Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DRAC Protokoll

Frage Sicherheit Erkennung und -Abwehr

Mitglied: schattenhacker

schattenhacker (Level 2) - Jetzt verbinden

12.04.2011 um 18:10 Uhr, 4904 Aufrufe, 6 Kommentare

Hallo allerseits,

das ist jetzt kein Aprilscherz.

Wir haben einen Server mit DRAC Karte. Da gibt es ja ein wunderschönes Protokoll, wo man so ein
"Hintergrundrauschen" der Hacker hat. Jeden Tag sind irgendwelche Leute dabei, den Server via der Karte zu hacken.
Ist bis jetzt noch nicht gelungen weil das Passwort kryptisch ist.

Trotzdem macht es mich ein wenig nervös. Ich habe also über die IP die hoster eine Weile lang angeschrieben, die haben spezielle abuse@hastnichgesehn.de aber es passiert nichts.

Ausser hosteurope, die haben sofort geantwortet, den Rechner identifiziert, den Kunden kontaktiert, den Rechner platt gemacht und alles neu installiert, der Kunde hat mir auch gemailt.
Aber ansonsten? Nada, nix. Haben die hoster wie strato, server4you kein Interesse an der Tatsache, dass Rechner in deren Rechenzentrum gehackt ist und alles in der Nachbarschaft
versucht als bot net zu benutzen?

Wie ist Eure geschätzte Meinung?


Gruß Jo
Mitglied: 99098
12.04.2011 um 18:49 Uhr
Hallo Jo,

also die DRAC (Dell Remote Access Card) ist in Servern der Firma Dell eingebaut und dient wie der Name schon sagt zur Remoteverwaltung des Servers.
Wenn dort also jemand über diese Karte an Eurem Server etwas (macht) konfiguriert und auch noch das Passwort dazu hat, was sicherlich nicht an der Toilettenwand zu finden ist,solltest Du Dir zwar Gedanken machen, aber Dir mal (oder anderen Leuten im Unternehmen) die Frage stellen wer das wohl sein könnte.

Was für ein Hintergrundrauschen?

Oder steht der Server etwa bei hosteurope und der dortige Techniker konfiguriert das was am Server rum?
Und für die Zukunft noch ein Tipp:
Was für ein Server (OS, Aufgabe,Örtlichkeit), steht wo (Firma, Hoster,...), wer bist Du (Admin, privilegierter Benutzer, root, Benutzer...)
denn dann könnte es sein das sich noch mehr Leute um deine Frage kümmern und der Artikel nicht nur 500 mal aufgerufen wird und Dir niemand schreibt;)

Schau Dir doch einmal diese Links an:
http://faq.hosteurope.de/index.php?cpid=11831
http://faq.hosteurope.de/view.php?mode=drucken&content_id=5562
http://www1.euro.dell.com/content/topics/topic.aspx/emea/topics/product ...

Mit freundlichen Grüßen schuhi69
Bitte warten ..
Mitglied: derklient
12.04.2011 um 18:50 Uhr
Hallo

Mit den Botnetzen muss man Heutzutage leider leben.

Einige Hoster interessiert es, anderen Halt nicht, zumal wenn der Hoster dem kunden ein Traffic z.b. von 50GB Zur verfügung stellt und durch den Bot 300GB Traffic entstehen kann der Hoster Damit sogar noch Umsatz machen auf lasten des Kunden und dessen nachlässigkeit.

Aber wegen der iDrac Karte, änder einfach die Ports von http und https und falls du kein ssh brauchst deaktivieren oder falls es benötigt wird auch auf einen anderen Port legen.

Damit würdest dir da schonmal Ruhe schaffen, und den benutzer root auf jeden fall Deaktivieren und einen anderen Nutzer erstellen mit Adminrechten.

Wenn der zugang zur Karte geknackt wird kann der Böse bub den Server einfach mit einem eigenden OS neu aufsetzen.....


Mit freundlichen Grüßen
derklient
Bitte warten ..
Mitglied: schattenhacker
12.04.2011 um 20:04 Uhr
Hallo,

also unsere Server stehen bei hosteurope, und ich finde es normal, dass wenn jemand sagt: Achtung, der Rechner im Regal gegenüber ist gehackt und verursacht traffic und sonstige Schäden, dass dann jemand aktiv wird..
Ich habe jetzt keine Angst, habe aber vor Jahren mit anderen Systemen 3 hacks gehabt, mit Anzeigen bei der Polizei und dem vollen Programm, IP auf blacklists usw.
( Also wenn man viel Zeit hat, die Diskussion mit Polizeibehörden diesbezgl. hat schon bizarre Züge)
Entweder wird jeden Tag 1 % der Rechner gehackt und die hoster haben keine Zeit, oder Sie machen es so, wie derklient meint, dass die dann halt mehr traffic in Rechnung stellen. Oder man ignoriert das.
Der jetzige Rechner ist neu, mit den DRAC Karten mache ich das schon lange und immer waren täglich login Versuche.
2 Arten: den Benutzer root mit verschiedenen Passwörtern testen oder verschiedene Benutzer ( also jim, tom,mary, dann englische Liste, Juan, Miranda als Benutzer, südamerikanische Liste. IP´s von denen das probiert wird, sind weltweit verteilt. Hat auch was Lustiges irgendwie.
Evtl. sind die hoster bei den vielen Rechnern damit überfordert, Hinweisen nachzugehen. Andererseits beklagt man sich über Spam-Schäden in Milliardenhöhe.


gruss jo
Bitte warten ..
Mitglied: mrtux
12.04.2011 um 20:08 Uhr
Hi !

Also die meisten (professionellen) Server haben für die Remote-Verwaltung eine extra NIC und wenn da einer aus dem WWW drauf kommt, hast Du (oder der Hoster) vermutlich irgendwas bei der Netzwerkplanung falsch gemacht...

mrtux
Bitte warten ..
Mitglied: schattenhacker
12.04.2011 um 20:31 Uhr
Hallo,

ich kann da gar nichts falsch planen. Die DRAC Karte hat eine eigene IP und die bekommt man raus.
Also wenn ich von meiner IP eine Nummer hochzähle, bekomme ich auch ein login Fenster.
Da kann man dann rumprobieren. Mit einem langen Passwort wie oben erwähnt, ist es nicht möglich, das zu erraten oder man tippt ein paar hundert Jahre..

Die Planung macht ja der Hoster.

gruss jo
Bitte warten ..
Mitglied: Phalanx82
13.04.2011 um 10:48 Uhr
Hallo,

eigendlich wurde ja schon bereits das richtige gesagt:

root Benutzer deaktivieren und neuen Admin unter anderem Namen anlegen.


Du willst meine Meinung @ TO über diese Loginversuche? Ok...

Einfache Sache: Irgendwelche Script Kiddys scannen einfach mal ein paar IP
Ranges, schauen sich ggf. sogar an was da als Response bei rum kommt (offene Ports,
ggf. OS+Version, whatever).

Einigen fällt da bei deiner iDrac IP auf, das es sich um eine RemoteKVM handelt (in deinem
Fall von Dell) und bekommen auch gleich eine Loginmaske wenn sie die IP über den Browser
anwählen. Natürlich versuchen die Kinners nun gleich mit ihren Wörterbuchlisten dort rein zu
kommen, gibt ja genug Dau Admins die solche Zugänge mit diesen verwundbaren User/PW
Kombis betreiben.
Tja und wenns klappt, freut sich das Script Kiddy über einen neuen und kostenlosen Root Zugang
zu einem Server im Netz mit schöner Download und Upload Bandbreite, wo er seine Warez oder
was auch immer drauf packen kann bzw. nen Esel oder so drauf installiert der ihm sein Zeugs
runter saugt, damit in den Logs nicht seine Private IP sondern die des Servers aufschlägt, wo er
sich die fertigen Daten einfach so abgreift und die Logs manipulieren kann...

Meine eigendliche Meinung dazu wäre folgende:

Solchen Script Kiddys oder wer auch immer dafür verantwortlich ist, gehören die Drecks Griffel
abgehackt, wie man das bei Dieben im Mittelalter gemacht hat. Klingt Brutal, macht aber nix, das
Leben ist schließlich kein Ponyhof :p

Beschwerdemails würde ich weiterhin an die Hoster / ISPs der vermeindlichen "Angreifer" schicken,
in einem Fall gabs ja wie du schreibst positive Resonanz und ein Rechner flog zumindest aus einem
Botnetz raus, also hats was positives auch wenn eventl. nur ein Bruchteil der Mails zu solch einem
Ergebnis führen, ist es eine Gute Sache.


Mit freundlichen Grüßen.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Netzwerkprotokolle
Wie sieht ein Datenpaket im http Protokoll aus? (7)

Frage von Yanmai zum Thema Netzwerkprotokolle ...

Netzwerkprotokolle
Herausfinden, welches Protokoll zur Namensauflösung verwendet wird (4)

Frage von manotada zum Thema Netzwerkprotokolle ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...