Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mein Windows Server 2008 wird angegriffen

Mitglied: emanetcin

emanetcin (Level 1) - Jetzt verbinden

27.10.2009, aktualisiert 28.10.2009, 6647 Aufrufe, 7 Kommentare

Hallo zusammen,
ich habe folgendes Problem mit meinem Server.
Der Server wird von einem IP/PC angegriffen, über Port 80 vermute ich mal.

Da ich nicht in der Suchmaschine erscheinen möchte, habe ich meinen Domain Namen nicht geschrieben als Muster habe ich (meinendomain.com) benutzt. !!!

In dem Windows Server 2008 ist Plesk 9 steht als Hosting-Tool zur Verfügung von Strato.

Meine Firewall ist eingeschaltet, aber beim Angriff wird mein CPU bis zu 100% belastet durch den Namen: w3wp.exe *32.

5c85ce07192bf891d7852ecf80615597-taskmgr - Klicke auf das Bild, um es zu vergrößern

Im Ordner; D:\InetPub\vhosts\meinedomain.com\statistics\logs\W3SVC28157;habe ich die Logs herausgenommen, die 123 MB groß ist.

2009-10-27 19:05:59 W3SVC28157 H1436784 85.214.79.205 POST / - 80 - 88.225.215.124 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+Q312461;+.NET+CLR+1.0.3705) - - www.meinedomain.com 200 0 1236 0 391 270456

85.214.79.205 ist die IP-Adresse vom Server und die 88.225.214.124 ist derjenige, der angreift.

Was für eine Art Einstellung muss ich denn machen, um dieses Problem zu lösen, d.h. um dieser Angriffe zu verhindern?

Kann ich irgendwie ein Limit geben, das kein Client nicht mehrmals immer wieder Refresh`en kann, so wird die Webseite auch nicht blockiert werden, d.h. es dauert lang bis es öffnet.

Mit diesem Angriff könnte ja in diesem Fall, jeder an jedem Windows Server angreifen, das muss doch unbedingt verhindert werden!

Hier ist noch die Fehlermeldung von Server Manager / Web Server (IIS) - Event Properties

Log Name: System
Source: Microsoft-Windows-WAS
Date: 10/28/2009 1:02:36 AM
Event ID: 5009
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: h1436784
Description:
A process serving application pool 'partnerizm.com(domain)(pool)' terminated unexpectedly. The process id was '3096'. The process exit code was '0xc0000374'.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-WAS" Guid="{524B5D04-133C-4A62-8362-64E8EDB9CE40}" EventSourceName="WAS" />
<EventID Qualifiers="32768">5009</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2009-10-28T00:02:36.000Z" />
<EventRecordID>3297686</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>h1436784</Computer>
<Security />
</System>
<EventData>
<Data Name="AppPoolID">partnerizm.com(domain)(pool)</Data>
<Data Name="ProcessID">3096</Data>
<Data Name="ExitCode">c0000374</Data>
</EventData>
</Event>
Mitglied: gansa28
28.10.2009 um 03:25 Uhr
Hallo Chris,

Leider weiss ich nicht wie das bei einem Windows Server unter Plesk abläuft, aber man könnte die IP-Adresse bzw. partnerizm.com des "Angreifers" blocken. Das sollte zumindest erstmal helfen.

Die IP-Adresse ist in der Turkei reg.

Die Einstellungen kannst du unter System / Module Konfigurieren.

MFG

Gansa29
Bitte warten ..
Mitglied: maretz
28.10.2009 um 06:52 Uhr
Moin,

fangen wir mal mit den grundlegenden Dingen an:

a) Die beste Art seinen Server zum Angriffsziel zu machen ist an möglichst vielen Stellen zu sagen was genau drauf läuft - und die IP-Adresse immer schön dazu schreiben. Wenn ich also jetzt deinen Server angreiffen möchte dann weiss ich schonmal das ich gute Chancen habe falls es bei Plesk ne Lücke gibt - und ansonsten kann ich schonmal die Standard-Windows-Lücken nehmen. Achso - und natürlich meine Angriffe auf den IIS abzielen. Perfekt - magst du jetzt nich noch eben dazu den Admin-Usernamen und das Passwort hier öffentlich posten - damit auch das letzte Script-Kiddy ne Chance hat? Ansonsten möchtest du ggf. ja auch mal deine öffentliche IP aus deinem Posting rausnehmen... Oder ist die IRGENDWIE zur Problembehandlung sinnvoll?

b) Eine einzelne IP sperren wird dich nicht glücklich machen. Ich habe pro Tag locker einige 100 Zugriffe auf meinen PRIVATEN Webserver die es mit den üblichen Tools versuchen. (Leider sind die Script-Kiddys nichtmal intelligent genug zu erkennen das nen IIS-Spezifischer Angriff bei nem Apache wenig chance auf erfolg hat... Und das Windows-Verzeichnisse bei Linux-Servern auch eher selten funktionieren... -> aber gut, du hast denen ja schon gesagt was die bei dir nutzen können...). Ich befürchte nämlich das du dann nur noch damit beschäftigt sein wirst irgendwelche IPs zu blocken...

Die Frage wäre jetzt eher was da genau versucht wird. Aufgrund des Post würde ich mal vermuten das Daten gesendet werden -> und falls dein Plesk zufällig jetzt das Ziel des Angriffes ist würde ich dieses einfach in ein Webdirectory packen welches zwar über die selbe IP aber nen anderen Port erreichbar ist. Sollten es Formulare deiner Webseite sein dann würde ich HIER ansetzen und z.B. einen Counter einbauen. Wenn das z.B. nen Kontakt-Formular ist dann sollte es reichen wenn man 2-3 Anfragen/10 Min senden darf. Damit sollten auch die sehr auskunftsfreudigen Kunden noch klarkommen... Macht man mehr gibt es nur noch nen Access Denied -> feierabend...

Weiterhin solltest du natürlich gucken ob dein Server Updatemässig auf dem neuesten Stand ist -> damit du nicht evtl. bereits Probleme auf der Kiste hast und die Post-Aufrufe nur noch irgendeinen Bot steuern u.ä....

Und jetzt noch etwas generelles:
[Quote]
Ich bitte um baldige Antwort.
[/quote]
Sowas kannst du als Chef zu deinen Angestellten sagen... -> aber in einem Forum sollte man auf solche Formulierungen lieber verzichten. Es wird deshalb keiner schneller schreiben - eher hälst du Leute davon ab das die überhaupt Antworten...

Gruß

Mike
Bitte warten ..
Mitglied: KowaKowalski
28.10.2009 um 07:38 Uhr
Hi emanetcin,


bin mir auch garnicht sicher ob Du da gleich von einem Angriff ausgehen kannst.
Schließlich gab es zu diesem Thema schon für den 2003er ein Hotfix http://support.microsoft.com/kb/900243
denn auch dort war dieses Phänomen bei bestimmten Konstellationen schon da.


mfg
kowa
Bitte warten ..
Mitglied: alex53842
28.10.2009 um 13:35 Uhr
Hallo,

warum hast du deinen W2k8 Server denn komplett umgeschützt? Ich hab gerade mal ein paar dinge probiert und muss sagen du solltest schnell eine vernünftige Firewall davor schalten. Sogar die RDP- Anmeldung geht?!?! Un das ist noch nicht das schlimmste.....
Bitte warten ..
Mitglied: emanetcin
28.10.2009 um 17:46 Uhr
Was sollte ich am besten machen?

Meine Firewall ist ja an ?
Bitte warten ..
Mitglied: alex53842
29.10.2009 um 08:31 Uhr
Hallo,

also zuerst mal alle eingehenden Ports zu. Und nur das was mann wirklich braucht sollte offen sein. Welche FW nutzt du?
Bitte warten ..
Mitglied: emanetcin
29.10.2009 um 10:10 Uhr
Ich habe nur die Wichtigen Ports Offengelassen.

Habe Windows Firewall von Windows Server 2008!
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Server 2008 wiederherstellen
gelöst Frage von BerndPWindows Server3 Kommentare

Servus, beim Umbau eines Servers der als ESXi Host diente wurden 2 Festplatten vom Raidcontroller gelöscht. Auf einer lief ...

Windows Server
Meldung Windows Server 2008
Frage von alijoschiWindows Server3 Kommentare

Hallo Leute! Habe hier einen Windows Terminal Server (Windows Server 2008). Seit einiger Zeit bekomme ich immer wieder folgende ...

Windows Server

2 Domänencontroller Windows Server 2008 auf Windows Server 2008 R2 updaten

gelöst Frage von CharlyXLWindows Server4 Kommentare

Hallo zusammen, wie im Titel geschrieben, habe ich genanntes Update vor. Hat jemand damit Erfahrungen? Kann ich einfach die ...

Windows Server

Windows Server 2008 und SBS 2008 in einer Domäne

gelöst Frage von manuelwWindows Server6 Kommentare

Hallo, Weiß vielleicht jemand von Euch ob ich in einer bestehenden Windows Server 2008 Domäne einen Small Business Server ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 5 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 16 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 16 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 16 StundenHardware11 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...