Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Diverse Einwahlversuche auf Windows 2003 Server

Frage Sicherheit Erkennung und -Abwehr

Mitglied: DSchwarzer

DSchwarzer (Level 1) - Jetzt verbinden

29.04.2008, aktualisiert 11:31 Uhr, 3383 Aufrufe, 5 Kommentare

Schönen guten Tag zusammen,
ich administriere einen Windows 2003 Server per Remote Zugriff, der bei 1 & 1 steht.

Seit kurzen tauchen in den Protokollen desöfteren Warungen über fehlgeschlagene Anmeldeversuche auf,
die zum teil sicherlich von einem Tool stammen das eine Brute-Force oder Direktory-Atack durchführt
(wegen der Geschwindigkeit mit der diese Einwahlversuche laufen). Ab und an kommt auch mal nur ein
einzelner Versuch.

Die Benutzer mit denen versucht wird sich einzuloggen sind die üblichen Verdächtigen :
Web, New User, Admin, root, Update ........

In Regelmäßigen Abständen lasse ich natürlich die Antivieren und Firewallsoftware sowie Tools zum finden von
Spyware aktualiesieren und ausführlich suchen, bisher keine Ergebnisse.

Und auch in den Protokollen sehe ich keinerlei erfolgreiche Anmeldungen, die nicht erwünscht sind.

Meine Frage ist jetzt allerdings, was ich noch tun kann / sollte. Der Provider selbst sagt das sei unser Problem
da können Sie garnichts tun. Soll ich die Angriffe einfach weiterlaufen lassen und regelmäßig die Login Passwörter
ändern oder gibts einen guten Rat den ich beherzigen kann ?



Danke fürs lesen


Mit freundilchem Gruß
DSchwarzer
Mitglied: SarekHL
29.04.2008 um 08:16 Uhr
Gibt es da irgendwelche Logfile, aus denen Du entnehmen kannst, von welcher IP-Adresse die Angriffe kommen? Wenn ja kannst Du ja mal Anzeige erstatten und der Staatsanwaltschaft die Logs übergeben. Sollte der Angreifer aus Deutschland kommen und sich nicht über offene Proxies getarnt haben, sollte man ihn recht schnell ausfindig machen können, da die Provider ja verpflichtet sind die vergebenen dynamischen IP-Adressen zu protokollieren.

Davon abgesehen solltest Du natürlich ein möglichst langes und komplexes Paßwort verwenden, das den Chance eines erfolgreichen Angriffs minimiert ;)
Bitte warten ..
Mitglied: Burschi
29.04.2008 um 08:54 Uhr
Hallo,

das Problem hat wohl jeder der einen gemieteten Server betreibt. Ich habe das (bei mir SSH) so gelöst, indem ich mit eine statische IP gebucht habe.

Dementsprechend konnte ich dann via Firewall den Zugriff auf TCP Port 22 auf meine IP beschränken, seither ist im Syslog Ruhe - da ja keiner mehr überhaupt dahin kommt.

Flatrates mit statischer IP gibts mittlerweile immer öfter. Falls Du wissen willst, welcher Provider das ist, schreib mich an, ich glaub die Verlinkung hier wäre sonst Schleichwerbung.
Bitte warten ..
Mitglied: DSchwarzer
29.04.2008 um 09:11 Uhr
Danke schonmal für die schnellen Antworten,
bin gerade dabei mich ein bisschen mehr in die Protokolle
und deren analyse einzuarbeiten.....

Das beschränken besonderer Ports auf eine spezielle IP ist ne Überlegung wert,
vielen Dank für diesen Rat, werd mich da auch direkt mit beschäftigen
Bitte warten ..
Mitglied: mischn1980
29.04.2008 um 11:04 Uhr
Hallo,

wir haben das gleiche Problem mit unserem Root-Server.

Der längste Angriff hatte bei uns über 2 Minuten gedauert.

Der letzte Angriff war am 26.04.

Bin mal gespannt wann es wieder losgeht.

Vielleicht hat der eine oder andere noch weitere Ideen was gemacht werden kann.

Gruss

Michael
Bitte warten ..
Mitglied: Burschi
29.04.2008 um 11:31 Uhr
Was soll man noch groß anderes machen....

Entweder Du beschränkst den Zugriff oder sperrst den Port komplett. Ansonsten wird der Server immer aus dem Internet erreichbar sein.

Alternativ ggf. VPN? Kommt halt drauf an, um was es sich handelt, betreibst Du einen Mailserver kannst Du halt schlecht Port 25 blocken...
Bitte warten ..
Ähnliche Inhalte
Server-Hardware
gelöst Hardware Empfehlung - Server für diverse VMs (12)

Frage von niklasschaefer zum Thema Server-Hardware ...

Windows Server
gelöst Migration Windows SBS 2003 nach Windows Server 2016 (7)

Frage von MiMueller zum Thema Windows Server ...

Microsoft Office
Diverse Outlook 2016 fragen (8)

Frage von Ghost108 zum Thema Microsoft Office ...

Windows Server
gelöst Windows Server 2003 DNS Server - Ping auf Subdomain nicht möglich in windows 7 (15)

Frage von aif-get zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(15)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Router & Routing
Freigabe aus anderem Netz nicht erreichbar (21)

Frage von McLion zum Thema Router & Routing ...

Windows Server
Kennwort vergessen bei Hyper vserver 2012r (20)

Frage von jensgebken zum Thema Windows Server ...

Batch & Shell
Batch Programm verhalten bei shoutdown -p (19)

Frage von Michael-ITler zum Thema Batch & Shell ...

Festplatten, SSD, Raid
Raidcontroller funktioniert nur, wenn unter Legacy-Boot gestartet wird (13)

Frage von DerWoWusste zum Thema Festplatten, SSD, Raid ...