Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mein Windows Server 2008 wird angegriffen

Frage Microsoft Windows Server

Mitglied: emanetcin

emanetcin (Level 1) - Jetzt verbinden

27.10.2009, aktualisiert 28.10.2009, 6545 Aufrufe, 7 Kommentare

Hallo zusammen,
ich habe folgendes Problem mit meinem Server.
Der Server wird von einem IP/PC angegriffen, über Port 80 vermute ich mal.

Da ich nicht in der Suchmaschine erscheinen möchte, habe ich meinen Domain Namen nicht geschrieben als Muster habe ich (meinendomain.com) benutzt. !!!

In dem Windows Server 2008 ist Plesk 9 steht als Hosting-Tool zur Verfügung von Strato.

Meine Firewall ist eingeschaltet, aber beim Angriff wird mein CPU bis zu 100% belastet durch den Namen: w3wp.exe *32.

5c85ce07192bf891d7852ecf80615597-taskmgr - Klicke auf das Bild, um es zu vergrößern

Im Ordner; D:\InetPub\vhosts\meinedomain.com\statistics\logs\W3SVC28157;habe ich die Logs herausgenommen, die 123 MB groß ist.

2009-10-27 19:05:59 W3SVC28157 H1436784 85.214.79.205 POST / - 80 - 88.225.215.124 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+Q312461;+.NET+CLR+1.0.3705) - - www.meinedomain.com 200 0 1236 0 391 270456

85.214.79.205 ist die IP-Adresse vom Server und die 88.225.214.124 ist derjenige, der angreift.

Was für eine Art Einstellung muss ich denn machen, um dieses Problem zu lösen, d.h. um dieser Angriffe zu verhindern?

Kann ich irgendwie ein Limit geben, das kein Client nicht mehrmals immer wieder Refresh`en kann, so wird die Webseite auch nicht blockiert werden, d.h. es dauert lang bis es öffnet.

Mit diesem Angriff könnte ja in diesem Fall, jeder an jedem Windows Server angreifen, das muss doch unbedingt verhindert werden!

Hier ist noch die Fehlermeldung von Server Manager / Web Server (IIS) - Event Properties

Log Name: System
Source: Microsoft-Windows-WAS
Date: 10/28/2009 1:02:36 AM
Event ID: 5009
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: h1436784
Description:
A process serving application pool 'partnerizm.com(domain)(pool)' terminated unexpectedly. The process id was '3096'. The process exit code was '0xc0000374'.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Microsoft-Windows-WAS" Guid="{524B5D04-133C-4A62-8362-64E8EDB9CE40}" EventSourceName="WAS" />
<EventID Qualifiers="32768">5009</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2009-10-28T00:02:36.000Z" />
<EventRecordID>3297686</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>h1436784</Computer>
<Security />
</System>
<EventData>
<Data Name="AppPoolID">partnerizm.com(domain)(pool)</Data>
<Data Name="ProcessID">3096</Data>
<Data Name="ExitCode">c0000374</Data>
</EventData>
</Event>
Mitglied: gansa28
28.10.2009 um 03:25 Uhr
Hallo Chris,

Leider weiss ich nicht wie das bei einem Windows Server unter Plesk abläuft, aber man könnte die IP-Adresse bzw. partnerizm.com des "Angreifers" blocken. Das sollte zumindest erstmal helfen.

Die IP-Adresse ist in der Turkei reg.

Die Einstellungen kannst du unter System / Module Konfigurieren.

Mit freundlichen Grüßen

Gansa29
Bitte warten ..
Mitglied: maretz
28.10.2009 um 06:52 Uhr
Moin,

fangen wir mal mit den grundlegenden Dingen an:

a) Die beste Art seinen Server zum Angriffsziel zu machen ist an möglichst vielen Stellen zu sagen was genau drauf läuft - und die IP-Adresse immer schön dazu schreiben. Wenn ich also jetzt deinen Server angreiffen möchte dann weiss ich schonmal das ich gute Chancen habe falls es bei Plesk ne Lücke gibt - und ansonsten kann ich schonmal die Standard-Windows-Lücken nehmen. Achso - und natürlich meine Angriffe auf den IIS abzielen. Perfekt - magst du jetzt nich noch eben dazu den Admin-Usernamen und das Passwort hier öffentlich posten - damit auch das letzte Script-Kiddy ne Chance hat? Ansonsten möchtest du ggf. ja auch mal deine öffentliche IP aus deinem Posting rausnehmen... Oder ist die IRGENDWIE zur Problembehandlung sinnvoll?

b) Eine einzelne IP sperren wird dich nicht glücklich machen. Ich habe pro Tag locker einige 100 Zugriffe auf meinen PRIVATEN Webserver die es mit den üblichen Tools versuchen. (Leider sind die Script-Kiddys nichtmal intelligent genug zu erkennen das nen IIS-Spezifischer Angriff bei nem Apache wenig chance auf erfolg hat... Und das Windows-Verzeichnisse bei Linux-Servern auch eher selten funktionieren... -> aber gut, du hast denen ja schon gesagt was die bei dir nutzen können...). Ich befürchte nämlich das du dann nur noch damit beschäftigt sein wirst irgendwelche IPs zu blocken...

Die Frage wäre jetzt eher was da genau versucht wird. Aufgrund des Post würde ich mal vermuten das Daten gesendet werden -> und falls dein Plesk zufällig jetzt das Ziel des Angriffes ist würde ich dieses einfach in ein Webdirectory packen welches zwar über die selbe IP aber nen anderen Port erreichbar ist. Sollten es Formulare deiner Webseite sein dann würde ich HIER ansetzen und z.B. einen Counter einbauen. Wenn das z.B. nen Kontakt-Formular ist dann sollte es reichen wenn man 2-3 Anfragen/10 Min senden darf. Damit sollten auch die sehr auskunftsfreudigen Kunden noch klarkommen... Macht man mehr gibt es nur noch nen Access Denied -> feierabend...

Weiterhin solltest du natürlich gucken ob dein Server Updatemässig auf dem neuesten Stand ist -> damit du nicht evtl. bereits Probleme auf der Kiste hast und die Post-Aufrufe nur noch irgendeinen Bot steuern u.ä....

Und jetzt noch etwas generelles:
[Quote]
Ich bitte um baldige Antwort.
[/quote]
Sowas kannst du als Chef zu deinen Angestellten sagen... -> aber in einem Forum sollte man auf solche Formulierungen lieber verzichten. Es wird deshalb keiner schneller schreiben - eher hälst du Leute davon ab das die überhaupt Antworten...

Gruß

Mike
Bitte warten ..
Mitglied: KowaKowalski
28.10.2009 um 07:38 Uhr
Hi emanetcin,


bin mir auch garnicht sicher ob Du da gleich von einem Angriff ausgehen kannst.
Schließlich gab es zu diesem Thema schon für den 2003er ein Hotfix http://support.microsoft.com/kb/900243
denn auch dort war dieses Phänomen bei bestimmten Konstellationen schon da.


Mit freundlichen Grüßen
kowa
Bitte warten ..
Mitglied: alex53842
28.10.2009 um 13:35 Uhr
Hallo,

warum hast du deinen W2k8 Server denn komplett umgeschützt? Ich hab gerade mal ein paar dinge probiert und muss sagen du solltest schnell eine vernünftige Firewall davor schalten. Sogar die RDP- Anmeldung geht?!?! Un das ist noch nicht das schlimmste.....
Bitte warten ..
Mitglied: emanetcin
28.10.2009 um 17:46 Uhr
Was sollte ich am besten machen?

Meine Firewall ist ja an ?
Bitte warten ..
Mitglied: alex53842
29.10.2009 um 08:31 Uhr
Hallo,

also zuerst mal alle eingehenden Ports zu. Und nur das was mann wirklich braucht sollte offen sein. Welche FW nutzt du?
Bitte warten ..
Mitglied: emanetcin
29.10.2009 um 10:10 Uhr
Ich habe nur die Wichtigen Ports Offengelassen.

Habe Windows Firewall von Windows Server 2008!
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...