis vor kurzem nie probleme mit dem server.
leider ist das jetzt ein komplett neuer server, mit neue hardware. wurde von mir neu aufgesetzt, und seitdem hab ich diese probleme.
würde gerne mehrere ports freigeben, aber ich trau mich jetzt irgendwie nicht.
die ports wären:
21 - für einen ftp server, von zuhause aus daten ziehen
4125 + 444 - remotedesktop sbs für intranet ins internet
443 - für weboutlook, emails von zuhause checken
5900 - für VNC Viewer
das wars. die waren früher alle frei in der fritz.box.
für andere vorschläge wäre ich sehr dankbar.
und VNC auf bestimmte ips zu beschränken kann ich nicht, weil ich weder zu hause, noch in der arbeit feste ip habe. leider nur flat DSL mit dynamische ip adressen.
vielen dank.
Hi,
wie sicher oder unsicher die diversen VNCs sind kann ich nicht beurteilen, da ich sie nicht einsetze.
Bei deinem Server handelt es sich um einen produktiven Domänencontroller der wichtige (nehme ich mal an) Geschäftsdaten hostet, right?
Wenn du diesen direkt von außen zugänglich machst, öffnest du ein großes Sicherheitsleck.
Normalerweise müsste der Rechner dann in eine DMZ, da sollte aber widerum ein DC nicht stehen.
Mein Vorschlag, eine kleine PIX oder Netscreen, darauf den VPN-Server konfigurieren und zuhause bei dir den entspr. VPN-Client installieren.
Vorteil: Du kannst deinen FTP-Server und was auch sonst immer uneingschränkt nutzen ohne das der Server dazu im Internet stehen muss
Eine Fritzbox halte ich als Schutz für ein Unternehmensnetz für ungeeignet.
[EDIT] Bei der tollen Protokollierung der Fritzbox würdest du nicht mal mitbekommen wenn jemand eindringt[/EDIT]
Haben wir hier, eine kleine Domäne hinter einer PIX 501 mit statischer IP, so geregelt: Direkt eingehende Verbindungen bspw. von Banken, Fernwartung von WiWa etc. ist auf best. IP-Adresen beschränkt. Ansonsten ist Zugriff ausschließlich über den VPN-Clienten der PIX möglich.
HTH,
gemini
wie sicher oder unsicher die diversen VNCs sind kann ich nicht beurteilen, da ich sie nicht einsetze.
Bei deinem Server handelt es sich um einen produktiven Domänencontroller der wichtige (nehme ich mal an) Geschäftsdaten hostet, right?
Wenn du diesen direkt von außen zugänglich machst, öffnest du ein großes Sicherheitsleck.
Normalerweise müsste der Rechner dann in eine DMZ, da sollte aber widerum ein DC nicht stehen.
Mein Vorschlag, eine kleine PIX oder Netscreen, darauf den VPN-Server konfigurieren und zuhause bei dir den entspr. VPN-Client installieren.
Vorteil: Du kannst deinen FTP-Server und was auch sonst immer uneingschränkt nutzen ohne das der Server dazu im Internet stehen muss
Eine Fritzbox halte ich als Schutz für ein Unternehmensnetz für ungeeignet.
[EDIT] Bei der tollen Protokollierung der Fritzbox würdest du nicht mal mitbekommen wenn jemand eindringt[/EDIT]
Haben wir hier, eine kleine Domäne hinter einer PIX 501 mit statischer IP, so geregelt: Direkt eingehende Verbindungen bspw. von Banken, Fernwartung von WiWa etc. ist auf best. IP-Adresen beschränkt. Ansonsten ist Zugriff ausschließlich über den VPN-Clienten der PIX möglich.
HTH,
gemini
danke für dein vorschlag. hört sich sehr vernünftig an.
werde im forum danach suchen, wie man das realisieren kann. denn ein paar begriffe wie vpn-tunnel etc. sind mir noch fremd. hab leider nicht so viel erfahrung damit.
ärgerlich ist nur, dass alles bis jetzt mit dem alten server super lief, und jetzt mit dem neuem server soviel ärger hab.
wer mir einzelne suchpunkte ersparren möchte, wäre ich sehr dankbar für eine schritt für schritt anleitung für diesen vorschlag in die tat umzusetzen.
... ach, ehe ich es vergesse, die fritz.box würde ich gerne weiterhin benutzen wenn es geht, denn dadurch geht unser fax und die ip-telefonie. dadurch kann man sich ne menge geld sparen...
vielleicht die pix oder was vergleichbares dahinter anschließen, wenn das möglich ist...
thx.
werde im forum danach suchen, wie man das realisieren kann. denn ein paar begriffe wie vpn-tunnel etc. sind mir noch fremd. hab leider nicht so viel erfahrung damit.
ärgerlich ist nur, dass alles bis jetzt mit dem alten server super lief, und jetzt mit dem neuem server soviel ärger hab.
wer mir einzelne suchpunkte ersparren möchte, wäre ich sehr dankbar für eine schritt für schritt anleitung für diesen vorschlag in die tat umzusetzen.
... ach, ehe ich es vergesse, die fritz.box würde ich gerne weiterhin benutzen wenn es geht, denn dadurch geht unser fax und die ip-telefonie. dadurch kann man sich ne menge geld sparen...
vielleicht die pix oder was vergleichbares dahinter anschließen, wenn das möglich ist...
thx.
