Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriff auf meinen Web Server

Frage Internet

Mitglied: Boosta

Boosta (Level 1) - Jetzt verbinden

09.01.2007, aktualisiert 28.07.2007, 3994 Aufrufe, 3 Kommentare

Guten Tag.
Nachdem ich nun selbst einige Recherchen angestellt habe jedoch nur unbefriedigende Ergebnisse erzielen konnte, wende ich mich nun vertrauensvoll an euch.
Ich erkläre nun erst die Umstände.
Ich habe bei mir zu hause einen Kabel DSL Zugang den ich mit einem Router auf mein Kleines Netzwerk Verteile. Des weiteren habe ich einen XP Rechner der den Ganzen Tag läuft mit einem Webserver Marke IIS und einem G6 FTP versehen.
Auf dem besagten Rechner Läuft meine Webseite, über das im Router eingerichtete DYN DNS und die Portweiterleitung erhält der jenige der möchte zugriff auf meine Seite und mit den entsprechenden Zugangsdaten auch auf meinen FTP.
Natürlich Logge ich alle zugriffe mit, weil ich gerne sehe wer was wo wann anschaut oder hoch/runterläd.
Vor einiger Zeit wurde mein FTP mit einer "Brute Force Attacke" (könnt mich vertippt haben) angegriffen. Jedoch endete es nach dem Kick/ Bann der IP.
Jedoch als ich vor einigen Tagen meine http Loggs durchging wurde auf folgende einträge aufmerksam:

15:56:59 91.64.143.15 GET /lib/activeutil.php 404
16:00:42 91.64.176.89 GET /index.html 200
16:00:42 91.64.176.89 GET /index.html 200
16:03:17 91.64.176.89 GET /index.html 200
16:07:50 91.64.140.147 GET /lib/activeutil.php 404
16:14:12 91.64.164.150 GET /lib/activeutil.php 404
16:19:37 91.64.176.89 GET /index.html 200
16:19:37 91.64.176.89 GET /index.html 200
16:30:24 91.64.202.170 GET /level/16/exec/-/pwd 404
16:34:41 91.64.214.27 GET /level/16/exec/-/pwd 404
16:37:35 91.64.197.117 GET /level/16/exec/-/pwd 404
16:47:59 91.64.21.131 GET /lib/activeutil.php 404
16:49:34 91.64.43.5 GET /lib/activeutil.php 404
17:08:50 91.64.164.150 GET /lib/activeutil.php 404
17:15:41 91.64.214.50 GET /level/16/exec/-/pwd 404
17:23:46 91.64.143.15 GET /lib/activeutil.php 404
17:32:37 91.64.214.50 GET /level/16/exec/-/pwd 404

Und das hat mich sofort stutzig gemacht. Die Seite /index.html ist natürlich auf meinem Server vorhanden, die Seiten /level/16/exec/-/pwd oder /lib/activeutil.php jedoch nicht.
Zuerst dachte ich das jemand einfach nur versucht Dateien aufzurufen. Willkürlich, in der Hoffnung das er auf irgendeine zugriff erlangt. Jedoch passieren diese Zugriffe zwei bis drei mal pro Tag.
Aus einem Amerikanischen Forum konnte ich entnehmen das es sich wohl hier um einen Scan handelt, der speziell auf Cisco Hardware ausgerichtet ist.
Kann das sein?
Ich verwende keine Cisco Komponenten, also was soll das dann?!
In dem besagten Amerikanischen Forum stand das man die angreifende IP blocken soll.
Geht das direkt über IIS? Oder ist hier zusätzliche Hard/Software erforderlich?
Augenscheinlich handelt es sich ja um jemanden der seine IP ständig im bereich von 91.64.xxx.xxx ändert.
Kann ich einen ganzen IP Bereich Blocken? Was geschieht dann mit Usern im selben IP bereich die Gutmütig meine Seite besuchen wollen?
Wenn ich mir das so recht überlege würde mich mal interessieren was auf den anderen Ports los ist. Ist es irgendwie möglich alle zugriffe von außen zu loggen?
Wenn jemand noch andere Foren kennt wo solche Themen diskutiert werden wäre ich auch dankbar.
Ich bedanke und freue mich jetzt schon auf eure Antworten.
Mitglied: ratzla
09.01.2007 um 20:02 Uhr
Herzlich willkommen im Club ....

Das dürfte ein versuchter Scan mit einem Hackertool sein (nmap oder auch andere).
Von solchen Scans sind praktisch alle offenen Webserver betroffen. Die Tools versuchen alle möglichen Komponenten auf Deinem Server zu entdecken um dann Schwachstellen auszunutzen - falls welche da sind.

Daher rate ich auch öffentlich zugänglichen Servern zu maximaler Sicherheit. IIS ist mir persönlich zu undurchschaubar um das Ding sicher machen zu können. Beim Apache schlafe ich da ruhiger (aber auch der ist nicht perfekt).
Bitte warten ..
Mitglied: 16568
09.01.2007 um 22:01 Uhr
Hm, also erst mal wirst Du in meiner Antwort hier keine Hilfe erhalten, weil Du Deine Frage in die falsche Rubrik gesetzt hast. In Zukunft ein wenig besser aufpassen... :-p

Zweitens: der Hinweis auf nmap, sorry, aber das soll ja wohl ein Witz sein, oder?
Scan ist in diesem Falle schon der richtige Ausdruck; aber unterbinden...???

Drittens: IIS hin, Apache her, beide sind genauso gut/schlecht, es kommt immer nur auf die Konfiguration an. Aber da es hier ja heißt, "Mir persönlich" dulde ich das noch mal

Viertens: Ein Server ist kein Spielzeug für Hobby-Admins.
Sollte jetzt der Spruch kommen: Ich hab MC-irgendwas, interessiert mich nicht die Bohne.
Wenn man einen IIS administriert, weiß man, wie man andere Ports überwacht, wie man so Zugriffsversuche mitlogt, wie man gewisse Schutzmechanismen einbaut, etc...


Gruß

Lonesome Walker
Mod Webserver, Mod Hacker & Co.

PS: Die Dinger heißen Cisco...
edit:
Wenigstens hast Du jetzt von Sisco auf Cisco geändert...
Bitte warten ..
Mitglied: IngoFr
28.07.2007 um 01:28 Uhr
Hallo abgemeldetes Mitglied (die Wahrscheinlichkeit, dass du diesen Post liest, dürfte recht gering sein, fürchte ich=

Zitat: Wenn man einen IIS administriert, weiß man...

Also - wenn man alles schon weiß, wozu brauchen wir dann noch diesen Austausch untereinander?
Nicht sehr hilfreich...

Also, ich verzeichne regelmäßig Brute-Force-Angriffe auf meinen FTP-Server.
Mit Bordmitteln habe ich bisher nicht geschafft, diesem Problem Herr zu werden.

Und mich interessiert schon, ob es da Möglichkeiten gibt.

Viele Grüße
Ingo
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
Ministerium für digitale Infrastruktur pfuscht beim eigenen Web-Server (1)

Link von magicteddy zum Thema Verschlüsselung & Zertifikate ...

Hosting & Housing
Web Managed Server gesucht - Empfehlungen? (3)

Frage von KOSZGB zum Thema Hosting & Housing ...

Exchange Server
gelöst Das Zertifikat Exchange 2013 Web-Services auf Server a ist abgelaufen (4)

Frage von 122967 zum Thema Exchange Server ...

Sicherheits-Tools
gelöst F-Secure Server Security Web Console nicht erreichbar (2)

Frage von Judgelg zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...