Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Win 2003 von Hackern angegriffen?

Frage Microsoft Windows Server

Mitglied: TF-South

TF-South (Level 1) - Jetzt verbinden

31.05.2011, aktualisiert 09:42 Uhr, 2611 Aufrufe, 11 Kommentare

Gesamtes Netzwerk sehr langsam, etliche Meldungen, dass auch nachts auf Benutzerkonten innerhalb des Netzwerks zugegriffen wurde.

Hallo zusammen,

bei unserem Win 2003 Server sind seit vergangenem Freitag seltsame Dinge geschehen. Wir haben auf einmal festgestellt, dass das Öffnen jeglicher Datei vom Server sehr lange gedauert hat, bei der Prüfung der Netzwerkauslastung war diese sehr hoch, daraufhin habe ich den Server heruntergefahren und wieder hoch. Danach lief alles wieder normal, zur Sicherheit habe ich alle Passwörter ändern lassen.

Heute morgen habe ich dann die Logs angesehen und festgestellt, dass es über die letzten Tage (zu jeder Uhrzeit) versuche gab sich mit verschiedenen Benutzernamen einzuloggen. Die Versuche kamen laut Bericht von internen IP Adressen und waren sehr hoch bis zu 700 Versuche. Zuvor hatte ich eigentlich täglich solche Meldungen, allerdings kamen diese nur von externen IP Adressen und ich hatte auch nie Probleme mit dem Server. Es sieht nun so aus, als wenn jemand bereits in unserem Netzwerk ist, ich habe alle Port Forwardings und Remote Access erstmal rausgenommen bzw. deaktiviert, allerdings weiss ich nicht was ich sonst noch prüfen kann um sicherzugehen ob es ein Angriff ist oder nicht. Vielleicht habt ihr da einen Tipp für mich.

Vielen Dank!
Mitglied: Neomatic
31.05.2011 um 09:49 Uhr
Hallo,

ich würde versuchen die IP Adresse zu tracen und an dem Rechner mal schauen was da los ist (ist es ein Mitarbeiter oder wurde nur der PC kompromitiert). Danach würde ich weiter entscheiden was zu tun ist.

Gruß

Neomatic
Bitte warten ..
Mitglied: AngryWookiee
31.05.2011 um 09:56 Uhr
Hallo TF-South

Ich würde sicher gehen das diese Anmeldeversuche nicht durch ein Programm im internen Netzwerk ausgelöst werden. Als Beispiel ein Monitoring Tool in dem die Daten hinterlegt sind und durch ein Zeitlichen intervall immer wieder gestartet wird. -> Die wechselnden Benutzernamen deuten jedoch auf ein Bruteforce Attack Tool hin.

Überprüfe doch mal die IP Adressen.... warscheinlich werdet ihr Fixe IP Adressen verwenden.. da sollte es kein Problem sein den Rechner zu finden... Wenn IP's über DHCP verteilt werden kann man sicher mal auf dem DHCP Server nachschauen was das für ein Gerät ist (bzw. dessen Name).

Ein weiterer Ansatz ist herauszufinden wo der mögliche Angreifer die Schwachstelle gefunden hat oder wie er diese Ausnutzt. Hier sollte auch in betracht gezogen werden das es eine interne Person sein könnte

Ich würde nun sicher die kritischen Daten abschotten und versuchen anhand von logfiles etc. den womöglich angreifenden Rechner zu finden.$

mfg
Bitte warten ..
Mitglied: TF-South
31.05.2011 um 10:52 Uhr
Hallo,

danke für die rasche Antwort.

Ja wir haben fixe IP Adressen, die Rechner habe ich auch schon ausgemacht, könnt ihr mir vielleicht auch noch einen Tipp geben nach was genau ich suchen soll. Ich bin mir dabei nicht sicher, ich werde auf jeden Fall nach Monitor Tools ausschau halten und einen Virenscanner drüber laufen lassen.

Welche Schwachstelle er gefunden hat, da bin ich mir nicht sicher, deshalb habe ich eben die Zugriffe von aussen so weit mir bekannt alle geschlossen. Kein Outlook Webaccess, kein Terminal service, alle Port forwardings am Router geschlossen.

Die kritischen Daten haben wir mittlerweile abgeschottet.

mfg
Bitte warten ..
Mitglied: Phalanx82
31.05.2011 um 10:53 Uhr
Hallo,

wie oben schon genannt solltest du als erstes herausfinden von wo diese Login Versuche kamen/kommen
und den Rechner (sofer intern) erstmal vom Netzwerk trennen um diesen genauer zu untersuchen.
Anti-Vire Live CD booten wäre da einer der möglichen Schritte um ggf. vorhandene Malware zu finden
und zu löschen.

Ist der Rechner (wieder?) sauber, würde ich nach und nach die anderen Rechner ebenfalls überprüfen,
sowie den Server und deine Firewall Einstellungen checken.


Mfg.
Bitte warten ..
Mitglied: TF-South
31.05.2011 um 10:59 Uhr
Danke, werde ich gleich in Angriff nehmen.

Schönen Gruss
Bitte warten ..
Mitglied: AngryWookiee
31.05.2011 um 11:20 Uhr
Virenscanner etc. natürlich immer im Abgesicherten Modus ausführen da sonst möglicherweise nicht alles sauber entfernt wird (F8 beim Starten des Rechners mehrmals drücken), dann erscheint das Auswahlmenü.

Nach der Säuberungsaktion und aktivierung aller SUA/NAT einstellungen sowie Remote etc. nochmals die Logfiles überprüfen ob die Anmeldeversuche ein Ende genommen haben.


mfg
Bitte warten ..
Mitglied: FSX2010
31.05.2011 um 12:37 Uhr
Hallo,

wenn, wie von meinem Vorredner bereits erwähnt, sichergestellt ist ein es kein "Dienst" ist der diese Anmeldeversuche ausführt würde ich den Rechner von einer CD starten und Virenscanner hiervon ausführen.

Gruß

Michael
Bitte warten ..
Mitglied: Lochkartenstanzer
01.06.2011 um 11:39 Uhr
Hallo,

Als erstes ein Image vom Server und von den "attackierenden" Geräten ziehen für forensische Zwecke (oder falls man etwas zuviel des guten bei der fehlersuche macht udns ich die Systeme zerschießt) und für die Dokumentation.

Danach mit live-CDs nach Malware suchen. Das gibt schon mal den ersten Anhaltspunkt. Vorausesetzt natürlich, es ist keine Fehlkonfiguration von regulär eingesetzter Software.

Je nach Wichtigkeit dann entweder Kisten plattmachen und neu aufsetzen oder einen Fachmann für weitere forensische Analysen hinzuziehen.


Nachtrag: Ihr laßt tatsächlich direkt von außen Zugriffe auf Euren Server per Portweiterleitung zu, der auch im lokalen Netz steht? -> Ganz schnell einen Fachmann konsultieren.
Bitte warten ..
Mitglied: TF-South
03.06.2011 um 15:18 Uhr
Danke für die Antworten,

habe da noch eine Frage an Lochkartenstanzer.

Ich muss doch eine Portweiterleitung eintragen am router wenn ich mich per VPN mit dem SBS verbinden möchte. Er bietet mir ja auch an die Einstellung bei einem UPnP Router die Portfreigabe selbst einzurichten. Genau dies habe ich nämlich gemacht, wenn ich das nicht mache habe ich natürlich selbst keinen Zugriff von aussen und kann auch keinem unserer Vertreter einen Zugang geben.

Sehe ich das falsch, oder macht es in diesem Fall schon Sinn die Weiterleitung einzurichten?

Danke und schönen Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
03.06.2011 um 15:28 Uhr
Zitat von TF-South:
Danke für die Antworten,

habe da noch eine Frage an Lochkartenstanzer.

Ich muss doch eine Portweiterleitung eintragen am router wenn ich mich per VPN mit dem SBS verbinden möchte. Er bietet mir ja
auch an die Einstellung bei einem UPnP Router die Portfreigabe selbst einzurichten. Genau dies habe ich nämlich gemacht, wenn
ich das nicht mache habe ich natürlich selbst keinen Zugriff von aussen und kann auch keinem unserer Vertreter einen Zugang
geben.

Wenn Du Portweterleitung und VPN sagst, welches VPN meinst Du und welchen Port willst Du weiterleiten? Machst Du IPsec, openSSL, PPTP oder etwas ganz anderes?

Üblicherweise ist der VPN-Endpunkt im Router/der Firewall oder in der DMZ, und nicht im LAN.


Sehe ich das falsch, oder macht es in diesem Fall schon Sinn die Weiterleitung einzurichten?


Kommt drauf an, welches VPN Du nutzt und was Du erreichen willst. Es ist auf jeden Fall keine gute Idee, Verbindungen von außen direkt ins LAn zu lassen, und wenn, nur unter streng reglementierten Bedingungen.
Bitte warten ..
Mitglied: TF-South
03.06.2011 um 15:54 Uhr
Wir haben eine Fritz!Box 7270, dort habe ich eben wie gesagt die Portweiterleitung direkt vom SBS aus einrichten lassen.

Die Ports habe ich mittlerweile wieder geschlossen, es handelte sich dabei um folgende: 4125 & 443 Remote Web Workplace und 1723 VPN.

Ich bin mir nicht sicher ob ich das mit IPsec, openSSL oder PPTP gemacht habe, die Einstellungsmöglichkeit hatte ich nicht in der Fritz!Box.
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
1und1 Server wird angegriffen wenn nicht sogar gehackt
gelöst Frage von schorschViren und Trojaner2 Kommentare

Guten Tag Admins, ich wurde von 1und1 darauf hingewiesen, dass mein Server gehackt wurde. Anbei haben Sie mir folgenden ...

LAN, WAN, Wireless
Vodafone-TV Center hacken
Frage von Herbrich19LAN, WAN, Wireless5 Kommentare

Hallo, Ich habe ein altes Vodafone TV Center 1000 zuhause, das habe ich mir mal vor langer Zeit aus ...

Verschlüsselung & Zertifikate
Technische Umsetzung Hacker-Box
gelöst Frage von Philipp711Verschlüsselung & Zertifikate4 Kommentare

Hi liebe Community, in der letzten sternTV-Sendung wurde auf ein kritisches "Feature" vom WLAN-Standard hingewiesen. Das automatische Verbinden von ...

Internet
Mit Wireshark WLAN Passwort hacken
gelöst Frage von 133340Internet4 Kommentare

Hallo, Ich möchte mein WLAN Passwort mit wireshark hacken geht das und wie kann ich das machen? Gruß Leonard

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 8 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 10 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement15 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...