15
Wie viel Bruteforce auf einem öffentlichem Server ist "normal"?
Hallo!
Ich möchte gerne mal auf Eure Erfahrungen und Einschätzungen zurückgreifen.
Wir betreiben, unter Anderem, einen Windows Server, der über seine Windows Authentifizierung über das Internet erreichbar ist.
Es ist nur ein Konto freigegeben und dieses Konto ist mit einem entsprechend sicheren Passwort ausgestattet. Ich halte es für unmöglich dieses Passwort zu erraten.
Wir haben auf diesem Server trotzdem relativ viele versuche, bei denen man sehen kann, dass versucht wird das Kennwort automatisiert zu erraten. Es wird praktisch den ganzen Tag versucht sich darauf einzuloggen.
Als Benutzername werden alle möglichen Benutzernamen getestet, die oft genutzt werden (Admin, Administrator, User, ...). Es wird also schlichtweg alles durchprobiert.
Mir ist klar, dass man den Server durch technische Maßnamen schützen könnte usw. Ich frage mich lediglich, ob diese Angriffe normal sind. Habt Ihr da auch schon Erfahrungen mit gemacht?
lg
sam
Ich möchte gerne mal auf Eure Erfahrungen und Einschätzungen zurückgreifen.
Wir betreiben, unter Anderem, einen Windows Server, der über seine Windows Authentifizierung über das Internet erreichbar ist.
Es ist nur ein Konto freigegeben und dieses Konto ist mit einem entsprechend sicheren Passwort ausgestattet. Ich halte es für unmöglich dieses Passwort zu erraten.
Wir haben auf diesem Server trotzdem relativ viele versuche, bei denen man sehen kann, dass versucht wird das Kennwort automatisiert zu erraten. Es wird praktisch den ganzen Tag versucht sich darauf einzuloggen.
Als Benutzername werden alle möglichen Benutzernamen getestet, die oft genutzt werden (Admin, Administrator, User, ...). Es wird also schlichtweg alles durchprobiert.
Mir ist klar, dass man den Server durch technische Maßnamen schützen könnte usw. Ich frage mich lediglich, ob diese Angriffe normal sind. Habt Ihr da auch schon Erfahrungen mit gemacht?
lg
sam
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 305759
Url: https://administrator.de/contentid/305759
Printed on: April 26, 2024 at 20:04 o'clock
15 Comments
Latest comment
Moin,
da ihr einen Windows-Server ungeschützt im Internet stehen habt, wundert es mich, das ihr den noch benutzen könnt. Ich habe mal zu Testzwecken (Feldstudie) einen Windows-Rechner ins Internet gehängt. Nach einigen Tagen wurde auf das Teil dermaßen eingetrommelt, das ich mich kaum noch anmelden konnte.
Gruß Krämer
da ihr einen Windows-Server ungeschützt im Internet stehen habt, wundert es mich, das ihr den noch benutzen könnt. Ich habe mal zu Testzwecken (Feldstudie) einen Windows-Rechner ins Internet gehängt. Nach einigen Tagen wurde auf das Teil dermaßen eingetrommelt, das ich mich kaum noch anmelden konnte.
Gruß Krämer
Moin,
verstehe den Hintergrund der Frage nicht...
Was heißt denn "normal"? Absolut logisch, dass sich alle Skriptkiddies dieser Welt auf der Suche nach möglichen Zielen befinden. Da ist nix gezieltes dabei (oder meist eher selten), es wird halt geschaut, "was geht".
Wo ist jetzt Dein Problem? Wenn dich diese Versuche nerven, musst Du es halt per Firewall bestmöglich unterbinden (Zugriff nur von bestimmten IPs, IP-Adressräume sperren...)
Gruß
verstehe den Hintergrund der Frage nicht...
Ich frage mich lediglich, ob diese Angriffe normal sind.
Wo ist jetzt Dein Problem? Wenn dich diese Versuche nerven, musst Du es halt per Firewall bestmöglich unterbinden (Zugriff nur von bestimmten IPs, IP-Adressräume sperren...)
Gruß
Inwiefern erreichbar?
- IIS
- RemoteDesktop
Moin,
LG, Thomas
Mir ist klar, dass man den Server durch technische Maßnamen schützen könnte usw.
dann schütze ihn! Es kann doch nicht jeden Tag Freitag sein ...LG, Thomas
Zitat von @Sam751:
Mir ist klar, dass man den Server durch technische Maßnamen schützen könnte usw. Ich frage mich lediglich, ob diese Angriffe normal sind.
Mir ist klar, dass man den Server durch technische Maßnamen schützen könnte usw. Ich frage mich lediglich, ob diese Angriffe normal sind.
ja.
Habt Ihr da auch schon Erfahrungen mit gemacht?
Eher weniger, weil ich Windows-Serevr nie mit dem nackten Arsch in Internet stelle, sondern immer nur über VPN erreichbar mache.
lks
Ich frage mich lediglich, ob diese Angriffe normal sind.
Völlig normal bei einem öffentlichen Server.Sieht man sich hier das fail2ban Log mal an kommen sekündlich Login Scans und Port Scans. Über 60% aus asiatischen Regionen....
Der ganz normale tägliche Internet Wahnsinn also....
da relativ recht relativ ist. Hier gab's vor kurzem einen Erfahrungsbericht von LordGurke zu einem ähnlichen Thema:
Ping oder nicht Ping?
Ping oder nicht Ping?
Huhu,
Ich hatte mal Tage, da kam ich bei einem "vermeintlich offenen" SSH-Port auf locker 500 Anmeldeversuche pro Minute.
Irgendwann ist mir das auf die Nüsse gegangen. Ich habe eine "geheime" E-Mail-Adresse gegründet, die der Server gepullt hat. Wenn im Betreff "SSH öffnen" stand, hat er den Daemon geöffnet und eine E-Mail mit seiner dynamischen, öffentlichen IP verschickt.
Das "schließen" habe ich dann erledigt, indem ich in der SSH-Sitzung den Daemon beendet habe.
Irgendwann hat sich das aber im Sande verlaufen. War eher so 'ne Art Spielerei...
Gruß,
Jörg
Wir haben auf diesem Server trotzdem relativ viele versuche, bei denen man sehen kann, dass versucht wird das Kennwort automatisiert zu erraten.
Ich hatte mal Tage, da kam ich bei einem "vermeintlich offenen" SSH-Port auf locker 500 Anmeldeversuche pro Minute.
Irgendwann ist mir das auf die Nüsse gegangen. Ich habe eine "geheime" E-Mail-Adresse gegründet, die der Server gepullt hat. Wenn im Betreff "SSH öffnen" stand, hat er den Daemon geöffnet und eine E-Mail mit seiner dynamischen, öffentlichen IP verschickt.
Das "schließen" habe ich dann erledigt, indem ich in der SSH-Sitzung den Daemon beendet habe.
Irgendwann hat sich das aber im Sande verlaufen. War eher so 'ne Art Spielerei...
Gruß,
Jörg
https://www.blocklist.de/de/index.html
währe ggfs auch was für dich dann...
Angriffe/Scans ist halt das "normale" Rauschen im Netz.
Nur wer einen Win System ungeschützt ins Netz stellt braucht sich nicht Wundern wenn dies Mitbewohner bekommt....
Wenn bestimmte Länder ausgegrenzt werden hast du schonmal einiges weniger an Versuchen wenn du nicht unbedingt dort auch was Anbieten möchtest.
währe ggfs auch was für dich dann...
Angriffe/Scans ist halt das "normale" Rauschen im Netz.
Nur wer einen Win System ungeschützt ins Netz stellt braucht sich nicht Wundern wenn dies Mitbewohner bekommt....
Wenn bestimmte Länder ausgegrenzt werden hast du schonmal einiges weniger an Versuchen wenn du nicht unbedingt dort auch was Anbieten möchtest.
Moin,
@fa-jka Extra eine E-Mail? Das geht doch leichter, mit Portknocking ;)
https://wiki.archlinux.org/index.php/Port_Knocking
https://help.ubuntu.com/community/PortKnocking
Aber ganz davon abgesehen:
Allgemein kann man schonmal einiges Aussperren.
Ich nutze für meine Server z.B. ein ipset script um die meisten Angriffe schonmal gegen die Wand fahren zu lassen. Dazu kommen Fail2ban und natürlich sollte man sowohl einen rootlogin verbieten sowie nur zertifikatsbasierte Logins per SSH zulassen. Mit dieser konstellation komme ich auf 1 SSH Angriff pro Woche, statt X pro Stunde.
Edit: Man sollte aber hier auch erwähnen, dass das umlegen des SSH Ports problematisch ist. Siehe:
https://www.adayinthelifeof.nl/2012/03/12/why-putting-ssh-on-another-por ...
Aber da das alles eigentlich offtopic ist:
Windows Server blank im Netz... Mhm was soll man dazu noch sagen? Man kann sich auch bei 40°C im Schatten ohne Sonnencreme in die Sonne legen. Das Ergebnis ist das gleiche über kurz oder lang tut man sich damit nur weh. Die Kiste einfach zu virtualisieren oder ganz durch was anderes zu ersetzen ist keine Option?
Gruß
Chris
@fa-jka Extra eine E-Mail? Das geht doch leichter, mit Portknocking ;)
https://wiki.archlinux.org/index.php/Port_Knocking
https://help.ubuntu.com/community/PortKnocking
Aber ganz davon abgesehen:
Allgemein kann man schonmal einiges Aussperren.
Ich nutze für meine Server z.B. ein ipset script um die meisten Angriffe schonmal gegen die Wand fahren zu lassen. Dazu kommen Fail2ban und natürlich sollte man sowohl einen rootlogin verbieten sowie nur zertifikatsbasierte Logins per SSH zulassen. Mit dieser konstellation komme ich auf 1 SSH Angriff pro Woche, statt X pro Stunde.
Edit: Man sollte aber hier auch erwähnen, dass das umlegen des SSH Ports problematisch ist. Siehe:
https://www.adayinthelifeof.nl/2012/03/12/why-putting-ssh-on-another-por ...
Aber da das alles eigentlich offtopic ist:
Windows Server blank im Netz... Mhm was soll man dazu noch sagen? Man kann sich auch bei 40°C im Schatten ohne Sonnencreme in die Sonne legen. Das Ergebnis ist das gleiche über kurz oder lang tut man sich damit nur weh. Die Kiste einfach zu virtualisieren oder ganz durch was anderes zu ersetzen ist keine Option?
Gruß
Chris
Windows Server blank im Netz... Mhm was soll man dazu noch sagen?
Eigentlich nichts mehr...das machen heutzutage nur noch Klicki Bunti Total DAUs. Dein treffender Vergleich oben sagt ja schon alles zu dem Thema 
Naja es wird einem ja leicht gemacht so ein Server zu Besorgen, Aufzusetzten durch die GUI.
Jedoch das da noch einiges mehr gibt für die Sicherheit und was zu Hause hinter einen Router geht.. geht ja auch im RZ ist ja quasi das selbe ;)...
Aber war bei mir gestern wegen Mailserver Änderung was am machen und hatte das Logfile in Echtzeit mir anzeigen lassen ob auch alles nach der Änderung problemlos läuft.
Dort hatte erst ein Server mehrfach "Angeklopft" und hat dann ca 4 Min später etliche Verbindungen aufgebaut und Logins durchprobiert.
Die IP wurde geblockt automatisch aber kurz danach ist der mit der nächsten IP aus dem Bereich angekommen wo gleich mal der ganze Bereich gesperrt wurde...
Jedoch das da noch einiges mehr gibt für die Sicherheit und was zu Hause hinter einen Router geht.. geht ja auch im RZ ist ja quasi das selbe ;)...
Aber war bei mir gestern wegen Mailserver Änderung was am machen und hatte das Logfile in Echtzeit mir anzeigen lassen ob auch alles nach der Änderung problemlos läuft.
Dort hatte erst ein Server mehrfach "Angeklopft" und hat dann ca 4 Min später etliche Verbindungen aufgebaut und Logins durchprobiert.
Die IP wurde geblockt automatisch aber kurz danach ist der mit der nächsten IP aus dem Bereich angekommen wo gleich mal der ganze Bereich gesperrt wurde...
Hallo,
fairerweise sollte man allerdings sagen, dass einem vernünftig installierten, gepatchten und konfigurierten Windows-Server (z.B. Exchange, IIS usw.) eher zu trauen ist als einer Linux-Maschine, die irgendwann mal vor 5 Jahren zusammengefrickelt und nie mehr angefasst - geschweige denn gesichert - wurde.
Everything is relative.
Gruß,
Jörg
fairerweise sollte man allerdings sagen, dass einem vernünftig installierten, gepatchten und konfigurierten Windows-Server (z.B. Exchange, IIS usw.) eher zu trauen ist als einer Linux-Maschine, die irgendwann mal vor 5 Jahren zusammengefrickelt und nie mehr angefasst - geschweige denn gesichert - wurde.
Everything is relative.
Gruß,
Jörg
Zitat von @117471:
fairerweise sollte man allerdings sagen, dass einem vernünftig installierten, gepatchten und konfigurierten Windows-Server (z.B. Exchange, IIS usw.) eher zu trauen ist als einer Linux-Maschine, die irgendwann mal vor 5 Jahren zusammengefrickelt und nie mehr angefasst - geschweige denn gesichert - wurde.
fairerweise sollte man allerdings sagen, dass einem vernünftig installierten, gepatchten und konfigurierten Windows-Server (z.B. Exchange, IIS usw.) eher zu trauen ist als einer Linux-Maschine, die irgendwann mal vor 5 Jahren zusammengefrickelt und nie mehr angefasst - geschweige denn gesichert - wurde.
Man sollte nicht Äpfel mit Birnen vergleichen. Und außerdem sehe öfter schlecht gewartete Windows-Server als Linux-Kisten, um das zu relativieren. Der Grund ist meist der, daß die Linux-Kisten die Leute eher zwingen sich damit zu beschäftigen aber die Windows-Kiste "läuft ja"
Aber wie immer gilt: Solange der Admin sich nicht dahinterklemmt ist es gehopft wie gemälzt welches OS man nimmt.
lks
Nun des meiste wo die halt durchkommen sind Lücken/Fehler beim Programmieren der Software.
Dies hat auch unterschiedliche Gründe wie solche Lücken entstehen.
Aber da Windows nun mal sehr verbreitet ist wegen der einfachen GUI hat es sich auch mehr durchgesetzt und zieht daher die Bad Boys an da die Chancen für die dort groß sind ein Loch zu finden.
Und da bringt es dir nichts wenn du etliche Sicherheitssysteme hast und die einfach ganz normal per Paket zu dir kommen und alle Kontrollen passieren und am Ende dann ein Byte anders angeben und damit Zugriff erlangen....
Wobei ich aber mehr die Erfahrung gemacht habe das Win Systeme anfälliger sind als Linux Systeme.
Aber jeder hat halt andere Erfahrung gemacht und jedes System ist auch anders Konfiguriert sowie hat andere Dienste am laufen wodurch halt durch die Unterschiedlichen Sachen kein genauer Vergleich möglich ist.
Es ist aber halt ein Katz und Maus Spiel mit der Absicherung und wenn du 100% Sicherheit haben möchtes darf des Gerät nicht mit dem Internet kommunizieren...
Dies hat auch unterschiedliche Gründe wie solche Lücken entstehen.
Aber da Windows nun mal sehr verbreitet ist wegen der einfachen GUI hat es sich auch mehr durchgesetzt und zieht daher die Bad Boys an da die Chancen für die dort groß sind ein Loch zu finden.
Und da bringt es dir nichts wenn du etliche Sicherheitssysteme hast und die einfach ganz normal per Paket zu dir kommen und alle Kontrollen passieren und am Ende dann ein Byte anders angeben und damit Zugriff erlangen....
Wobei ich aber mehr die Erfahrung gemacht habe das Win Systeme anfälliger sind als Linux Systeme.
Aber jeder hat halt andere Erfahrung gemacht und jedes System ist auch anders Konfiguriert sowie hat andere Dienste am laufen wodurch halt durch die Unterschiedlichen Sachen kein genauer Vergleich möglich ist.
Es ist aber halt ein Katz und Maus Spiel mit der Absicherung und wenn du 100% Sicherheit haben möchtes darf des Gerät nicht mit dem Internet kommunizieren...