Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Angriff auf meinen Web Server

Frage Internet

Mitglied: Boosta

Boosta (Level 1) - Jetzt verbinden

09.01.2007, aktualisiert 28.07.2007, 4030 Aufrufe, 3 Kommentare

Guten Tag.
Nachdem ich nun selbst einige Recherchen angestellt habe jedoch nur unbefriedigende Ergebnisse erzielen konnte, wende ich mich nun vertrauensvoll an euch.
Ich erkläre nun erst die Umstände.
Ich habe bei mir zu hause einen Kabel DSL Zugang den ich mit einem Router auf mein Kleines Netzwerk Verteile. Des weiteren habe ich einen XP Rechner der den Ganzen Tag läuft mit einem Webserver Marke IIS und einem G6 FTP versehen.
Auf dem besagten Rechner Läuft meine Webseite, über das im Router eingerichtete DYN DNS und die Portweiterleitung erhält der jenige der möchte zugriff auf meine Seite und mit den entsprechenden Zugangsdaten auch auf meinen FTP.
Natürlich Logge ich alle zugriffe mit, weil ich gerne sehe wer was wo wann anschaut oder hoch/runterläd.
Vor einiger Zeit wurde mein FTP mit einer "Brute Force Attacke" (könnt mich vertippt haben) angegriffen. Jedoch endete es nach dem Kick/ Bann der IP.
Jedoch als ich vor einigen Tagen meine http Loggs durchging wurde auf folgende einträge aufmerksam:

15:56:59 91.64.143.15 GET /lib/activeutil.php 404
16:00:42 91.64.176.89 GET /index.html 200
16:00:42 91.64.176.89 GET /index.html 200
16:03:17 91.64.176.89 GET /index.html 200
16:07:50 91.64.140.147 GET /lib/activeutil.php 404
16:14:12 91.64.164.150 GET /lib/activeutil.php 404
16:19:37 91.64.176.89 GET /index.html 200
16:19:37 91.64.176.89 GET /index.html 200
16:30:24 91.64.202.170 GET /level/16/exec/-/pwd 404
16:34:41 91.64.214.27 GET /level/16/exec/-/pwd 404
16:37:35 91.64.197.117 GET /level/16/exec/-/pwd 404
16:47:59 91.64.21.131 GET /lib/activeutil.php 404
16:49:34 91.64.43.5 GET /lib/activeutil.php 404
17:08:50 91.64.164.150 GET /lib/activeutil.php 404
17:15:41 91.64.214.50 GET /level/16/exec/-/pwd 404
17:23:46 91.64.143.15 GET /lib/activeutil.php 404
17:32:37 91.64.214.50 GET /level/16/exec/-/pwd 404

Und das hat mich sofort stutzig gemacht. Die Seite /index.html ist natürlich auf meinem Server vorhanden, die Seiten /level/16/exec/-/pwd oder /lib/activeutil.php jedoch nicht.
Zuerst dachte ich das jemand einfach nur versucht Dateien aufzurufen. Willkürlich, in der Hoffnung das er auf irgendeine zugriff erlangt. Jedoch passieren diese Zugriffe zwei bis drei mal pro Tag.
Aus einem Amerikanischen Forum konnte ich entnehmen das es sich wohl hier um einen Scan handelt, der speziell auf Cisco Hardware ausgerichtet ist.
Kann das sein?
Ich verwende keine Cisco Komponenten, also was soll das dann?!
In dem besagten Amerikanischen Forum stand das man die angreifende IP blocken soll.
Geht das direkt über IIS? Oder ist hier zusätzliche Hard/Software erforderlich?
Augenscheinlich handelt es sich ja um jemanden der seine IP ständig im bereich von 91.64.xxx.xxx ändert.
Kann ich einen ganzen IP Bereich Blocken? Was geschieht dann mit Usern im selben IP bereich die Gutmütig meine Seite besuchen wollen?
Wenn ich mir das so recht überlege würde mich mal interessieren was auf den anderen Ports los ist. Ist es irgendwie möglich alle zugriffe von außen zu loggen?
Wenn jemand noch andere Foren kennt wo solche Themen diskutiert werden wäre ich auch dankbar.
Ich bedanke und freue mich jetzt schon auf eure Antworten.
Mitglied: ratzla
09.01.2007 um 20:02 Uhr
Herzlich willkommen im Club ....

Das dürfte ein versuchter Scan mit einem Hackertool sein (nmap oder auch andere).
Von solchen Scans sind praktisch alle offenen Webserver betroffen. Die Tools versuchen alle möglichen Komponenten auf Deinem Server zu entdecken um dann Schwachstellen auszunutzen - falls welche da sind.

Daher rate ich auch öffentlich zugänglichen Servern zu maximaler Sicherheit. IIS ist mir persönlich zu undurchschaubar um das Ding sicher machen zu können. Beim Apache schlafe ich da ruhiger (aber auch der ist nicht perfekt).
Bitte warten ..
Mitglied: 16568
09.01.2007 um 22:01 Uhr
Hm, also erst mal wirst Du in meiner Antwort hier keine Hilfe erhalten, weil Du Deine Frage in die falsche Rubrik gesetzt hast. In Zukunft ein wenig besser aufpassen... :-p

Zweitens: der Hinweis auf nmap, sorry, aber das soll ja wohl ein Witz sein, oder?
Scan ist in diesem Falle schon der richtige Ausdruck; aber unterbinden...???

Drittens: IIS hin, Apache her, beide sind genauso gut/schlecht, es kommt immer nur auf die Konfiguration an. Aber da es hier ja heißt, "Mir persönlich" dulde ich das noch mal

Viertens: Ein Server ist kein Spielzeug für Hobby-Admins.
Sollte jetzt der Spruch kommen: Ich hab MC-irgendwas, interessiert mich nicht die Bohne.
Wenn man einen IIS administriert, weiß man, wie man andere Ports überwacht, wie man so Zugriffsversuche mitlogt, wie man gewisse Schutzmechanismen einbaut, etc...


Gruß

Lonesome Walker
Mod Webserver, Mod Hacker & Co.

PS: Die Dinger heißen Cisco...
edit:
Wenigstens hast Du jetzt von Sisco auf Cisco geändert...
Bitte warten ..
Mitglied: IngoFr
28.07.2007 um 01:28 Uhr
Hallo abgemeldetes Mitglied (die Wahrscheinlichkeit, dass du diesen Post liest, dürfte recht gering sein, fürchte ich=

Zitat: Wenn man einen IIS administriert, weiß man...

Also - wenn man alles schon weiß, wozu brauchen wir dann noch diesen Austausch untereinander?
Nicht sehr hilfreich...

Also, ich verzeichne regelmäßig Brute-Force-Angriffe auf meinen FTP-Server.
Mit Bordmitteln habe ich bisher nicht geschafft, diesem Problem Herr zu werden.

Und mich interessiert schon, ob es da Möglichkeiten gibt.

Viele Grüße
Ingo
Bitte warten ..
Ähnliche Inhalte
Vmware
VM(WEB-Server) in die DMZ
gelöst Frage von danaDTVmware3 Kommentare

Hallo , ich muss einen Web-Server wegen Hardwareausfall dringend virtualisieren. Da es ein Web-Server ist- war er bis jetzt ...

Viren und Trojaner
Eventueller Malware Angriff auf nginx...
Frage von linuxverbrezlerViren und Trojaner4 Kommentare

Hab grad die Access Log von Nginx durchgeforstet hier taucht ab und an folgendes auf: 185.4.227.194 05/Mar/2014:08:19:21 +0100 "GET ...

Sicherheit
Angriff auf meinen internen Webserver?
gelöst Frage von tguhl99Sicherheit8 Kommentare

Hallo, ich habe ein Problem mit meinen Netz. Auf einem internen Server läuft mein Intranet mit xampp. Es gibt ...

Erkennung und -Abwehr
Ankündigung eines DDoS Angriffs
gelöst Frage von runasserviceErkennung und -Abwehr23 Kommentare

Hallo, kurze Anfrage in die Runde. Sind solche "Spam-Mails" ernst zu nehmen? Vielen Dank

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 17 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 22 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 22 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
gelöst Frage von prodriveNetzwerkmanagement12 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...