Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Angriff mit Administrator-Login auf Strato vServer alle 5 Sekunden?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: LaMancha

LaMancha (Level 1) - Jetzt verbinden

20.11.2014, aktualisiert 21.11.2014, 3233 Aufrufe, 9 Kommentare

Hallo,

ich habe mir einen vServer bei Strato angemietet (kleinste Ausbaustufe). Seit gestern geht aber alles nur noch seeehhhr langsam. Deshalb habe ich mal die Ereignisanzeige aufgerufen.

Im Microsoft-Windows-Security-Auditing wird tatsächlich alle 5 Sekunden ein Login-Versuch protokolliert:

Ereignis-ID: 4625 Fehler beim Anmelden eines Kontos
Anmeldetyp: 3 (Netzwerk)
Kontoname: Administrator
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Netzwerkinformationen:
Arbeitsstationsname: test2
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dass es keine Netzwerkadresse zur Quelle gibt, macht mich stutzig. Ist da wirklich jemand von außen am Üben, wie man auf fremde Server kommt. Oder habe ich vielleicht etwas falsch gemacht, evtl. irgendeine geplante Aufgabe des Windows-Standard versehentlich aktiviert?

Hat jemand schon einmal so etwas auf einem vServer bei Strato mit Server 2012 erlebt?

Ich habe erst mal die Dateigrößen der Log-Dateien aufs Minimum reduziert. Natürlich mich auch sofort bei Strato gemeldet, aber auf eine Antwort muss ich wohl noch warten.

Dann habe ich überlegt, den Administrator-Account zu deaktivieren, und/oder (über Lokale Sicherheitsrichtlinie - Lokale Sicherheitsoptionen - Konten den Administrator umzubenennen.

Machen diese Aktivitäten für Euch Profis Sinn? Und was bitte wäre sonst noch zu tun?

Schöne Grüße! LaMancha






Mitglied: antemortem
20.11.2014, aktualisiert um 13:56 Uhr
Ich sperre solche Zugänge immer über die Firewall. Es gibt genügend Skripte im Netz die gerade z.B. die Strato Netzwerke nach diesen Ports durchsuchen und bruteforcen. Am besten IPv6 Tunnel holen (feste IPv6 Adresse). Die Adresse in der Firewall eintragen und gut ist. Optimale Lösung wäre VPN.

VG
Bitte warten ..
Mitglied: Criemo
20.11.2014 um 13:57 Uhr
hi,

sieht nach einer Brute Force Attacke aus.
ich würde das Strato melden.

VG Criemo
Bitte warten ..
Mitglied: antemortem
20.11.2014 um 14:00 Uhr
Ganz ehrlich würde ich so etwas nicht melden. Ist alltäglich und bringt nichts und belastet nur den Support. Selbst wenn so etwas nützt, wären Minuten später andere Angriffe von anderen Skripten zu sehen.
Bitte warten ..
Mitglied: LaMancha
20.11.2014 um 14:13 Uhr
Danke für die Anregungen.

Da ich ja nur über Remote Desktop auf den vServer zugreifen kann, auf meinem Notebook aber täglich andere IP-Adressen habe und auch nicht immer nur von zu Hause, sondern auch mal z. B. von Hotel-PCs aus selbst auf den vServer zugreifen muss, und weil der Angreifer ja ohne Quell-IP registriert wird: besteht da nicht die Gefahr, dass ich mich vor allem selbst aussperre?

Eine Regel für die Firewall kann ich mir leider noch nicht so richtig formulieren. Und über welchen Port der Angriff kommt, ist mir ja auch nicht wirklich klar.

VG LaMancha
Bitte warten ..
Mitglied: antemortem
LÖSUNG 20.11.2014, aktualisiert 21.11.2014
Verstehe. Ich habe über den Anbieter tunnelbroker seit Jahren die gleiche feste IP v6. Auf meinem Desktop habe ich ein kleines Anwendungsprogramm, dass sich beim Anbieter registriert und alles für mich erledigt. Somit ist diese Variante recht sicher, was die Aussperrung angeht.

Jedoch evtl. alleine wegen den Firewalleinstellungen auf den ersten Blick zu aufwendig für Dich?
Falls ja, dann würde ich primär die Passwörter sehr sicher halten, lasse dir am besten welche online mit Sonderzeichen und Zahlen generieren (12 Zeichen oder mehr). Und aktualisiere ggf. das Betriebsystem auf dem VServer regelmäßig.
Bitte warten ..
Mitglied: Cthluhu
20.11.2014 um 17:08 Uhr
Hi,

Naja, wenn der Server von außen erreichbar ist, hast du immer irgendwelche Skriptkiddes drauf, welche brute-force Passwörter probieren.

Unter linux verwende ich fail2ban. Das liest die log-files und bei N fehlgeschlagenen Loginversuchen innerhalb M Minuten wird eine Ip-Adresse für eine gewisse Zeit in der Firewall geblockt.
Dazu kommen noch Listen von bekannten Spammern, z.B. https://www.badips.com/ (jetzt nicht als Spammer, sondern als Listenquelle. Diese Listen lade ich alle 6 Stunden runter und blockiere die Spammer mittels der Firewall. Diese beiden Maßnahmen halten gefühlte 99% der Skript-Kiddy Loginversuche ab.

Fail2ban alternativen für Windows gibts (zumindest laut google) einige.

mfg

Cthluhu
Bitte warten ..
Mitglied: Failure
20.11.2014 um 17:53 Uhr
Hallo,
das selbe Spiel findet auch bei mir auf einem Windows Server 2008 R2 (nicht bei Strato) seit zwei Tagen statt.
Die einzigste verwertbare Info im Log ist genau wie oben Arbeitsstationsname test2.
Leider wird keine IP angezeigt, so daß es mir unmöglich erscheint, den Login Versuch per Firewall zu unterbinden.
Ich habe IPban am Start, was bisher alle RDP Login Versuche erfolgreich geblockt hat, aber in diesem Fall ist es wegen der fehlenden IP Adresse wirkungslos.
Netstat zeigt mir auch nichts brauchbares an.
Hat jemand einen Vorschlag, wie man die IP des Anmeldeversuches herausfinden könnte?
Danke für Antworten.
Bitte warten ..
Mitglied: Failure
LÖSUNG 20.11.2014, aktualisiert 21.11.2014
Hrmpf.
Mal wieder die Russen.
62.109.28.0 - 62.109.31.255 in die Firewall und Ruhe ist.
Bitte warten ..
Mitglied: LaMancha
21.11.2014 um 12:44 Uhr
Hallo,

die IP-Adressen wollte ich soeben blockieren, aber der letzte Angriff wurde um 11:14:05 registriert, also vor 1,5 Stunden. Damit hat dann wohl das Theater 2 Tage gedauert. Mal schauen, ob Nachwirkungen festzustellen sein werden ...

Danke für alle Tipps.

MfG - LaMancha
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Draytek Vigor 2760Vn Entertain hängt nach 5 sekunden
Frage von SMoller02Router & Routing9 Kommentare

Einen wunderschönen guten Tag wünsche ich. Ich bin am Dienstag von der Fritzbox 7360 auf einen Draytek Vigor 2760Vn ...

Windows Server
Strato VServer (Win Server 2012) - Registry zerschossen - Wie wiederherstellen?
Frage von mKay1610Windows Server3 Kommentare

Guten Abend, ich habe eine Windows VServer von Strato gemietet. Da ich diesen rein privat verwende, wollte ich das ...

Windows 7
Einträge im System Log 136 und 137 alle 5 Sekunden
Frage von flugfaustWindows 7

Hallo, ich erhalte auf einem PC mit Windows 7 alle 5 Sekunden folgende Log Einträge: ID: 136 Quelle: NTFS ...

Server
Unterschied HDD vServer - SSD vServer
gelöst Frage von NyradosServer4 Kommentare

Hallo liebe Community, Ich verstehe nicht ganz wo der unterschied zwischen einem HDD vServer und einem SSD vServer liegt ...

Neue Wissensbeiträge
Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 1 StundeLinux6 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing13 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Microsoft Office
Outlook Cache Mode Frage
Frage von GwaihirMicrosoft Office11 Kommentare

Hallo zusammen, bin gerade neu in der Firma und lerne hier einige neue Dinge kennen. Zum Beispiel, dass die ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server11 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...