fisch56
Goto Top

DDOS Angriff auf Server 2012 R?

article-picture
HAllo, mein Server hat 3-4 solcher Einträge in den Ereignissen:
Protokollname: Application
Quelle: named
Datum: 26.08.2021 01:01:28
Ereignis-ID: 3
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: vs225317.dedicated.hosteurope.de
Beschreibung:
client @010105c8 191.221.112.144#80 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
  <System>
    <Provider Name="named" /> 
    <EventID Qualifiers="16384">3</EventID> 
    <Level>4</Level>
    <Task>0</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2021-08-25T23:01:28.000000000Z" /> 
    <EventRecordID>2248635</EventRecordID>
    <Channel>Application</Channel>
    <Computer>vs225317.dedicated.hosteurope.de</Computer>
    <Security />
  </System>
  <EventData>
    <Data>client @010105C8 191.221.112.144#80 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied</Data> 
  </EventData>
</Event>

Und ***
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.08.2021 01:03:07
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: vs225317.dedicated.hosteurope.de
Beschreibung:
Fehler beim Anmelden eines Kontos.

Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0

Anmeldetyp: 3

Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: admin
Kontodomäne:

Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A

Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -

Netzwerkinformationen:
Arbeitsstationsname: Rdesktop
Quellnetzwerkadresse: -
Quellport: -

Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2021-08-25T23:03:07.244896800Z" /> 
    <EventRecordID>90076224</EventRecordID>
    <Correlation />
    <Execution ProcessID="504" ThreadID="3768" /> 
    <Channel>Security</Channel>
    <Computer>vs225317.dedicated.hosteurope.de</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data> 
    <Data Name="SubjectUserName">-</Data> 
    <Data Name="SubjectDomainName">-</Data> 
    <Data Name="SubjectLogonId">0x0</Data> 
    <Data Name="TargetUserSid">S-1-0-0</Data> 
    <Data Name="TargetUserName">admin</Data> 
    <Data Name="TargetDomainName"> 
    </Data>
    <Data Name="Status">0xc000006d</Data> 
    <Data Name="FailureReason">%%2313</Data> 
    <Data Name="SubStatus">0xc000006a</Data> 
    <Data Name="LogonType">3</Data> 
    <Data Name="LogonProcessName">NtLmSsp </Data> 
    <Data Name="AuthenticationPackageName">NTLM</Data> 
    <Data Name="WorkstationName">Rdesktop</Data> 
    <Data Name="TransmittedServices">-</Data> 
    <Data Name="LmPackageName">-</Data> 
    <Data Name="KeyLength">0</Data> 
    <Data Name="ProcessId">0x0</Data> 
    <Data Name="ProcessName">-</Data> 
    <Data Name="IpAddress">-</Data> 
    <Data Name="IpPort">-</Data> 
  </EventData>
</Event>

in der Sicherheit.
DDos Angriff? Wenn ja, was kann man tun. Ich boote die Kiste alle paar Stunden weil der Speicher immer geringer wird.

Danke für Hilfe
Joachim

Content-ID: 1195367435

Url: https://administrator.de/contentid/1195367435

Ausgedruckt am: 25.11.2024 um 14:11 Uhr

LordGurke
LordGurke 26.08.2021 aktualisiert um 01:38:59 Uhr
Goto Top
Ist der Server über Port 53/UDP aus dem Internet erreichbar und beantwortet dort auch Fragen für Domains, die er nicht selbst verwaltet (Rekursion)?
Wenn ja: Diese Konstellation wird ausgenutzt und du bist derjenige, der DDoS gegen andere fährt.
Suchstichwort: DNS Amplification.

In dem Fall als erste Maßnahme den DNS-Dienst zumindest per UDP aus dem Internet unerreichbar machen und dann so konfigurieren, dass Rekursion nur von vertrauenswürdigen Netzen erlaubt ist.
Und sich fragen, ob der DNS-Dienst einen hehren Zweck erfüllt und zwingend aus dem Internet erreichbar sein muss.


Nachtrag:
Es kann durchaus sein, dass der Server die Anfragen bekommt, verarbeitet, aber nicht beantworten will.
Beim zweiten Lesen sieht das zumindest so aus. In dem Fall bleibt dir wohl nur, per Firewall Port 53/UDP zu schließen.
cykes
cykes 26.08.2021 um 07:41:45 Uhr
Goto Top
Moin,

es wäre hilfreich, wenn Du ein paar Zusatzinformationen zu "Deinem Server" liefern würdest.
Der (Windows-)Server ist ja offenbar bei Hosteurope gehostet, welchen Zweck erfüllt dieser bzw. was läuft alles auf der Kiste?
Hängt der Server mit dem "nackten A*" im Internet oder ist er zumindest grundlegend abgesichert?
Ist bspw. der RDP-Port frei verfügbar oder greifst Du via VPN darauf zu?

Könnte sich nämlich auch um das übliche Grundrauschen handeln, wenn der Server und dessen Dienste nur halbherzig abgesichert sind.

Gruß

cykes