14.07.2008, aktualisiert am 21.07.2008

12611

1und1 FTP Server gehackt

WIN2003 server SP2

hallo, habe meinen ersten virtual server bei 1und1. ich habe die bulletproof ftp server software eingesetzt. ich habe immer mal wieder das problem, dass die remote desktop verbindung nicht klappt. dann ist meistens ein nicht authorisierter zugriff passiert. ich sehe dann im log nach. nicht im ftp programm sondern vom server. im sicherheitslog steht für den tag des angriffs x-mal ein erfolgreiches anonymus login. was zum teufel ist das ????? kann mir einer einen tip geben ?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 91950

Url: https://administrator.de/contentid/91950

Ausgedruckt am: 26.11.2024 um 04:11 Uhr

20 Kommentare

Neuester Kommentar

Hi spike!
Du hast mit Sicherheit den "anonymous"-Account ("Gastaccount") nicht deaktiviert!
Somit kann jeder xbeliebige auf deinen FTP-Server zugreifen

Sperre den anonymous Login/User und dann passt es!

Gruß

Chribu

@Chribu
morgen, danke für deine schnelle antwort. wenn du den benutzer in der systemverwaltung "guest" meinst, den habe ich deaktiviert. also bei den eigenschaften dieses konto deaktiviert. an dem tag des angriffes war erst ein anonymus login, dann IUSR_TEMPLATE dann SYSTEM dann psaadmin. den IUSR_TEMPLATE habe ich auch mal deaktiviert, weil ich gelesen habe, das dieser auch ohne kennwort usw. reinkommen kann.

Hi Spike,

nee, ich meinte eigentlich den anonymous-User des Bulletproff FTP-Server!
Der FTP-Server hat doch bestimmt eine eigenständige Benutzerverwaltung oder nicht?

Gruß
Chribu

Ich gehe jetzt mal davon aus dass du eine Windows-Server besitzt.

Der IUSR_Template ist der Benutzer, der ASP-Scripte auf deinem Server ausführt. Solltest du keine Webseiten auf ASP-Basis betreiben kannst du ihn also deaktiviert lassen

Zu den anonymen Logins: Hast du im FTP-Server selbst auch die anonyme Anmeldung deaktiviert? Oder beruft sich die Authentifizierung des FTP's auf die Windows-Authentifizierung. So genau kenn ich den Bulletproof-FTP leider nicht...

Gruß, Lars

@all
ja, es ist ein win 2003 server mit sp2, eben ein virtual server von 1und1. die authentifizierung läuft über den bulletproof selber. nicht über die windows anmeldung. im BP ftp habe ich die integrierte benutzerverwaltung aufgerufen und meine benutzer angelegt. der anonyme zugriff passiert auch nicht im ftp programm sondern direkt auf den server. krieg echt die krise

Kannst du mal nen Teil des Log's hier posten? Danke

yep :

Erfolgsüberw. 7/13/2008 6:31:34 PM Security An-/Abmeldung 538 IUSR_TEMPLATE S15250924
Erfolgsüberw. 7/13/2008 6:25:34 PM Security An-/Abmeldung 540 IUSR_TEMPLATE S15250924
Erfolgsüberw. 7/13/2008 6:25:34 PM Security An-/Abmeldung 552 NETWORK SERVICE S15250924
Erfolgsüberw. 7/13/2008 6:25:34 PM Security Kontoanmeldung 680 IUSR_TEMPLATE S15250924
Erfolgsüberw. 7/13/2008 12:28:10 PM Security An-/Abmeldung 538 IUSR_TEMPLATE S15250924
Erfolgsüberw. 7/13/2008 12:22:10 PM Security An-/Abmeldung 540 IUSR_TEMPLATE S15250924
Erfolgsüberw. 7/13/2008 12:22:10 PM Security An-/Abmeldung 552 NETWORK SERVICE S15250924
Erfolgsüberw. 7/13/2008 12:22:10 PM Security Kontoanmeldung 680 IUSR_TEMPLATE S15250924
Erfolgsüberw. 7/13/2008 8:49:01 AM Security An-/Abmeldung 576 psaadm S15250924
Erfolgsüberw. 7/13/2008 8:49:01 AM Security An-/Abmeldung 528 psaadm S15250924
Erfolgsüberw. 7/13/2008 8:49:01 AM Security An-/Abmeldung 552 SYSTEM S15250924
Erfolgsüberw. 7/13/2008 8:49:01 AM Security Kontoanmeldung 680 psaadm S15250924
Erfolgsüberw. 7/13/2008 8:49:01 AM Security An-/Abmeldung 576 IWAM_plesk(default) S15250924
Erfolgsüberw. 7/13/2008 8:49:01 AM Security An-/Abmeldung 528 IWAM_plesk(default) S15250924
Erfolgsüberw. 7/13/2008 8:49:01 AM Security An-/Abmeldung 552 SYSTEM S15250924
Erfolgsüberw. 7/13/2008 8:49:01 AM Security Kontoanmeldung 680 IWAM_plesk(default) S15250924
Erfolgsüberw. 7/13/2008 8:48:53 AM Security An-/Abmeldung 576 LOCAL SERVICE S15250924
Erfolgsüberw. 7/13/2008 8:48:53 AM Security An-/Abmeldung 528 LOCAL SERVICE S15250924
Erfolgsüberw. 7/13/2008 8:47:44 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 8:46:44 AM Security An-/Abmeldung 576 NETWORK SERVICE S15250924
Erfolgsüberw. 7/13/2008 8:46:44 AM Security An-/Abmeldung 528 NETWORK SERVICE S15250924
Erfolgsüberw. 7/13/2008 8:46:44 AM Security An-/Abmeldung 528 SYSTEM S15250924
Erfolgsüberw. 7/13/2008 4:58:51 AM Security An-/Abmeldung 538 IUSR_TEMPLATE S15250924
Erfolgsüberw. 7/13/2008 4:53:49 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:47 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:40 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:35 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:30 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:27 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:25 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:22 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:18 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:13 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:10 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:08 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:03 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:53:00 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:55 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:53 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:49 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:47 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:42 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:39 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:36 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:33 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:30 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:26 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:23 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:20 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:17 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:14 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:12 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:07 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:05 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:02 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:52:00 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:57 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:54 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:52 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:42 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:39 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:37 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:34 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:31 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:28 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:26 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:22 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:19 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:16 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:12 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:09 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:06 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:03 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:51:00 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:58 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:55 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:53 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:49 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:47 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:43 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:41 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:37 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:35 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:31 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:28 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:26 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:24 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:21 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:18 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:09 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:08 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:50:03 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:59 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:49 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:47 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:44 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:41 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:36 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:33 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:29 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:26 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:22 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:20 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:15 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:13 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:09 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:06 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:49:02 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:59 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:52 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:50 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:47 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:45 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:41 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:40 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:35 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:33 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:24 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:21 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:17 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:15 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:11 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:09 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:05 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:48:02 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:59 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:56 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:52 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:50 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:46 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:43 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:39 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:36 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:33 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:31 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:20 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:18 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:14 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:13 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:09 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:05 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:47:01 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:57 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:52 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:50 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:45 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:43 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:39 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:37 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:32 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:31 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:26 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:23 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:19 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:17 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:13 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:11 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:07 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:04 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:46:00 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:58 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:54 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:52 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:49 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:46 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:42 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:40 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:36 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:34 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:26 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:24 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:20 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:17 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:10 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:09 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:45:03 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:44:55 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:44:52 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:44:50 AM Security An-/Abmeldung 540 IUSR_TEMPLATE S15250924
Erfolgsüberw. 7/13/2008 4:44:50 AM Security An-/Abmeldung 552 NETWORK SERVICE S15250924
Erfolgsüberw. 7/13/2008 4:44:50 AM Security Kontoanmeldung 680 IUSR_TEMPLATE S15250924
Erfolgsüberw. 7/13/2008 4:44:48 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:44:44 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:44:36 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:44:34 AM Security An-/Abmeldung 538 ANONYMOUS LOGON S15250924
Erfolgsüberw. 7/13/2008 4:43:17 AM Security An-/Abmeldung 540 ANONYMOUS LOGON S15250924

Der Bulletproof hat wie einige andere standardmässig einen Anonymous User, der Zugriff hat.
Den solltest du in der Serververwaltung vom Bulletproof mal deaktivieren - ganz gleich, ob das nun darauf ein Zugriff war oder nicht. Wenn du in der Benutzerverwaltung vom Bulletproof den anonymous anklickst, dann kannst irgendwo ein Häcken setzen "Account aktiv" (bzw. inaktiv).

Spätestens wenn ein paar hundert Gigabyte Traffic auf deiner Rechnung stehen, weil das Ding jemand als Warez-Verteiler benutzt hat, ist guter Rat mehr als teuer.

edit: s.o.

Firewall eingeschaltet? Wenn nein, dann bitte ...

Zu W2k3 habe ich den passenden Artikel nicht gefunden, für W2k gilt dieser hier:
http://support.microsoft.com/?kbid=246261

Die lokalen Sicherheitsrichtlinien sind auf beiden vorhanden, sollte übertragbar sein.

PS: Es KÖNNTEN normale "null sessions" sein, um diverse Windows-Netzwerkaktivitäten zu ermöglichen, vgl. http://www.pcreview.co.uk/forums/thread-1586217.php

also ich habe im bulletproof die möglickeit user anzulegen, klar. in dem fenster stehen alle user. steht hier auch der guest oder anonymus ???

wegen der firewall. also es ist nichts weiter auf dem server in punkto firewall installiert. muss ich dass ? oder reichen die boardmittel.

@SnowStar
vielen dank für den link !!! wenn ich allerdings nach dieser anleitung gehe, dann bekomme ich eine riesen liste aber nicht die, von der in dem todo die rede ist. ich probiere es nochmal !

wenn ich die lokalen sicherheitsrichtilinien öffnen will, kommt folgende fehlermeldung :

"die gruppenrichlinieneinstellungen, die für diesen computer gelten, konnten nicht ermittelt werden. beim abrufen der einstellungen von der lokalen sicherheitsrichtliniendatenbank (%windir%\security\database\secedit.sdb) ist folgender fehler aufgetreten : falscher parameter. alle lokalen sicherheitseinstellungen werden angezeit, aber es wird nicht angegeben, ob die jeweilige sicherheitseinstellung von der gruppenrichtlinie definiert wurde. alle durch diese benutzerschnittstelle bearbeiteten lokalen sicherheitseinstellungen können von den domnenrichtlinien ausser kraft gesetzt werden."

OH MANNNN !

wat dat den ?

Na wenn, dann aber richtig oder?

Gehe mal diese Lösung durch:
http://support.microsoft.com/default.aspx?scid=kb;DE;278316

Bezieht sich hier zwar auf eine andere Auffälligkeit, Ursache ist aber die gleiche.

@all
bin noch nicht dazu gekommen. vielen dank eure mega schnellen und guten antworten. ich werde den beitrag dann auf gelöst setzen, falls ich es schaffe. sonst melde ich mich wieder !!!

@ all
ich werd wahnsinnig. ich habe ein neues kompiziertes kennwort vergeben. die windows firewall aktiviert. ftp us. deaktiviert. unter anderem den bulletproof ftp zugelassen. aber ich hatte an dem tag der anonymen anmeldung wieder 90GB transfer. ich krieg echt die krise !! bin quasi oberanfänger. was würdet ihr zuerst nachsehen ? wie kommt der überhaupt rein ? nur über die ip adresse und offene ports ? oder über ftp ??? hier die offenen ports :

Open TCP Port: 25 smtp
Open TCP Port: 74 netrjs-4
Open TCP Port: 80 http
Open TCP Port: 110 pop3
Open TCP Port: 135 epmap
Open TCP Port: 139 netbios-ssn
Open TCP Port: 143 imap
Open TCP Port: 445 microsoft-ds
Open TCP Port: 587 submission
Open TCP Port: 993 imaps
Open TCP Port: 995 pop3s
Open TCP Port: 1025 blackjack
Open TCP Port: 1433 ms-sql-s
Open TCP Port: 3389 ms-wbt-server
Open TCP Port: 4444 krb524
Open TCP Port: 4643
Open TCP Port: 5190 aol
Open TCP Port: 6288
Open TCP Port: 8425
Open TCP Port: 10092
Open TCP Port: 30000
Open TCP Port: 30001 pago-services1
Open TCP Port: 30002 pago-services2
Open TCP Port: 30003
Open TCP Port: 30004
Open TCP Port: 30005
Open TCP Port: 30006
Open TCP Port: 30007
Open TCP Port: 30008
Open TCP Port: 30009
Open TCP Port: 30010
Open TCP Port: 30011
Open TCP Port: 30012
Open TCP Port: 30013
Open TCP Port: 30014
Open TCP Port: 30015
Open TCP Port: 30016
Open TCP Port: 30017
Open TCP Port: 30018
Open TCP Port: 30019
Open TCP Port: 30020
Open TCP Port: 30021
Open TCP Port: 30022
Open TCP Port: 30023
Open TCP Port: 30024
Open TCP Port: 30025
Open TCP Port: 30026
Open TCP Port: 30027
Open TCP Port: 30028
Open TCP Port: 30029
Open TCP Port: 30030
Open TCP Port: 30031
Open TCP Port: 30032
Open TCP Port: 30033
Open TCP Port: 30034
Open TCP Port: 30035
Open TCP Port: 30036
Open TCP Port: 30037
Open TCP Port: 30038
Open TCP Port: 30039
Open TCP Port: 30040
Open TCP Port: 30041
Open TCP Port: 30042
Open TCP Port: 30043
Open TCP Port: 30044
Open TCP Port: 30045
Open TCP Port: 30046
Open TCP Port: 30047
Open TCP Port: 30048
Open TCP Port: 30049
Open TCP Port: 54352
„Portscan“ wurde beendet …

Na da hast du dir aber schön eine reinwürgen lassen.
Lass den Rechner neu aufsetzen und bevor du irgendwelche Dienste einrichtest, mach ihn erstmal komplett zu.

Offene Ports sind MAXIMAL: 21 ftp, 22 ssh, 25 smtp und 110 pop3 (alternativ imap, imaps oder pop3s), port 80 für den apachen - bei windows statt dem 22er die Freigabe für den Remotedesktop.

Wieso ist das andere Zeugs bei dir offen? Was hat AOL da verloren? MSSQL am offenen Netz? Wenn du nicht 1000% weisst, wie man MSSQL absichert, dann ist das schon extrem unschlau, das ans Netz zu lassen. Da weisst du wenigstens schonmal, wo sie reingekommen sind!

das frage ich mich auch

) wie kann ich denn die ports schliessen ? sorry, ich bin ein rookie !!!

Sollte man als "admin" von einem Server, der am offenen Netz hängt eigentlich wissen (nicht das man es bei einem internen auch wissen sollte).

Darum, den Rechner neu aufsetzen zu lassen, wirst nicht drumherum kommen. Alle Updates einspielen versteht sich von selbst.

Und dann bleibt nur eins: Firewall hoch, alle unnötigen Dienste weg, alles was nur lokal gebraucht wird - wie MSSQL - auch lokal binden, so dass kein Zugriff von aussen besteht.

Vielleicht solltest du dich mal belesen, oder an einen erfahrenen Admin wenden und dir erklären lassen, wie man das System abschottet.

"Nur 90GB" das war Glück, dass keiner den Serverbetreiber bzw. den Admin angezeigt hat, weil evtl. urheberrechtlich geschütztes Material darüber verteilt wurde ist mehr als Glück ...

edit: bin kein großer Freund von Windows und weiss sicherlich auch nicht genug, daher werde ich dir sicherlich keine große Hilfe sein können...

meinst du die interne windows firewall ? oder soll ich sowas wie zone alarm nehmen oder ähnlich ?

die interne reicht völlig aus, gerade von zonealarm würde ich die finger lassen.
wichtig ist, dass du alle nicht nötigen dienste von der aussenwelt abschottest.
mein server lief als 2003er etwa 3 jahre ohne probleme, nur mit boardmitteln abgesehen von apache, mysql, php und dem hmail mailserver.

das ist natürlich keine garantie, vielleicht war es ebenso glück - wo sind denn unsere w2k3 administratoren? haben doch sicher wen hier, der richtig ahnung davon hat ...

@SnowStar
du vielen dank für deine engagemant. ich habe jetzt durch googlen noch einen super beitrag zu ipsec gefunden. ich habe jetzt komplett die schotten dicht gemacht bis auf die ports, die ich brauche. habe viel gelernt durch die aktion. also vielen vielen dank nochmal !!!

Frage Sicherheit Erkennung, Abwehr

Mehr von pitamerica

Ein Netzwerk, zwei Gatewayspitamerica - 13 Kommentare

Office 365 annektierte Domain dann Providerwechselpitamerica - 6 Kommentare

Office 365 SMTP Versand für eine Apppitamerica - 19 Kommentare

Intune Mac OS kein Systemupdatepitamerica

Heiß diskutiert