Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zuviele Zugriffe auf Windows2003Server

Frage Sicherheit Erkennung und -Abwehr

Mitglied: MMC

MMC (Level 1) - Jetzt verbinden

30.03.2005, aktualisiert 09.01.2009, 5451 Aufrufe, 6 Kommentare

Seit ca. 5 Tagen werden auf unserem Windows SBS 2003 mehrere Tausend Anmeldeversuche von außen durchgeführt. Heute Nacht waren es 2956! Der Internetanschluß ist Arcor DSL. Die User, die versuchen, bei uns reinzukommen, sind auch bei Arcor laut Quellnetzwerkadresse.

Der Rechner wird so in die Knie gezwungen, daß nichts mehr geht. Er muß neu gestartet werden.
Frage: Kann es sein, daß eine Praktikantin durch ihren Chat auf HTML-Seiten-Basis (also keine Software wie Netmeeting o.ä.) da irgendwelche Hunde geweckt hat? Vorher kam es einmal im Monat vor, daß sich mal einer versucht hätte, sich anzumelden.

Die Berichterstattung zeigt beispielsweise folgendes:

Fehlgeschlagene Anmeldung:

Grund: Unbekannter Benutzername oder falsches Kennwort
Benutzername: Oliver
Domäne: OK-FK8WX1F15OSC
ANmeldetyp: 3
Anmeldevorgang NtLmSsp
Authentifizierungspaket: NTLM
Name der Arbeitsstation: OK-FK8WX1F15OSC
Anruferbenutzername: -
bis
Übertragene Dienste: -
Quellnetzwerkadresse: 84.56.102.195
Quellport: 0

Als Router verwenden wir den SMC 7008 ABR.

(Diese Daten sind jetzt echt. Vielleicht kann mir einer sagen, ob es zu einer erfolgreichen Rückverfolgung kommen kann, oder ob es nichts bringt...)

Ich weiß nicht weiter. Jeden Tag muß der Server neu hochgefahren werden. Sicherung etc. werden nicht durchgeführt, weil die Kiste hängt.
Mitglied: 11105
30.03.2005 um 10:41 Uhr
Welche Software zeigt Dir das an?
Ich würde mal als erstes einen Router nehmen der nicht alles rein läßt was nach Datenpacket aussieht. Ich habe mehrere Bintec im Einsatz, habe nie Probleme mit Würmern oder mit solchen Attacken wie Du sie hast! Allerdings sind diese Router auch nicht ganz günstig. Aber qualität will bezahlt werden!

Mfg
Thomas

PS: Ich glaube nicht das sowas durch einen HTML-Chat kommen kann. Und selbst wenn ist Deine IP ja nach jedem Einwählen eine andere und der Angreifer müßte Dich neu "suchen" Vielleicht hast Du ja irgendwas Wurmähnliches im Netz, schonmal geprüft?
Bitte warten ..
Mitglied: MMC
30.03.2005 um 10:53 Uhr
Das zeigt mir der Serverleistungsbericht in der Serververwaltungskonsole an.

Übrigens war der gestern zerschossen worden, so daß ich ihn nochmal nachinstallieren mußte.

Das einzige, was aber jetzt nicht mehr geht, ist die Übermittlung des Serverleistungsberichts an meine Mailadresse. Exchange funktioniert aber, die Emails können nach wie vor hin und her geschickt werden. Auch nach außen.

Welches Tool für eine Wurmsuche wäre aktuell gerade downloadbar?
Bitte warten ..
Mitglied: 11105
30.03.2005 um 11:05 Uhr
Lade Dir mal den Stinger von Mc Afee runter der ist bei Chip.de immer aktuell!

http://www.chip.de/downloads/c1_downloads_13011160.html

Mfg
Thomas
Bitte warten ..
Mitglied: MMC
31.03.2005 um 11:51 Uhr
Es ist nichts drauf. Ich habe gescannt, alle EXE.-Dateien durchsucht, fremde Benutzer, die Registry nach Run-Services, MSconfig usw. nichts zu finden, was nach einem Hintertürchen aussieht...
Dennoch kommen die Anmeldungsversuche sofort, sobald ich wieder den Router online mache.

Jetzt überlege ich gerade, ob es Sinn macht, wenn ich eine Portumleitung mache, die die Ports 80, 443, 445 usw. auf andere legt.

Ist denn sonst keinem soetwas schon mal passiert?
Bitte warten ..
Mitglied: MMC
31.03.2005 um 12:41 Uhr
Mir ist außerdem aufgefallen, daß alle IP's von ARCOR-DSL-Kunden sind.

Kann es da irgend einen Zusammenhang geben?
Bitte warten ..
Mitglied: Ritchy
06.04.2005 um 21:56 Uhr
Hallo,

schließe deine Ports auf dem Router !!!

mfg
Ritchy
Bitte warten ..
Ähnliche Inhalte
Windows Server
Webdav Zugriffe (10)

Frage von Xaero1982 zum Thema Windows Server ...

Windows Server
Zugriff auf Benutzerprofile (3)

Frage von c0d3.r3d zum Thema Windows Server ...

Netzwerkgrundlagen
Zugriff auf Subnet (4)

Frage von skr150 zum Thema Netzwerkgrundlagen ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Router & Routing
Allnet - VDSL2 Modem - SFP (mini-GBIC) (20)

Frage von Dobby zum Thema Router & Routing ...

Monitoring
Netzwerk-Monitoring Software (17)

Frage von Ghost108 zum Thema Monitoring ...

Voice over IP
DeutschlandLAN IP Voice Data M Premium, Erfahrung mit Faxgeräte? (17)

Frage von liquidbase zum Thema Voice over IP ...

Windows 10
Windows 10 Ordnerfreigabe (15)

Frage von Xaero1982 zum Thema Windows 10 ...