9
Windows server 2008 R2 - RDP - hacked?
Hallo Leute,
ich habe mir vor nem Monat einen kleinen server gekauft, der jetzt seit ein paar Tagen läuft.
Absichern wollte ich RDP vor allen nach diesem leitfaden: http://www.itmz.uni-rostock.de/software/windows/sicherheit/absicherung- ...
wie gesagt, WOLLTE..
Ich bin eben ein paar Logfiles durchgegangen und bin da ueber Eintraege gestolpert die ich absolut nicht nachvollziehen kann.
Ereignisanzeige: TerminalService - Remote Connection Manager
Remotedesktopdienste: Die Benutzerauthentifizierung war erfolgreich:
Benutzer: guest
Domäne:
Quellnetzwerkadresse: 103.224.251.191.
Ähm ja. Es finden sich ziemlich viele Eintraege die so aussehen. Mit guest, mit admin1, mit adm.
Alles Konten die nicht vorhanden sind.
Sehe ich das richtig, dass die sich mit dem benutzerkonto angemeldet haben? "Die Benutzerauthentifizierung war erfolgreich"
Wie zur Hoelle ist das möglich?
Leider bietet Server 2008 r2 keine wirklich guten RDP logfiles an. Gibt es da was besseres als das oben erwaehnte?
Bin ich mit Sicherheit hacked oder was?
Grüße
r2
ich habe mir vor nem Monat einen kleinen server gekauft, der jetzt seit ein paar Tagen läuft.
Absichern wollte ich RDP vor allen nach diesem leitfaden: http://www.itmz.uni-rostock.de/software/windows/sicherheit/absicherung- ...
wie gesagt, WOLLTE..
Ich bin eben ein paar Logfiles durchgegangen und bin da ueber Eintraege gestolpert die ich absolut nicht nachvollziehen kann.
Ereignisanzeige: TerminalService - Remote Connection Manager
Remotedesktopdienste: Die Benutzerauthentifizierung war erfolgreich:
Benutzer: guest
Domäne:
Quellnetzwerkadresse: 103.224.251.191.
Ähm ja. Es finden sich ziemlich viele Eintraege die so aussehen. Mit guest, mit admin1, mit adm.
Alles Konten die nicht vorhanden sind.
Sehe ich das richtig, dass die sich mit dem benutzerkonto angemeldet haben? "Die Benutzerauthentifizierung war erfolgreich"
Wie zur Hoelle ist das möglich?
Leider bietet Server 2008 r2 keine wirklich guten RDP logfiles an. Gibt es da was besseres als das oben erwaehnte?
Bin ich mit Sicherheit hacked oder was?
Grüße
r2
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299496
Url: https://administrator.de/contentid/299496
Printed on: April 18, 2024 at 17:04 o'clock
9 Comments
Latest comment
Hallo,
genau deswegen darf RDP nur über VPN oder von bestimmten IP überhaupt erreeichbar ein.
Guest ist ein Standardkonto, das normalerweise deaktiviert ist und eine Anmeldung nicht möglich sein sollte.
Sobald ein Server im Internet erreichbar ist und seine IP erreichbar ist, wird versucht darauf zuzugreifen, wenn keine Firewall davor ist.
Und wenn in der Windowsfirewall RDP für alle IP-Bereiche offen ist, werden auch alle versuchen eine Kombination aus Benutzer und Paswort zu finden.,
Im Sicherheitslog solltest Du mal nach erfolgreichen Anmeldungen filtern und wenn noch nicht die Protokollierung davon erstmal einschalten.
Mach die Absicherung und ändere die Passwörter!
Und nicht ausadministreiren.
Gruß
Chonta
genau deswegen darf RDP nur über VPN oder von bestimmten IP überhaupt erreeichbar ein.
Guest ist ein Standardkonto, das normalerweise deaktiviert ist und eine Anmeldung nicht möglich sein sollte.
Sobald ein Server im Internet erreichbar ist und seine IP erreichbar ist, wird versucht darauf zuzugreifen, wenn keine Firewall davor ist.
Und wenn in der Windowsfirewall RDP für alle IP-Bereiche offen ist, werden auch alle versuchen eine Kombination aus Benutzer und Paswort zu finden.,
Im Sicherheitslog solltest Du mal nach erfolgreichen Anmeldungen filtern und wenn noch nicht die Protokollierung davon erstmal einschalten.
Mach die Absicherung und ändere die Passwörter!
Und nicht ausadministreiren.
Gruß
Chonta
Hi und Danke.
Also den Gast account habe ich damals als erstes deaktiviert. Adm oder admin1 existieren bei mir nicht. Auch nicht in der registry in der profil liste.
Es waren also lediglich Anmeldeversuche? Warum steht dann da, dass die Authentifizierung erfolgreich war?
Klaro, ich werde alles absichern, aber ich will auf jedenfall verstehen was da vor sich geht / ging.
Grüße
r2
Also den Gast account habe ich damals als erstes deaktiviert. Adm oder admin1 existieren bei mir nicht. Auch nicht in der registry in der profil liste.
Es waren also lediglich Anmeldeversuche? Warum steht dann da, dass die Authentifizierung erfolgreich war?
Klaro, ich werde alles absichern, aber ich will auf jedenfall verstehen was da vor sich geht / ging.
Grüße
r2
Die Chinesen warens! 
ja, das habe ich bereits gesehen :wut:
Hallo,
Du musst erfolgreiche und nichterfolgreiche Anmeldeversuche überwachen.
Dann wird mitgelogt wer sich erfolgreich anmeldet.
Eine Sicherheitsrichtlinie dass das Konto nach X Versuchen für Zeit X gesperrt wird brauchst Du auch.
In welchem Log hast Du welche ID?
Eigendlich steht nur Im Sicherheitslog drin ob einer Im System drin war oder nicht. (aber erst wenn die Überwachung auch eingeschaltet wird)
Gruß
Chonta
Du musst erfolgreiche und nichterfolgreiche Anmeldeversuche überwachen.
Dann wird mitgelogt wer sich erfolgreich anmeldet.
Eine Sicherheitsrichtlinie dass das Konto nach X Versuchen für Zeit X gesperrt wird brauchst Du auch.
In welchem Log hast Du welche ID?
Eigendlich steht nur Im Sicherheitslog drin ob einer Im System drin war oder nicht. (aber erst wenn die Überwachung auch eingeschaltet wird)
Gruß
Chonta
Hi,
Wo läuft der Server? Bei dir daheim?
Dann solltest du schleunigst deinen Router auf eventuelle Portfreigaben und Portweiterleitungen checken!
Falls der Server eine virtuelle Kiste bei einem Hoster ist, einfach den rdp-Port (3389) zumachen und gut ist. Für Arbeiten am Server dann bitte VNC, TeamViewer nehmen, oder eine Verbindung zum Server per VPN und dann RDP benutzen.
Grüsse,
tomolpi
Wo läuft der Server? Bei dir daheim?
Dann solltest du schleunigst deinen Router auf eventuelle Portfreigaben und Portweiterleitungen checken!
Falls der Server eine virtuelle Kiste bei einem Hoster ist, einfach den rdp-Port (3389) zumachen und gut ist. Für Arbeiten am Server dann bitte VNC, TeamViewer nehmen, oder eine Verbindung zum Server per VPN und dann RDP benutzen.
Grüsse,
tomolpi
Ja bei mir zu Hause. Es war mir klar das er gescannt werden WIRD auf Port 3389 und ich hab nun alles Dicht gemacht.
Bin jetzt direkt drauf.
Was ich immer noch nicht weiß ist, ob es reine Anmeldeversuche waren oder eben nicht.
Grüße
Bin jetzt direkt drauf.
Was ich immer noch nicht weiß ist, ob es reine Anmeldeversuche waren oder eben nicht.
Grüße
Ich würde sagen es waren Versuche.
Aber wenn die Kiste eh bei Dir zu hause steht, löschen und neu aufsetzen und auf Nummer sicher gehen.
Gruß
Chonta
Aber wenn die Kiste eh bei Dir zu hause steht, löschen und neu aufsetzen und auf Nummer sicher gehen.
Gruß
Chonta
also ich hatte ein Windows 2003 R2 und auch ein XP mehrere Monate lang im Netz, geschützt mit einem Virenscanner und der Tatsache daß der RDP Port ganz woanders war. Geknackt wurde das ganze nicht. Andererseits würde ich meine rechte Hand auch nicht gerade ins Feuer legen für die Unknackbarkeit des RDP Dienstes... ´
ich vermute mal daß das System schon vorher ein wenig angeknackst war, evtl auch noch mehr Ports als der für RDP offen etc, dann RDP auf dem Standardport... aktiviertes Gastkonto z.B., aber damit das über RDP zugänglihc ist MUSS da z.B. eine Gruppenmitgliedschaft in der Gruppe der Remotedesktopbenutzer bestehen.
ich vermute mal daß das System schon vorher ein wenig angeknackst war, evtl auch noch mehr Ports als der für RDP offen etc, dann RDP auf dem Standardport... aktiviertes Gastkonto z.B., aber damit das über RDP zugänglihc ist MUSS da z.B. eine Gruppenmitgliedschaft in der Gruppe der Remotedesktopbenutzer bestehen.
