11
Win 2003 von Hackern angegriffen?
Gesamtes Netzwerk sehr langsam, etliche Meldungen, dass auch nachts auf Benutzerkonten innerhalb des Netzwerks zugegriffen wurde.
Hallo zusammen,
bei unserem Win 2003 Server sind seit vergangenem Freitag seltsame Dinge geschehen. Wir haben auf einmal festgestellt, dass das Öffnen jeglicher Datei vom Server sehr lange gedauert hat, bei der Prüfung der Netzwerkauslastung war diese sehr hoch, daraufhin habe ich den Server heruntergefahren und wieder hoch. Danach lief alles wieder normal, zur Sicherheit habe ich alle Passwörter ändern lassen.
Heute morgen habe ich dann die Logs angesehen und festgestellt, dass es über die letzten Tage (zu jeder Uhrzeit) versuche gab sich mit verschiedenen Benutzernamen einzuloggen. Die Versuche kamen laut Bericht von internen IP Adressen und waren sehr hoch bis zu 700 Versuche. Zuvor hatte ich eigentlich täglich solche Meldungen, allerdings kamen diese nur von externen IP Adressen und ich hatte auch nie Probleme mit dem Server. Es sieht nun so aus, als wenn jemand bereits in unserem Netzwerk ist, ich habe alle Port Forwardings und Remote Access erstmal rausgenommen bzw. deaktiviert, allerdings weiss ich nicht was ich sonst noch prüfen kann um sicherzugehen ob es ein Angriff ist oder nicht. Vielleicht habt ihr da einen Tipp für mich.
Vielen Dank!
bei unserem Win 2003 Server sind seit vergangenem Freitag seltsame Dinge geschehen. Wir haben auf einmal festgestellt, dass das Öffnen jeglicher Datei vom Server sehr lange gedauert hat, bei der Prüfung der Netzwerkauslastung war diese sehr hoch, daraufhin habe ich den Server heruntergefahren und wieder hoch. Danach lief alles wieder normal, zur Sicherheit habe ich alle Passwörter ändern lassen.
Heute morgen habe ich dann die Logs angesehen und festgestellt, dass es über die letzten Tage (zu jeder Uhrzeit) versuche gab sich mit verschiedenen Benutzernamen einzuloggen. Die Versuche kamen laut Bericht von internen IP Adressen und waren sehr hoch bis zu 700 Versuche. Zuvor hatte ich eigentlich täglich solche Meldungen, allerdings kamen diese nur von externen IP Adressen und ich hatte auch nie Probleme mit dem Server. Es sieht nun so aus, als wenn jemand bereits in unserem Netzwerk ist, ich habe alle Port Forwardings und Remote Access erstmal rausgenommen bzw. deaktiviert, allerdings weiss ich nicht was ich sonst noch prüfen kann um sicherzugehen ob es ein Angriff ist oder nicht. Vielleicht habt ihr da einen Tipp für mich.
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 167235
Url: https://administrator.de/contentid/167235
Printed on: April 19, 2024 at 06:04 o'clock
11 Comments
Latest comment
Hallo,
ich würde versuchen die IP Adresse zu tracen und an dem Rechner mal schauen was da los ist (ist es ein Mitarbeiter oder wurde nur der PC kompromitiert). Danach würde ich weiter entscheiden was zu tun ist.
Gruß
Neomatic
ich würde versuchen die IP Adresse zu tracen und an dem Rechner mal schauen was da los ist (ist es ein Mitarbeiter oder wurde nur der PC kompromitiert). Danach würde ich weiter entscheiden was zu tun ist.
Gruß
Neomatic
Hallo TF-South
Ich würde sicher gehen das diese Anmeldeversuche nicht durch ein Programm im internen Netzwerk ausgelöst werden. Als Beispiel ein Monitoring Tool in dem die Daten hinterlegt sind und durch ein Zeitlichen intervall immer wieder gestartet wird. -> Die wechselnden Benutzernamen deuten jedoch auf ein Bruteforce Attack Tool hin.
Überprüfe doch mal die IP Adressen.... warscheinlich werdet ihr Fixe IP Adressen verwenden.. da sollte es kein Problem sein den Rechner zu finden... Wenn IP's über DHCP verteilt werden kann man sicher mal auf dem DHCP Server nachschauen was das für ein Gerät ist (bzw. dessen Name).
Ein weiterer Ansatz ist herauszufinden wo der mögliche Angreifer die Schwachstelle gefunden hat oder wie er diese Ausnutzt. Hier sollte auch in betracht gezogen werden das es eine interne Person sein könnte
Ich würde nun sicher die kritischen Daten abschotten und versuchen anhand von logfiles etc. den womöglich angreifenden Rechner zu finden.$
mfg
Ich würde sicher gehen das diese Anmeldeversuche nicht durch ein Programm im internen Netzwerk ausgelöst werden. Als Beispiel ein Monitoring Tool in dem die Daten hinterlegt sind und durch ein Zeitlichen intervall immer wieder gestartet wird. -> Die wechselnden Benutzernamen deuten jedoch auf ein Bruteforce Attack Tool hin.
Überprüfe doch mal die IP Adressen.... warscheinlich werdet ihr Fixe IP Adressen verwenden.. da sollte es kein Problem sein den Rechner zu finden... Wenn IP's über DHCP verteilt werden kann man sicher mal auf dem DHCP Server nachschauen was das für ein Gerät ist (bzw. dessen Name).
Ein weiterer Ansatz ist herauszufinden wo der mögliche Angreifer die Schwachstelle gefunden hat oder wie er diese Ausnutzt. Hier sollte auch in betracht gezogen werden das es eine interne Person sein könnte
Ich würde nun sicher die kritischen Daten abschotten und versuchen anhand von logfiles etc. den womöglich angreifenden Rechner zu finden.$
mfg
Hallo,
danke für die rasche Antwort.
Ja wir haben fixe IP Adressen, die Rechner habe ich auch schon ausgemacht, könnt ihr mir vielleicht auch noch einen Tipp geben nach was genau ich suchen soll. Ich bin mir dabei nicht sicher, ich werde auf jeden Fall nach Monitor Tools ausschau halten und einen Virenscanner drüber laufen lassen.
Welche Schwachstelle er gefunden hat, da bin ich mir nicht sicher, deshalb habe ich eben die Zugriffe von aussen so weit mir bekannt alle geschlossen. Kein Outlook Webaccess, kein Terminal service, alle Port forwardings am Router geschlossen.
Die kritischen Daten haben wir mittlerweile abgeschottet.
mfg
danke für die rasche Antwort.
Ja wir haben fixe IP Adressen, die Rechner habe ich auch schon ausgemacht, könnt ihr mir vielleicht auch noch einen Tipp geben nach was genau ich suchen soll. Ich bin mir dabei nicht sicher, ich werde auf jeden Fall nach Monitor Tools ausschau halten und einen Virenscanner drüber laufen lassen.
Welche Schwachstelle er gefunden hat, da bin ich mir nicht sicher, deshalb habe ich eben die Zugriffe von aussen so weit mir bekannt alle geschlossen. Kein Outlook Webaccess, kein Terminal service, alle Port forwardings am Router geschlossen.
Die kritischen Daten haben wir mittlerweile abgeschottet.
mfg
Hallo,
wie oben schon genannt solltest du als erstes herausfinden von wo diese Login Versuche kamen/kommen
und den Rechner (sofer intern) erstmal vom Netzwerk trennen um diesen genauer zu untersuchen.
Anti-Vire Live CD booten wäre da einer der möglichen Schritte um ggf. vorhandene Malware zu finden
und zu löschen.
Ist der Rechner (wieder?) sauber, würde ich nach und nach die anderen Rechner ebenfalls überprüfen,
sowie den Server und deine Firewall Einstellungen checken.
Mfg.
wie oben schon genannt solltest du als erstes herausfinden von wo diese Login Versuche kamen/kommen
und den Rechner (sofer intern) erstmal vom Netzwerk trennen um diesen genauer zu untersuchen.
Anti-Vire Live CD booten wäre da einer der möglichen Schritte um ggf. vorhandene Malware zu finden
und zu löschen.
Ist der Rechner (wieder?) sauber, würde ich nach und nach die anderen Rechner ebenfalls überprüfen,
sowie den Server und deine Firewall Einstellungen checken.
Mfg.
Danke, werde ich gleich in Angriff nehmen.
Schönen Gruss
Schönen Gruss
Virenscanner etc. natürlich immer im Abgesicherten Modus ausführen da sonst möglicherweise nicht alles sauber entfernt wird (F8 beim Starten des Rechners mehrmals drücken), dann erscheint das Auswahlmenü.
Nach der Säuberungsaktion und aktivierung aller SUA/NAT einstellungen sowie Remote etc. nochmals die Logfiles überprüfen ob die Anmeldeversuche ein Ende genommen haben.
mfg
Nach der Säuberungsaktion und aktivierung aller SUA/NAT einstellungen sowie Remote etc. nochmals die Logfiles überprüfen ob die Anmeldeversuche ein Ende genommen haben.
mfg
Hallo,
wenn, wie von meinem Vorredner bereits erwähnt, sichergestellt ist ein es kein "Dienst" ist der diese Anmeldeversuche ausführt würde ich den Rechner von einer CD starten und Virenscanner hiervon ausführen.
Gruß
Michael
wenn, wie von meinem Vorredner bereits erwähnt, sichergestellt ist ein es kein "Dienst" ist der diese Anmeldeversuche ausführt würde ich den Rechner von einer CD starten und Virenscanner hiervon ausführen.
Gruß
Michael
Hallo,
Als erstes ein Image vom Server und von den "attackierenden" Geräten ziehen für forensische Zwecke (oder falls man etwas zuviel des guten bei der fehlersuche macht udns ich die Systeme zerschießt) und für die Dokumentation.
Danach mit live-CDs nach Malware suchen. Das gibt schon mal den ersten Anhaltspunkt. Vorausesetzt natürlich, es ist keine Fehlkonfiguration von regulär eingesetzter Software.
Je nach Wichtigkeit dann entweder Kisten plattmachen und neu aufsetzen oder einen Fachmann für weitere forensische Analysen hinzuziehen.
Nachtrag: Ihr laßt tatsächlich direkt von außen Zugriffe auf Euren Server per Portweiterleitung zu, der auch im lokalen Netz steht? -> Ganz schnell einen Fachmann konsultieren.
Als erstes ein Image vom Server und von den "attackierenden" Geräten ziehen für forensische Zwecke (oder falls man etwas zuviel des guten bei der fehlersuche macht udns ich die Systeme zerschießt) und für die Dokumentation.
Danach mit live-CDs nach Malware suchen. Das gibt schon mal den ersten Anhaltspunkt. Vorausesetzt natürlich, es ist keine Fehlkonfiguration von regulär eingesetzter Software.
Je nach Wichtigkeit dann entweder Kisten plattmachen und neu aufsetzen oder einen Fachmann für weitere forensische Analysen hinzuziehen.
Nachtrag: Ihr laßt tatsächlich direkt von außen Zugriffe auf Euren Server per Portweiterleitung zu, der auch im lokalen Netz steht? -> Ganz schnell einen Fachmann konsultieren.
Danke für die Antworten,
habe da noch eine Frage an Lochkartenstanzer.
Ich muss doch eine Portweiterleitung eintragen am router wenn ich mich per VPN mit dem SBS verbinden möchte. Er bietet mir ja auch an die Einstellung bei einem UPnP Router die Portfreigabe selbst einzurichten. Genau dies habe ich nämlich gemacht, wenn ich das nicht mache habe ich natürlich selbst keinen Zugriff von aussen und kann auch keinem unserer Vertreter einen Zugang geben.
Sehe ich das falsch, oder macht es in diesem Fall schon Sinn die Weiterleitung einzurichten?
Danke und schönen Gruss
habe da noch eine Frage an Lochkartenstanzer.
Ich muss doch eine Portweiterleitung eintragen am router wenn ich mich per VPN mit dem SBS verbinden möchte. Er bietet mir ja auch an die Einstellung bei einem UPnP Router die Portfreigabe selbst einzurichten. Genau dies habe ich nämlich gemacht, wenn ich das nicht mache habe ich natürlich selbst keinen Zugriff von aussen und kann auch keinem unserer Vertreter einen Zugang geben.
Sehe ich das falsch, oder macht es in diesem Fall schon Sinn die Weiterleitung einzurichten?
Danke und schönen Gruss
Zitat von @TF-South:
Danke für die Antworten,
habe da noch eine Frage an Lochkartenstanzer.
Ich muss doch eine Portweiterleitung eintragen am router wenn ich mich per VPN mit dem SBS verbinden möchte. Er bietet mir ja
auch an die Einstellung bei einem UPnP Router die Portfreigabe selbst einzurichten. Genau dies habe ich nämlich gemacht, wenn
ich das nicht mache habe ich natürlich selbst keinen Zugriff von aussen und kann auch keinem unserer Vertreter einen Zugang
geben.
Danke für die Antworten,
habe da noch eine Frage an Lochkartenstanzer.
Ich muss doch eine Portweiterleitung eintragen am router wenn ich mich per VPN mit dem SBS verbinden möchte. Er bietet mir ja
auch an die Einstellung bei einem UPnP Router die Portfreigabe selbst einzurichten. Genau dies habe ich nämlich gemacht, wenn
ich das nicht mache habe ich natürlich selbst keinen Zugriff von aussen und kann auch keinem unserer Vertreter einen Zugang
geben.
Wenn Du Portweterleitung und VPN sagst, welches VPN meinst Du und welchen Port willst Du weiterleiten? Machst Du IPsec, openSSL, PPTP oder etwas ganz anderes?
Üblicherweise ist der VPN-Endpunkt im Router/der Firewall oder in der DMZ, und nicht im LAN.
Sehe ich das falsch, oder macht es in diesem Fall schon Sinn die Weiterleitung einzurichten?
Kommt drauf an, welches VPN Du nutzt und was Du erreichen willst. Es ist auf jeden Fall keine gute Idee, Verbindungen von außen direkt ins LAn zu lassen, und wenn, nur unter streng reglementierten Bedingungen.
Wir haben eine Fritz!Box 7270, dort habe ich eben wie gesagt die Portweiterleitung direkt vom SBS aus einrichten lassen.
Die Ports habe ich mittlerweile wieder geschlossen, es handelte sich dabei um folgende: 4125 & 443 Remote Web Workplace und 1723 VPN.
Ich bin mir nicht sicher ob ich das mit IPsec, openSSL oder PPTP gemacht habe, die Einstellungsmöglichkeit hatte ich nicht in der Fritz!Box.
Die Ports habe ich mittlerweile wieder geschlossen, es handelte sich dabei um folgende: 4125 & 443 Remote Web Workplace und 1723 VPN.
Ich bin mir nicht sicher ob ich das mit IPsec, openSSL oder PPTP gemacht habe, die Einstellungsmöglichkeit hatte ich nicht in der Fritz!Box.
