Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

HACKER Angriff- Angreifer nutzt Port für Remote Desktop

Frage Microsoft

Mitglied: Webbsta

Webbsta (Level 1) - Jetzt verbinden

19.08.2009, aktualisiert 18.10.2012, 11178 Aufrufe, 9 Kommentare

Ein Hacker versucht seit heute morgen Punkt 6 Uhr unsere Datenserver von außen zu hacken

Hallo!

Ein Hacker versucht seit heute morgen punkt 6 uhr, einen unserer Datenserver(Windows 2008) zu hacken, jedoch ist der betroffene Server nur passiv mit dem Internet verbunden. Er ist direkt mit dem lokalen Firewall-Server verbunden, an dem auch noch 4 weitere Xserver hängen, diese sind nicht betroffen. Auf jedem Windows server ist nur der Port für die Remote Desktop Verbindung geöffnet und nur per Verschlüsselungsdatei erreichbar. Wie kann dieser Hacker verdammt nochmal auch auf die RAID-Systeme zugreifen???

Vielen Dank im Vorraus!
Mitglied: stefanwey
19.08.2009 um 15:05 Uhr
Hallo Webbsta

Manche Raid systeme sind über eine IP erreichbar.
Ich kenne solche die man nur über das Webinterface konfigurieren kann.

Gruss

Stefan
Bitte warten ..
Mitglied: harald21
19.08.2009 um 15:07 Uhr
Hallo,

wenn der Hacker über eure Firewall kommt, so sollte das dort in den Logs verzeichnet sein. Ansonsten kommt der Hacker evtl. von intern?
Damit meine ich nicht unbedingt einen internen Nutzer, sondern einen Hintereingang zu eurem Netz (z. B. WLAN, ein Modem, etc.).

Welche Firewall nutzt ihr?

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: Webbsta
19.08.2009 um 15:30 Uhr
Hallo Harald

Wir nutzen das Cisco ASA 5000 Firewall System, die Ip kam auf jeden Fall durch den offenen Remote-Desktop Port von außerhalb.

Es muss also defenitiv eine Person außerhalb des LAN´s sein

Vielen Dank nochmal für die antworten!
Bitte warten ..
Mitglied: harald21
19.08.2009 um 15:33 Uhr
Hallo,

was steht den in den Firewall-Logs?
Wenn du die Verbindung des Hackers dort findest, so kannst du auch sagen, wie er in euer Netzwerk hereinkam.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: aqui
19.08.2009, aktualisiert 18.10.2012
Verantwortungsvolle Netzwerker benutzen auf der ASA mindestens eine Portverschleierung also öffnen eingehende Ports z.B. TCP 53389 auf intern TCP 3389 um nun nicht auch noch dem dümmsten Script Kiddie das Leben zu erleichtern.

Alternativ kann man über HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termianl Server\WinStations\RDP-Tcp ganz einfach den Standardport 3389 auf einen anderen wie z.B. den oberen ändern um wenigstens ein Mindestmass an Sicherheit reinzubekommen.

Noch verantwortungsvollere Netzwerker setzen 5 Zeilen IOS Code in die ASA um ganz einfach mit einem PPTP Client eine VPN Connection für die Fernwartung zzu machen, dann stellt sich dieses Problem erst gar nicht.
Wie man das macht kannst du hier nachlesen:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html (unter VPN Server)

Generell dauert das nur Sekunden bis Minuten wenn man ein löchriges System ins Internet hängt so wie du mit offenen Standard Ports bis sowas passiert, da weiss ja mittlerweile jeder Grundschüler !
Bitte warten ..
Mitglied: Phalanx82
19.08.2009 um 19:32 Uhr
Hi,

wenn du seine öffentliche IP hast und die nicht gerade über einen Proxy in hinter-Bagdad
oder bei anderen Sulokiffern steht, kannste die IP an deinen Anwalt weiter reichen und
Strafanzeige stellen. Selbst wenn er über einen Proxy oder Tor-Netzwerk etc. kommt,
leite es weiter, eventl. holen sich die Brüden in Grün dann die Teilnehmer IP von dem
Kiddy und es gibt ne Strafanzeige.

Mit freundlichen Grüßen.
Bitte warten ..
Mitglied: filippg
19.08.2009 um 20:54 Uhr
Ein Hacker versucht seit heute morgen punkt 6 uhr, einen unserer
Datenserver(Windows 2008) zu hacken,
Was macht er denn, was du als "versuchen zu hacken" interpretierst? Und wie weit ist er denn gekommen?

jedoch ist der betroffene Server
nur passiv mit dem Internet verbunden.
Was heißt das denn?

Auf jedem Windows server ist
nur der Port für die Remote Desktop Verbindung geöffnet
Dann sind das aber sehr langweilige Server. Ich bin mir ja fast sicher, dass ein "Datenserver" noch Ports für SMB/CIFS/NFS/... offenhält...

nur per Verschlüsselungsdatei erreichbar.
Die Ports meiner Server sind immer per Netzwerk erreichbar.

Wie kann dieser Hacker
verdammt nochmal auch auf die RAID-Systeme zugreifen???
Was soll das nun wieder bedeuten? Außerdem dachte ich, noch wäre es beim "Versuch" geblieben.

Aber zum "wie kann das sein": entweder, du bildest dir das nur ein (mit ständigen Portknocks im Internet muss man legen), oder die Ursache ist einfach eine schlechte Konfiguration - oder natürlich beides.

Gruß

Filipp
Bitte warten ..
Mitglied: maretz
19.08.2009 um 23:00 Uhr
Moin,

da würde ich gegen halten... Wenn du nicht grad das dümmste Skript-Kiddy hast dann wirst du mit so einfachen Mitteln heute nix mehr ausrichten. Und wenn der durchs TOR-Netz kommt dann wird das mit den Brüdern in Grün nicht ganz sooo einfach gehen... Wenn die überhaupt was machen. Denn nur ein Login-VERSUCH wird keinen von den Grünen hintern Ofen vorlocken... Denn was möchtest du machen wenn ich mich z.B. an deinen (öffentlich zugänglichen) RDP-Server versuche anzumelden? Du siehst sogar meine IP - und die zurückzuverfolgen wäre nichtmal sooo schwer. Dann stehen die Grünen (hier sind die glaub ich scho Blau...) bei mir an der Tür - und ich erkläre denen freundlich das ich an MEINEN Firmen-RDP-Server wollte und mich nur bei der IP vertippt hab... Und die ganzen verschiedenen User-Kennungen? Na - ich hab halt mal nen Script aus dem Web genutzt um die Sicherheit MEINES Servers zu testen... Leider hab ich mich wohl bei der IP geirrt...

Von daher: Solange der keinerlei Sicherheitssysteme umgehen muss oder eben nen Passwort knacken musste usw. -> solange werden die Grünen auch nix machen... Wenn du ein offenes WLAN betreibst wird auch kein Polizist bei mir das Laptop aus der Wohnung holen weil sich mein Laptop an deinem Netz anmeldet... Hier muss vorher schon ein wenig Eigensicherung des Netzwerkes erfolgen...
Bitte warten ..
Mitglied: 82052
24.08.2009 um 10:18 Uhr
*g*

Na mach den ollen 3389er halt dicht! Die ASA bietet haufenweise geilere Möglichkeiten als einen Port zu öffnen…super VPN Client, nen fester Tunnel, der AnyConnect oder das SSL Portal + RDP Plugin + selbstgeschraubtes Zertifikat.

Öffne keinen Port wenn es nicht sein muss…

So, Klugschiss-Modus wieder aus ;)

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Server 2008 R2 Aero-Design auf Remote Desktop geht nicht (3)

Frage von Motherboard33 zum Thema Windows Server ...

Mac OS X
Problem mit Microsoft Remote Desktop App auf macOS Sierra (10.12) (5)

Frage von lordzwieback zum Thema Mac OS X ...

Windows 10
Raspberry Windows 10, Domäne, Remote Desktop (4)

Frage von opc123 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...