Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Diverse Einwahlversuche auf Windows 2003 Server

Frage Sicherheit Erkennung und -Abwehr

Mitglied: DSchwarzer

DSchwarzer (Level 1) - Jetzt verbinden

29.04.2008, aktualisiert 11:31 Uhr, 3369 Aufrufe, 5 Kommentare

Schönen guten Tag zusammen,
ich administriere einen Windows 2003 Server per Remote Zugriff, der bei 1 & 1 steht.

Seit kurzen tauchen in den Protokollen desöfteren Warungen über fehlgeschlagene Anmeldeversuche auf,
die zum teil sicherlich von einem Tool stammen das eine Brute-Force oder Direktory-Atack durchführt
(wegen der Geschwindigkeit mit der diese Einwahlversuche laufen). Ab und an kommt auch mal nur ein
einzelner Versuch.

Die Benutzer mit denen versucht wird sich einzuloggen sind die üblichen Verdächtigen :
Web, New User, Admin, root, Update ........

In Regelmäßigen Abständen lasse ich natürlich die Antivieren und Firewallsoftware sowie Tools zum finden von
Spyware aktualiesieren und ausführlich suchen, bisher keine Ergebnisse.

Und auch in den Protokollen sehe ich keinerlei erfolgreiche Anmeldungen, die nicht erwünscht sind.

Meine Frage ist jetzt allerdings, was ich noch tun kann / sollte. Der Provider selbst sagt das sei unser Problem
da können Sie garnichts tun. Soll ich die Angriffe einfach weiterlaufen lassen und regelmäßig die Login Passwörter
ändern oder gibts einen guten Rat den ich beherzigen kann ?



Danke fürs lesen


Mit freundilchem Gruß
DSchwarzer
Mitglied: SarekHL
29.04.2008 um 08:16 Uhr
Gibt es da irgendwelche Logfile, aus denen Du entnehmen kannst, von welcher IP-Adresse die Angriffe kommen? Wenn ja kannst Du ja mal Anzeige erstatten und der Staatsanwaltschaft die Logs übergeben. Sollte der Angreifer aus Deutschland kommen und sich nicht über offene Proxies getarnt haben, sollte man ihn recht schnell ausfindig machen können, da die Provider ja verpflichtet sind die vergebenen dynamischen IP-Adressen zu protokollieren.

Davon abgesehen solltest Du natürlich ein möglichst langes und komplexes Paßwort verwenden, das den Chance eines erfolgreichen Angriffs minimiert ;)
Bitte warten ..
Mitglied: Burschi
29.04.2008 um 08:54 Uhr
Hallo,

das Problem hat wohl jeder der einen gemieteten Server betreibt. Ich habe das (bei mir SSH) so gelöst, indem ich mit eine statische IP gebucht habe.

Dementsprechend konnte ich dann via Firewall den Zugriff auf TCP Port 22 auf meine IP beschränken, seither ist im Syslog Ruhe - da ja keiner mehr überhaupt dahin kommt.

Flatrates mit statischer IP gibts mittlerweile immer öfter. Falls Du wissen willst, welcher Provider das ist, schreib mich an, ich glaub die Verlinkung hier wäre sonst Schleichwerbung.
Bitte warten ..
Mitglied: DSchwarzer
29.04.2008 um 09:11 Uhr
Danke schonmal für die schnellen Antworten,
bin gerade dabei mich ein bisschen mehr in die Protokolle
und deren analyse einzuarbeiten.....

Das beschränken besonderer Ports auf eine spezielle IP ist ne Überlegung wert,
vielen Dank für diesen Rat, werd mich da auch direkt mit beschäftigen
Bitte warten ..
Mitglied: mischn1980
29.04.2008 um 11:04 Uhr
Hallo,

wir haben das gleiche Problem mit unserem Root-Server.

Der längste Angriff hatte bei uns über 2 Minuten gedauert.

Der letzte Angriff war am 26.04.

Bin mal gespannt wann es wieder losgeht.

Vielleicht hat der eine oder andere noch weitere Ideen was gemacht werden kann.

Gruss

Michael
Bitte warten ..
Mitglied: Burschi
29.04.2008 um 11:31 Uhr
Was soll man noch groß anderes machen....

Entweder Du beschränkst den Zugriff oder sperrst den Port komplett. Ansonsten wird der Server immer aus dem Internet erreichbar sein.

Alternativ ggf. VPN? Kommt halt drauf an, um was es sich handelt, betreibst Du einen Mailserver kannst Du halt schlecht Port 25 blocken...
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Exchange Server
gelöst Exchange 2003 von Windows 2003 Server lösen bzw. entfernen (3)

Frage von plexxus zum Thema Exchange Server ...

Windows Server
gelöst Lokale Windows Firewall Server 2012R2 für virtuelle Maschine? (4)

Frage von 1410640014 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...