Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win 2003 von Hackern angegriffen?

Frage Microsoft Windows Server

Mitglied: TF-South

TF-South (Level 1) - Jetzt verbinden

31.05.2011, aktualisiert 09:42 Uhr, 2583 Aufrufe, 11 Kommentare

Gesamtes Netzwerk sehr langsam, etliche Meldungen, dass auch nachts auf Benutzerkonten innerhalb des Netzwerks zugegriffen wurde.

Hallo zusammen,

bei unserem Win 2003 Server sind seit vergangenem Freitag seltsame Dinge geschehen. Wir haben auf einmal festgestellt, dass das Öffnen jeglicher Datei vom Server sehr lange gedauert hat, bei der Prüfung der Netzwerkauslastung war diese sehr hoch, daraufhin habe ich den Server heruntergefahren und wieder hoch. Danach lief alles wieder normal, zur Sicherheit habe ich alle Passwörter ändern lassen.

Heute morgen habe ich dann die Logs angesehen und festgestellt, dass es über die letzten Tage (zu jeder Uhrzeit) versuche gab sich mit verschiedenen Benutzernamen einzuloggen. Die Versuche kamen laut Bericht von internen IP Adressen und waren sehr hoch bis zu 700 Versuche. Zuvor hatte ich eigentlich täglich solche Meldungen, allerdings kamen diese nur von externen IP Adressen und ich hatte auch nie Probleme mit dem Server. Es sieht nun so aus, als wenn jemand bereits in unserem Netzwerk ist, ich habe alle Port Forwardings und Remote Access erstmal rausgenommen bzw. deaktiviert, allerdings weiss ich nicht was ich sonst noch prüfen kann um sicherzugehen ob es ein Angriff ist oder nicht. Vielleicht habt ihr da einen Tipp für mich.

Vielen Dank!
Mitglied: Neomatic
31.05.2011 um 09:49 Uhr
Hallo,

ich würde versuchen die IP Adresse zu tracen und an dem Rechner mal schauen was da los ist (ist es ein Mitarbeiter oder wurde nur der PC kompromitiert). Danach würde ich weiter entscheiden was zu tun ist.

Gruß

Neomatic
Bitte warten ..
Mitglied: AngryWookiee
31.05.2011 um 09:56 Uhr
Hallo TF-South

Ich würde sicher gehen das diese Anmeldeversuche nicht durch ein Programm im internen Netzwerk ausgelöst werden. Als Beispiel ein Monitoring Tool in dem die Daten hinterlegt sind und durch ein Zeitlichen intervall immer wieder gestartet wird. -> Die wechselnden Benutzernamen deuten jedoch auf ein Bruteforce Attack Tool hin.

Überprüfe doch mal die IP Adressen.... warscheinlich werdet ihr Fixe IP Adressen verwenden.. da sollte es kein Problem sein den Rechner zu finden... Wenn IP's über DHCP verteilt werden kann man sicher mal auf dem DHCP Server nachschauen was das für ein Gerät ist (bzw. dessen Name).

Ein weiterer Ansatz ist herauszufinden wo der mögliche Angreifer die Schwachstelle gefunden hat oder wie er diese Ausnutzt. Hier sollte auch in betracht gezogen werden das es eine interne Person sein könnte

Ich würde nun sicher die kritischen Daten abschotten und versuchen anhand von logfiles etc. den womöglich angreifenden Rechner zu finden.$

mfg
Bitte warten ..
Mitglied: TF-South
31.05.2011 um 10:52 Uhr
Hallo,

danke für die rasche Antwort.

Ja wir haben fixe IP Adressen, die Rechner habe ich auch schon ausgemacht, könnt ihr mir vielleicht auch noch einen Tipp geben nach was genau ich suchen soll. Ich bin mir dabei nicht sicher, ich werde auf jeden Fall nach Monitor Tools ausschau halten und einen Virenscanner drüber laufen lassen.

Welche Schwachstelle er gefunden hat, da bin ich mir nicht sicher, deshalb habe ich eben die Zugriffe von aussen so weit mir bekannt alle geschlossen. Kein Outlook Webaccess, kein Terminal service, alle Port forwardings am Router geschlossen.

Die kritischen Daten haben wir mittlerweile abgeschottet.

mfg
Bitte warten ..
Mitglied: Phalanx82
31.05.2011 um 10:53 Uhr
Hallo,

wie oben schon genannt solltest du als erstes herausfinden von wo diese Login Versuche kamen/kommen
und den Rechner (sofer intern) erstmal vom Netzwerk trennen um diesen genauer zu untersuchen.
Anti-Vire Live CD booten wäre da einer der möglichen Schritte um ggf. vorhandene Malware zu finden
und zu löschen.

Ist der Rechner (wieder?) sauber, würde ich nach und nach die anderen Rechner ebenfalls überprüfen,
sowie den Server und deine Firewall Einstellungen checken.


Mfg.
Bitte warten ..
Mitglied: TF-South
31.05.2011 um 10:59 Uhr
Danke, werde ich gleich in Angriff nehmen.

Schönen Gruss
Bitte warten ..
Mitglied: AngryWookiee
31.05.2011 um 11:20 Uhr
Virenscanner etc. natürlich immer im Abgesicherten Modus ausführen da sonst möglicherweise nicht alles sauber entfernt wird (F8 beim Starten des Rechners mehrmals drücken), dann erscheint das Auswahlmenü.

Nach der Säuberungsaktion und aktivierung aller SUA/NAT einstellungen sowie Remote etc. nochmals die Logfiles überprüfen ob die Anmeldeversuche ein Ende genommen haben.


mfg
Bitte warten ..
Mitglied: FSX2010
31.05.2011 um 12:37 Uhr
Hallo,

wenn, wie von meinem Vorredner bereits erwähnt, sichergestellt ist ein es kein "Dienst" ist der diese Anmeldeversuche ausführt würde ich den Rechner von einer CD starten und Virenscanner hiervon ausführen.

Gruß

Michael
Bitte warten ..
Mitglied: Lochkartenstanzer
01.06.2011 um 11:39 Uhr
Hallo,

Als erstes ein Image vom Server und von den "attackierenden" Geräten ziehen für forensische Zwecke (oder falls man etwas zuviel des guten bei der fehlersuche macht udns ich die Systeme zerschießt) und für die Dokumentation.

Danach mit live-CDs nach Malware suchen. Das gibt schon mal den ersten Anhaltspunkt. Vorausesetzt natürlich, es ist keine Fehlkonfiguration von regulär eingesetzter Software.

Je nach Wichtigkeit dann entweder Kisten plattmachen und neu aufsetzen oder einen Fachmann für weitere forensische Analysen hinzuziehen.


Nachtrag: Ihr laßt tatsächlich direkt von außen Zugriffe auf Euren Server per Portweiterleitung zu, der auch im lokalen Netz steht? -> Ganz schnell einen Fachmann konsultieren.
Bitte warten ..
Mitglied: TF-South
03.06.2011 um 15:18 Uhr
Danke für die Antworten,

habe da noch eine Frage an Lochkartenstanzer.

Ich muss doch eine Portweiterleitung eintragen am router wenn ich mich per VPN mit dem SBS verbinden möchte. Er bietet mir ja auch an die Einstellung bei einem UPnP Router die Portfreigabe selbst einzurichten. Genau dies habe ich nämlich gemacht, wenn ich das nicht mache habe ich natürlich selbst keinen Zugriff von aussen und kann auch keinem unserer Vertreter einen Zugang geben.

Sehe ich das falsch, oder macht es in diesem Fall schon Sinn die Weiterleitung einzurichten?

Danke und schönen Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
03.06.2011 um 15:28 Uhr
Zitat von TF-South:
Danke für die Antworten,

habe da noch eine Frage an Lochkartenstanzer.

Ich muss doch eine Portweiterleitung eintragen am router wenn ich mich per VPN mit dem SBS verbinden möchte. Er bietet mir ja
auch an die Einstellung bei einem UPnP Router die Portfreigabe selbst einzurichten. Genau dies habe ich nämlich gemacht, wenn
ich das nicht mache habe ich natürlich selbst keinen Zugriff von aussen und kann auch keinem unserer Vertreter einen Zugang
geben.

Wenn Du Portweterleitung und VPN sagst, welches VPN meinst Du und welchen Port willst Du weiterleiten? Machst Du IPsec, openSSL, PPTP oder etwas ganz anderes?

Üblicherweise ist der VPN-Endpunkt im Router/der Firewall oder in der DMZ, und nicht im LAN.


Sehe ich das falsch, oder macht es in diesem Fall schon Sinn die Weiterleitung einzurichten?


Kommt drauf an, welches VPN Du nutzt und was Du erreichen willst. Es ist auf jeden Fall keine gute Idee, Verbindungen von außen direkt ins LAn zu lassen, und wenn, nur unter streng reglementierten Bedingungen.
Bitte warten ..
Mitglied: TF-South
03.06.2011 um 15:54 Uhr
Wir haben eine Fritz!Box 7270, dort habe ich eben wie gesagt die Portweiterleitung direkt vom SBS aus einrichten lassen.

Die Ports habe ich mittlerweile wieder geschlossen, es handelte sich dabei um folgende: 4125 & 443 Remote Web Workplace und 1723 VPN.

Ich bin mir nicht sicher ob ich das mit IPsec, openSSL oder PPTP gemacht habe, die Einstellungsmöglichkeit hatte ich nicht in der Fritz!Box.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Win 2003 Server von außen nicht erreichbar (9)

Frage von Fighter89 zum Thema Windows Server ...

Windows Update
gelöst WSUS Win 10 Defender Updates verteilen oder nicht? (4)

Frage von Ex0r2k16 zum Thema Windows Update ...

Microsoft Office
gelöst Visio 2003 auf aktuellem System (6)

Frage von ratzla zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...