2
DDOS Angriff auf Server 2012 R?
HAllo, mein Server hat 3-4 solcher Einträge in den Ereignissen:
Protokollname: Application
Quelle: named
Datum: 26.08.2021 01:01:28
Ereignis-ID: 3
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: vs225317.dedicated.hosteurope.de
Beschreibung:
client @010105c8 191.221.112.144#80 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Ereignis-XML:
Und ***
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.08.2021 01:03:07
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: vs225317.dedicated.hosteurope.de
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: admin
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: Rdesktop
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
in der Sicherheit.
DDos Angriff? Wenn ja, was kann man tun. Ich boote die Kiste alle paar Stunden weil der Speicher immer geringer wird.
Danke für Hilfe
Joachim
Protokollname: Application
Quelle: named
Datum: 26.08.2021 01:01:28
Ereignis-ID: 3
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: vs225317.dedicated.hosteurope.de
Beschreibung:
client @010105c8 191.221.112.144#80 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="named" />
<EventID Qualifiers="16384">3</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2021-08-25T23:01:28.000000000Z" />
<EventRecordID>2248635</EventRecordID>
<Channel>Application</Channel>
<Computer>vs225317.dedicated.hosteurope.de</Computer>
<Security />
</System>
<EventData>
<Data>client @010105C8 191.221.112.144#80 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied</Data>
</EventData>
</Event>Und ***
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 26.08.2021 01:03:07
Ereignis-ID: 4625
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung gescheitert
Benutzer: Nicht zutreffend
Computer: vs225317.dedicated.hosteurope.de
Beschreibung:
Fehler beim Anmelden eines Kontos.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Konto, für das die Anmeldung fehlgeschlagen ist:
Sicherheits-ID: NULL SID
Kontoname: admin
Kontodomäne:
Fehlerinformationen:
Fehlerursache: Unbekannter Benutzername oder ungültiges Kennwort.
Status: 0xC000006D
Unterstatus:: 0xC000006A
Prozessinformationen:
Aufrufprozess-ID: 0x0
Aufrufprozessname: -
Netzwerkinformationen:
Arbeitsstationsname: Rdesktop
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die Prozessinformationen geben den Prozess und das Konto an, für die die Anmeldung angefordert wurde.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2021-08-25T23:03:07.244896800Z" />
<EventRecordID>90076224</EventRecordID>
<Correlation />
<Execution ProcessID="504" ThreadID="3768" />
<Channel>Security</Channel>
<Computer>vs225317.dedicated.hosteurope.de</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">admin</Data>
<Data Name="TargetDomainName">
</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">Rdesktop</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>in der Sicherheit.
DDos Angriff? Wenn ja, was kann man tun. Ich boote die Kiste alle paar Stunden weil der Speicher immer geringer wird.
Danke für Hilfe
Joachim
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1195367435
Url: https://administrator.de/contentid/1195367435
Printed on: May 4, 2024 at 16:05 o'clock
2 Comments
Latest comment
Ist der Server über Port 53/UDP aus dem Internet erreichbar und beantwortet dort auch Fragen für Domains, die er nicht selbst verwaltet (Rekursion)?
Wenn ja: Diese Konstellation wird ausgenutzt und du bist derjenige, der DDoS gegen andere fährt.
Suchstichwort: DNS Amplification.
In dem Fall als erste Maßnahme den DNS-Dienst zumindest per UDP aus dem Internet unerreichbar machen und dann so konfigurieren, dass Rekursion nur von vertrauenswürdigen Netzen erlaubt ist.
Und sich fragen, ob der DNS-Dienst einen hehren Zweck erfüllt und zwingend aus dem Internet erreichbar sein muss.
Nachtrag:
Es kann durchaus sein, dass der Server die Anfragen bekommt, verarbeitet, aber nicht beantworten will.
Beim zweiten Lesen sieht das zumindest so aus. In dem Fall bleibt dir wohl nur, per Firewall Port 53/UDP zu schließen.
Wenn ja: Diese Konstellation wird ausgenutzt und du bist derjenige, der DDoS gegen andere fährt.
Suchstichwort: DNS Amplification.
In dem Fall als erste Maßnahme den DNS-Dienst zumindest per UDP aus dem Internet unerreichbar machen und dann so konfigurieren, dass Rekursion nur von vertrauenswürdigen Netzen erlaubt ist.
Und sich fragen, ob der DNS-Dienst einen hehren Zweck erfüllt und zwingend aus dem Internet erreichbar sein muss.
Nachtrag:
Es kann durchaus sein, dass der Server die Anfragen bekommt, verarbeitet, aber nicht beantworten will.
Beim zweiten Lesen sieht das zumindest so aus. In dem Fall bleibt dir wohl nur, per Firewall Port 53/UDP zu schließen.
Moin,
es wäre hilfreich, wenn Du ein paar Zusatzinformationen zu "Deinem Server" liefern würdest.
Der (Windows-)Server ist ja offenbar bei Hosteurope gehostet, welchen Zweck erfüllt dieser bzw. was läuft alles auf der Kiste?
Hängt der Server mit dem "nackten A*" im Internet oder ist er zumindest grundlegend abgesichert?
Ist bspw. der RDP-Port frei verfügbar oder greifst Du via VPN darauf zu?
Könnte sich nämlich auch um das übliche Grundrauschen handeln, wenn der Server und dessen Dienste nur halbherzig abgesichert sind.
Gruß
cykes
es wäre hilfreich, wenn Du ein paar Zusatzinformationen zu "Deinem Server" liefern würdest.
Der (Windows-)Server ist ja offenbar bei Hosteurope gehostet, welchen Zweck erfüllt dieser bzw. was läuft alles auf der Kiste?
Hängt der Server mit dem "nackten A*" im Internet oder ist er zumindest grundlegend abgesichert?
Ist bspw. der RDP-Port frei verfügbar oder greifst Du via VPN darauf zu?
Könnte sich nämlich auch um das übliche Grundrauschen handeln, wenn der Server und dessen Dienste nur halbherzig abgesichert sind.
Gruß
cykes
