Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Angriff mit Administrator-Login auf Strato vServer alle 5 Sekunden?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: LaMancha

LaMancha (Level 1) - Jetzt verbinden

20.11.2014, aktualisiert 21.11.2014, 2825 Aufrufe, 9 Kommentare

Hallo,

ich habe mir einen vServer bei Strato angemietet (kleinste Ausbaustufe). Seit gestern geht aber alles nur noch seeehhhr langsam. Deshalb habe ich mal die Ereignisanzeige aufgerufen.

Im Microsoft-Windows-Security-Auditing wird tatsächlich alle 5 Sekunden ein Login-Versuch protokolliert:

Ereignis-ID: 4625 Fehler beim Anmelden eines Kontos
Anmeldetyp: 3 (Netzwerk)
Kontoname: Administrator
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Netzwerkinformationen:
Arbeitsstationsname: test2
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dass es keine Netzwerkadresse zur Quelle gibt, macht mich stutzig. Ist da wirklich jemand von außen am Üben, wie man auf fremde Server kommt. Oder habe ich vielleicht etwas falsch gemacht, evtl. irgendeine geplante Aufgabe des Windows-Standard versehentlich aktiviert?

Hat jemand schon einmal so etwas auf einem vServer bei Strato mit Server 2012 erlebt?

Ich habe erst mal die Dateigrößen der Log-Dateien aufs Minimum reduziert. Natürlich mich auch sofort bei Strato gemeldet, aber auf eine Antwort muss ich wohl noch warten.

Dann habe ich überlegt, den Administrator-Account zu deaktivieren, und/oder (über Lokale Sicherheitsrichtlinie - Lokale Sicherheitsoptionen - Konten den Administrator umzubenennen.

Machen diese Aktivitäten für Euch Profis Sinn? Und was bitte wäre sonst noch zu tun?

Schöne Grüße! LaMancha






Mitglied: antemortem
20.11.2014, aktualisiert um 13:56 Uhr
Ich sperre solche Zugänge immer über die Firewall. Es gibt genügend Skripte im Netz die gerade z.B. die Strato Netzwerke nach diesen Ports durchsuchen und bruteforcen. Am besten IPv6 Tunnel holen (feste IPv6 Adresse). Die Adresse in der Firewall eintragen und gut ist. Optimale Lösung wäre VPN.

VG
Bitte warten ..
Mitglied: Criemo
20.11.2014 um 13:57 Uhr
hi,

sieht nach einer Brute Force Attacke aus.
ich würde das Strato melden.

VG Criemo
Bitte warten ..
Mitglied: antemortem
20.11.2014 um 14:00 Uhr
Ganz ehrlich würde ich so etwas nicht melden. Ist alltäglich und bringt nichts und belastet nur den Support. Selbst wenn so etwas nützt, wären Minuten später andere Angriffe von anderen Skripten zu sehen.
Bitte warten ..
Mitglied: LaMancha
20.11.2014 um 14:13 Uhr
Danke für die Anregungen.

Da ich ja nur über Remote Desktop auf den vServer zugreifen kann, auf meinem Notebook aber täglich andere IP-Adressen habe und auch nicht immer nur von zu Hause, sondern auch mal z. B. von Hotel-PCs aus selbst auf den vServer zugreifen muss, und weil der Angreifer ja ohne Quell-IP registriert wird: besteht da nicht die Gefahr, dass ich mich vor allem selbst aussperre?

Eine Regel für die Firewall kann ich mir leider noch nicht so richtig formulieren. Und über welchen Port der Angriff kommt, ist mir ja auch nicht wirklich klar.

VG LaMancha
Bitte warten ..
Mitglied: antemortem
LÖSUNG 20.11.2014, aktualisiert 21.11.2014
Verstehe. Ich habe über den Anbieter tunnelbroker seit Jahren die gleiche feste IP v6. Auf meinem Desktop habe ich ein kleines Anwendungsprogramm, dass sich beim Anbieter registriert und alles für mich erledigt. Somit ist diese Variante recht sicher, was die Aussperrung angeht.

Jedoch evtl. alleine wegen den Firewalleinstellungen auf den ersten Blick zu aufwendig für Dich?
Falls ja, dann würde ich primär die Passwörter sehr sicher halten, lasse dir am besten welche online mit Sonderzeichen und Zahlen generieren (12 Zeichen oder mehr). Und aktualisiere ggf. das Betriebsystem auf dem VServer regelmäßig.
Bitte warten ..
Mitglied: Cthluhu
20.11.2014 um 17:08 Uhr
Hi,

Naja, wenn der Server von außen erreichbar ist, hast du immer irgendwelche Skriptkiddes drauf, welche brute-force Passwörter probieren.

Unter linux verwende ich fail2ban. Das liest die log-files und bei N fehlgeschlagenen Loginversuchen innerhalb M Minuten wird eine Ip-Adresse für eine gewisse Zeit in der Firewall geblockt.
Dazu kommen noch Listen von bekannten Spammern, z.B. https://www.badips.com/ (jetzt nicht als Spammer, sondern als Listenquelle. Diese Listen lade ich alle 6 Stunden runter und blockiere die Spammer mittels der Firewall. Diese beiden Maßnahmen halten gefühlte 99% der Skript-Kiddy Loginversuche ab.

Fail2ban alternativen für Windows gibts (zumindest laut google) einige.

Mit freundlichen Grüßen

Cthluhu
Bitte warten ..
Mitglied: Failure
20.11.2014 um 17:53 Uhr
Hallo,
das selbe Spiel findet auch bei mir auf einem Windows Server 2008 R2 (nicht bei Strato) seit zwei Tagen statt.
Die einzigste verwertbare Info im Log ist genau wie oben Arbeitsstationsname test2.
Leider wird keine IP angezeigt, so daß es mir unmöglich erscheint, den Login Versuch per Firewall zu unterbinden.
Ich habe IPban am Start, was bisher alle RDP Login Versuche erfolgreich geblockt hat, aber in diesem Fall ist es wegen der fehlenden IP Adresse wirkungslos.
Netstat zeigt mir auch nichts brauchbares an.
Hat jemand einen Vorschlag, wie man die IP des Anmeldeversuches herausfinden könnte?
Danke für Antworten.
Bitte warten ..
Mitglied: Failure
LÖSUNG 20.11.2014, aktualisiert 21.11.2014
Hrmpf.
Mal wieder die Russen.
62.109.28.0 - 62.109.31.255 in die Firewall und Ruhe ist.
Bitte warten ..
Mitglied: LaMancha
21.11.2014 um 12:44 Uhr
Hallo,

die IP-Adressen wollte ich soeben blockieren, aber der letzte Angriff wurde um 11:14:05 registriert, also vor 1,5 Stunden. Damit hat dann wohl das Theater 2 Tage gedauert. Mal schauen, ob Nachwirkungen festzustellen sein werden ...

Danke für alle Tipps.

Mit freundlichen Grüßen - LaMancha
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 10
Nonstop Login im Sperrbildschirm (4)

Frage von TiCar zum Thema Windows 10 ...

Windows 7
gelöst Windows Administrator-Konto wieder aktivieren (13)

Frage von Fenris14 zum Thema Windows 7 ...

Windows Userverwaltung
gelöst Lokalen Administrator über das Netzwerk verteilen (7)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...