Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zuviele Zugriffe auf Windows2003Server

Frage Sicherheit Erkennung und -Abwehr

Mitglied: MMC

MMC (Level 1) - Jetzt verbinden

30.03.2005, aktualisiert 09.01.2009, 5410 Aufrufe, 6 Kommentare

Seit ca. 5 Tagen werden auf unserem Windows SBS 2003 mehrere Tausend Anmeldeversuche von außen durchgeführt. Heute Nacht waren es 2956! Der Internetanschluß ist Arcor DSL. Die User, die versuchen, bei uns reinzukommen, sind auch bei Arcor laut Quellnetzwerkadresse.

Der Rechner wird so in die Knie gezwungen, daß nichts mehr geht. Er muß neu gestartet werden.
Frage: Kann es sein, daß eine Praktikantin durch ihren Chat auf HTML-Seiten-Basis (also keine Software wie Netmeeting o.ä.) da irgendwelche Hunde geweckt hat? Vorher kam es einmal im Monat vor, daß sich mal einer versucht hätte, sich anzumelden.

Die Berichterstattung zeigt beispielsweise folgendes:

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Oliver
Domäne: OK-FK8WX1F15OSC
ANmeldetyp: 3
Anmeldevorgang NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: OK-FK8WX1F15OSC
Anruferbenutzername: -
bis
Übertragene Dienste: -
Quellnetzwerkadresse: 84.56.102.195
Quellport: 0

Als Router verwenden wir den SMC 7008 ABR.

(Diese Daten sind jetzt echt. Vielleicht kann mir einer sagen, ob es zu einer erfolgreichen Rückverfolgung kommen kann, oder ob es nichts bringt...)

Ich weiß nicht weiter. Jeden Tag muß der Server neu hochgefahren werden. Sicherung etc. werden nicht durchgeführt, weil die Kiste hängt.
Mitglied: 11105
30.03.2005 um 10:41 Uhr
Welche Software zeigt Dir das an?
Ich würde mal als erstes einen Router nehmen der nicht alles rein läßt was nach Datenpacket aussieht. Ich habe mehrere Bintec im Einsatz, habe nie Probleme mit Würmern oder mit solchen Attacken wie Du sie hast! Allerdings sind diese Router auch nicht ganz günstig. Aber qualität will bezahlt werden!

Mit freundlichen Grüßen
Thomas

PS: Ich glaube nicht das sowas durch einen HTML-Chat kommen kann. Und selbst wenn ist Deine IP ja nach jedem Einwählen eine andere und der Angreifer müßte Dich neu "suchen" Vielleicht hast Du ja irgendwas Wurmähnliches im Netz, schonmal geprüft?
Bitte warten ..
Mitglied: MMC
30.03.2005 um 10:53 Uhr
Das zeigt mir der Serverleistungsbericht in der Serververwaltungskonsole an.

Übrigens war der gestern zerschossen worden, so daß ich ihn nochmal nachinstallieren mußte.

Das einzige, was aber jetzt nicht mehr geht, ist die Übermittlung des Serverleistungsberichts an meine Mailadresse. Exchange funktioniert aber, die Emails können nach wie vor hin und her geschickt werden. Auch nach außen.

Welches Tool für eine Wurmsuche wäre aktuell gerade downloadbar?
Bitte warten ..
Mitglied: 11105
30.03.2005 um 11:05 Uhr
Lade Dir mal den Stinger von Mc Afee runter der ist bei Chip.de immer aktuell!

http://www.chip.de/downloads/c1_downloads_13011160.html

Mit freundlichen Grüßen
Thomas
Bitte warten ..
Mitglied: MMC
31.03.2005 um 11:51 Uhr
Es ist nichts drauf. Ich habe gescannt, alle EXE.-Dateien durchsucht, fremde Benutzer, die Registry nach Run-Services, MSconfig usw. nichts zu finden, was nach einem Hintertürchen aussieht...
Dennoch kommen die Anmeldungsversuche sofort, sobald ich wieder den Router online mache.

Jetzt überlege ich gerade, ob es Sinn macht, wenn ich eine Portumleitung mache, die die Ports 80, 443, 445 usw. auf andere legt.

Ist denn sonst keinem soetwas schon mal passiert?
Bitte warten ..
Mitglied: MMC
31.03.2005 um 12:41 Uhr
Mir ist außerdem aufgefallen, daß alle IP's von ARCOR-DSL-Kunden sind.

Kann es da irgend einen Zusammenhang geben?
Bitte warten ..
Mitglied: Ritchy
06.04.2005 um 21:56 Uhr
Hallo,

schließe deine Ports auf dem Router !!!

Mit freundlichen Grüßen
Ritchy
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
iOS
Siri erlaubt schon wieder unbefugte iPhone-Zugriffe

Link von runasservice zum Thema iOS ...

Router & Routing
VPN Zugriffe aus dem Ausland langsamer als aus DE (4)

Frage von mikado90 zum Thema Router & Routing ...

Samba
gelöst RedHat Samba User-Zugriffe loggen (6)

Frage von Akrosh zum Thema Samba ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...